ITSM 기반 보안 프레임워크
보안 솔루션·비즈니스 방법론 접목 ‘필수’ … 종합적 IT 인프라 구현방법론 ‘대두’
비즈니스와 IT의 연관이 깊어가듯 보안과 비즈니스 방법론 사이의 연관도 더욱 강화되고 있다. IT 솔루션을 비즈니스와 별개로 단지 보안 강화의 측면에서만 생각한다면, 그것은 목적없는 투자에 가깝다. 보안은 이제 비즈니스의 주요 영역으로써 기업 비즈니스 방법론과 연관돼 살펴져야 하는 것이다. <편집자>
연재순서
1. 정보보호와 사람
2. IT 인프라스트럭처에서의 보안(이번호)
3. HP의 인프라스트럭처 보안
황완식 // 한국HP 컨설팅부 차장
wan-sik.hwang@hp.com
정보기술(IT) 환경이 나날이 복잡해짐에 따라, 컴퓨팅 인프라의 관리 및 보장에 대한 중요성이 그 어느 때보다 증대되고 있으며, 기업들은 비즈니스 환경에 가장 적합한 베스트 프렉티스에 의존하지 않을 수 없게 됐다. 참조할 만한 모델과 실현 방안이 녹아 있는 표준화된 모범사례를 바로 베스트 프렉티스라고 표현할 수 있으며, 기업의 경우 비즈니스 상황에 따라 적절한 베스트 프렉티스를 참조하고 이를 구현함으로써 위험을 덜 감수하면서도 보다 효과적으로 비즈니스 프로세스를 표준화하고 IT 환경을 관리할 수 있는 이점을 얻을 수 있다.
비즈니스 정보 보안을 위한 베스트 프렉티스로는 ITIL(Information Technology Infras tructure Library), BS15000(British Standard 1500), ITIL 방법론에 기초한 IT 서비스 관리 신규 표준, ISO17799, BS7799 등과 같은 국제적인 지침들이 있다. 이러한 지침과 함께 실제 IT 인프라를 구성하면서 발생