네트워크 감사를 할 준비가 돼 있는가? HIPAA(Health Insurance Protability and Accountability Act)와 같은 주요 데이터 프라이버시 규정들에 대한 의무를 지키기 위한 첫 단계는 정기적인 내부 감사를 실시하는 일이다. 여기서 HIPAA 준수를 일례로 들긴 했지만, 감사를 준비하는 방식에 대한 일반 원칙은 모든 정부 및 산업 규정에 마찬가지로 적용된다. 시스템이 규정을 잘 따르고 있는지 확인하기 위한 내부 네트워크 감사를 실시할 수 있는 방법을 알아보자.

감사를 준비할 때 기억해야 할 제 1규칙은, 규정 준수는 계속 진행되는 프로세스라는 것이다. 준수해야 할 규정과 시간대를 정확히 알고 있어야 하며, 조직과 시스템이 여기에 대해 어느 정도에 와 있는지를 정기적으로 검토해야 한다.

조직을 확실히 파악하라
조직에서 규정을 얼마나 잘 준수하고 있는지를 파악할 수 있게 도와주는 많은 툴과 체크리스트들이 있다. 어떤 제품들은 베이스라인 보안 프랙티스를 제공하고 일련의 질문들에 답함으로써 준수 여부를 파악할 수 있게 해주기도 한다. 아니면 비용이 많이 드는 경우가 많긴 하지만 변화하는 표준과 규정을 잘 아는 컨설턴트를 쓸 수도 있다.
우선 자신의 환경에 적용되는 표준을 읽고(이메일을 암호화해야 할 필요가 있는지 여부), 내부 감사를 실시해서 갭을 찾아보라. 그런 다음 특허 및 의료 정보가 있는 메시지는 암호화되도록 하는 것 등 부족한 부분에서 규정을 만족시키기 위한 방법에 대해 계획을 세우도록 하라. 그 후 직원들이 액세스할 수 있는 인트라넷에 회사의 보안 정책을 배치하는 책임을 누가 질 것인지를 결정하는 것과 같이, 준수 목표를 달성하기 위해 필요한 자원을 할당하는 일은 경영진의 몫이다.
적용 가능한 표준과 규정, 그리고 규정을 만드는 조직을 확실히 파악하고 있어야 한다.
예를 들어 HIPAA는 전자적 의료 트랜잭션 처리와 고유의 신원확인기에 대한 표준을 제공하며, 의료 정보를 보호하기 위한 프라이버시 및 보안 규정을 제공한다. HHS(Depart-ment of Health and Human Services)에서는 HIPAA 규정을 공고하며, CMS(Centers for Medicare and Medi-caid Services)와 OCR(Office of Civil Rights)에서 이들을 시행하고 있다. 이들 기관에서 HIPAA에 대해 속도를 높일 수 있게 해주는 많은 정보를 구할 수 있을 것이다.
마지막으로 일단 내부 감사를 계획했다면 써드파티 감사자를 고용해 자신의 작업을 확인해 보라. 내부 감사를 통해 큰 문제들은 어떠한 것이든 바로 잡고 외부 감사는 건강진단 정도 이상이 되지 않도록 하라.
해당 대상이 되는가?
준수 작업에 자원을 할당하기 이전에, 조직에서 그 산업 규정을 따를 필요가 있는지 여부를 먼저 확인해야 한다. HIPAA는 조직이 법안을 따라야 할 필요가 있는 ‘해당 대상’인지를 파악할 수 있도록 도와주는 순서도에서 일련의 질문들을 제시하고 있다. 기본적으로 의료 빌링 정보를 전자적 형태로 제공하는 의료 기관이거나, 의료 정보센터(clearinghouse)거나, 혹은 의료 보험회사라면 HIPAA를 따라야 한다. 또한 비즈니스에 ePHI(electronic Protected Health Information) 전송이 포함될 경우에도 CMS 감사에 해당이 된다.
준수에 해당되는 시간대도 알고 있어야 한다. 예를 들어 의료 사업자와 의료 보험회사에서 일단 HIPAA를 채택하면 이들은 24개월 내에 표준을 사용해야 한다(최종 규정이 공시된 이후 준수에는 보통 60일이 요구된다). 의료 사업자나 보험회사라면 정보센터를 이용해 이런 요구조건들을 충족시킬 수 있으며, 이는 세금을 내는 데 회계사를 고용하는 것과 매우 유사한 방식이다. 정보센터에서는 다양한 EDI 포맷을 수용함으로써 고객들이 HIPAA 준수를 하기 위해 밤새도록 기록과 빌링 시스템을 업데이트해야 하는 수고를 덜어 준다. 이 곳에서는 의료 집단에 있는 누구든지 이해할 수 있는 HIPAA 표준 포맷으로 문서를 만든다.
HIPAA나 다른 데이터 프라이버시 규정을 준수하는 데 있어 가장 힘든 부분 가운데 하나는 자신의 조직에 맞게 해야 될 일이 무엇인지를 알아내는 것이다. 표준은 대규모 정부기관이나 수십억 대의 매출을 내는 포천지 500대 보험 회사들에서부터 예산이 얼마 되지 않는 지역 의료 사업자들에 이르기는 청중들을 대상으로 만들어진다. 필요조건들이 확실하게 명기돼 있긴 하지만, 어떤 식으로 제어를 해야 할지, 필요조건을 충족시키는 지 여부를 알기는 쉽지 않다. 그리고 회사 내부의 보안 정책 또한 규정의 변화와 함께 보조를 맞춰 정기적으로 업데이트돼야 한다.
컨설팅 서비스와 예를 들어 HIPAA 준수에 초점을 둔 제품에 돈을 들이기 이전에, 다른 회사들이 적극적으로 표준 준수 방식을 논의하는 저렴한, 혹은 무료인 워크샵과 컨퍼런스에 참가해 보라. 예를 들어 ISSA(Information Systems Security Association)에서는 HIPAA의 보안 부문을 시험해 보고 있다. ISACA(Information Systems Audit and Control Association)도 또 하나의 좋은 자원이다. 그 COB IT(Control OBjective for Information-related Technology) 프레임워크는 관리 지침과 상세한 제어 목표, 그리고 HIPAA를 비롯한 규정들을 위한 전체적인 IT 감사 프로세스에 대한 지침을 제공하고 있다. 또한 CMS에서 제공하는 HIPAA 워크샵에도 참가해 보라.

규정과 툴
HIPAA를 위한 보안 필요조건들 가운데는 빈틈의 위험을 최소화하기 위해 서버에 있는 불필요한 포트 수를 줄이는 것 등과 같은 소위 기술적 제어들이 있다. 서버가 파일 이동을 위해 TFP를 필요로 하지 않는다면 왜 이것을 설치해 두는가? 애플리케이션에 필요한 최소한의 서비스와 포트만을 이용하고 필요치 않은 것은 꺼두어라.
또 한 가지 기술적 제어로 조직에 강화된 운영시스템 이미지로 표준 서버 구성할 것을 지시하는 게 있다. 일관성 있는 서버 구성은 패치의 테스트와 배치를 한층 수월하게 만들어 준다. 그렇지 않다면 어떤 서버가 이를 따르지 않는지를 찾아내 주는 구성 관리 툴이 필요하다.
이러한 표준 방안으로 시작한 다음 컨피규어소프트(ConfigureSoft)의 ECM(Enterprise Configuration Manager)과 같은 제품을 이용해 표준 준수를 보장하고, 표준에서 벗어나는 어떠한 이동이나 동향 변동을 점검해서 자동으로 이들을 보장해 가면 일은 훨씬 수월해진다.
한편 CIS(Center for Internet Security)에서는 정책을 중앙에서 설정하는 데 사용할 수 있는 GPO(Group Policy Objects)과 마이크로소프트 윈도 2000 서버용 구성을 제공한다. 하지만 기억해야 할 것은 이들은 툴에 불과하다는 사실이다. 표준 준수를 위해서는 툴과 표준에 대한 노하우, 그리고 지속적인 점검의 조화와 균형이 필요하다. 따라서 지속적인 준수를 보장하기 위해서는 하나의 프로세스가 마련돼야 한다.

임원들 인식 중요
효과적인 내외부 감사를 위해 선임 관리자들은 프로세스를 승인하고 감사 결과에 따라 요구되는 어떠한 변화에 대해서든 허가를 해야 한다. 감사 기간 동안 전면적인 협조와 참여를 회사 전체에 촉구하는 임원의 메모는 일을 훨씬 수월하게 해줄 수 있다.
이제 네트워크에 대한 정보와 이것이 규정을 따르고 있는지 여부에 대한 정보를 수집할 준비가 됐을 것이다. 체크리스트는 표준 준수 여부를 파악하기 위해 표준에 대조해 어떤 작업을 검토해 봐야 할 지 알 수 있는 좋은 수단이 된다.
핵심 인원들에게 질문지를 보내거나, 혹은 이들을 인터뷰할 수 있다. 예를 들어 각각의 제어 이행 단계를 밟아 내려가는 질문들을 해 보라. 회사에서 IDS(Intrusion Detection System)를 구입했다면 질문지나 인터뷰에 하드웨어 제조업체와 모델, 운영시스템 레벨, 이행 레벨 등을 포함시켜라. 이는 곧 IDS가 테스트되어 생산 시스템에 있는지, 혹은 여전히 선반 위에 포장된 채 놓여 있는지 여부를 알 수 있게 해준다.

테스트 1, 2, 3
일단 보안 아키텍처와 제어를 문서화했다면, 관리적, 물리적 및 기술적 제어의 효과를 테스트해 보라. 관리적인 제어나 안전책은 조직의 보안을 다스리고 제어하는 인간의 행동을 말하며, 인적 자원과 보안 정책으로부터 도출이 된다. 물리적인 안전책이란 데이터 센터로의 카드 키 접근에서부터, 자연 재앙이나 환경적인 위험에서부터 데이터와 시스템을 보호해 주는 모든 단계가 포함이 된다. 기술적 제어는 물론 IDS 시스템, 방화벽, 암호화 등과 같이 회사에서 배치하는 보안 기술을 말한다.
기술적 제어를 테스트하다보면 해커가 돼야 할 때도 있다. 예를 들어 네트워크 주변 경계선에서 외부로부터 네트워크를 점검하는 침투 테스트를 실시해야 될 필요가 있을 것이다. 침투 테스트는 보통 경계 라우터와 방화벽에서 시작되어 민감한 데이터가 보관되는 네트워크의 중심으로 이동한다. 일단 내부에 들어오면 호스트가 취약한지 여부를 점검할 수 있다. 예를 들어 네트워크 내부의 시스템을 핑거프린팅(fingerprinting)하고 싶다면 소스포지닷넷(Sourcefor ge.net)의 윈핑거프린트(Winfingerprint)와 같은 툴을 돌려 어떤 포트가 타깃 호스트 운영시스템에서 듣고 있는지를 확인하라. 엔맵(nmap)이나 네써스(Nessus)와 같이 매핑과 취약성 평가를 위해 사용 가능한 오픈소스 툴들도 많다.
한편, 메인프레임과 분산 서버 네트워크에는 보통 업무적으로 이런 데이터에 액세스해야 하는 사용자들에게 제한되는 PHI 데이터베이스가 포함돼 있다. 사용자가 테스트 사실을 알고 있도록, 액세스 제어를 테스트할 때는 로컬 데이터베이스 관리자와 함께 작업해야 한다. 제한된 계정이 업무적 기능에 요구되는 것 이상의 권한을 확보하지 못하도록 보장하고, 디폴트 시스템 관리자 계정이 빈 상태로 남아 있지 않도록 하라. 일부 조직에서 아직도 이것은 여전히 큰 구멍으로 남아 있다. 디폴트 시스템 관리자 패스워드가 빈 공간으로 남아 있으면 시스템은 SQL 슬래머(SQL Slammer) 웜과 같은 악용 사례에 이용될 수 있다.
일단 테스트와 정보 수집을 끝내면 임원진에게 내부 감사 결과 보고서를 제출하라. 표준 준수 규정을 충족시킬 수 있는 특정 행동과 날짜를 확실하고 간결하게 표시하라. 그런 다음에는 보안 정책이 규정 요구조건을 통합 및 반영하도록 보장함으로써 감사를 통해 얻은 정보에 따라 행동할 수 있다. 이것은 또한 임원진에서 HIPAA 보안 필요조건이나 다른 어떠한 규정들을 따르는 데 필요한 교육과 인식 확산을 위해 투자할 수 있도록 도와준다. 게다가 조직에서는 표준 준수를 고객을 위한 보안에 책임을 진다는 것을 보여주는 마케팅 자산으로 이용할 수 있다.
외부 감사가 발생했을 때 불시에 습격을 당하는 데는 어떠한 변명의 여지도 없다. 자체 감사를 실시하면 외부 감사는 단순히 형식적인 절차로 지나갈 것이다.

step by step

감사에 대비하는 방법

1. 조직에서 어떤 표준을 준수해야 하는지를 파악하고 임원진 회의를 소집하게 하라. 그들 중 한 사람에게 감사에 통과하기 위한 지원의 중요성을 인식시키고, 치료를 위해 자원을 할당할 수 있는 허가를 받아라.

2.‘스코프 크립(scope creep)’을 피할 수 있도록 언제나 최소 규정 필요조건을 염두에 두고 그 필요조건을 충족시키고 있는지 여부에 집중하라. 베스트 프랙티스는 전략 및 전술적 권고안을 추천하는 보고서에서 확보할 수 있다.

3. 어떤 갭이든 확인을 하라. 수집한 정보를 비교하고 지금 처한 상태와 표준 사이의 차이를 점검하라. 어떠한 단점이든 바로 잡을 방법을 파악하고 이 작업을 하기 위한 타임 라인을 만들어라.

4. 확실하게 점검하라. 보안 제어를 평가할 때는 먼저 서버의 불필요한 포트를 폐쇄했는지 확인하고, 조직 전체에 강화된 운영시스템 이미지로 표준 서버을 구성하는 것을 목표로 하라.

5. 기술 제어를 테스트하라. 침투 및 취약성 평가 툴을 돌려 네트워크와 시스템의 약한 부분을 가려내라.

6. 발견한 정보들을 임원진에 보고하라. 행동 지침을 의논해 문제를 고치라.

7. 계속 진행되는 표준 준수 평가 스케줄을 만들라. 상태를 계속 관찰하고 어떠한 기술의 변화가 발생했는지, 그리고 규정이 어디로 가고 있는지를 주시하라.

8. 객관적이고 인증받은 외부 감사자를 초대해 현재의 표준 준수 상태를 점검하라. 예를 들어 공식적인 HIPAA 감사용으로 CMS에 의해 인정을 받은 규정 감사자를 이용하라.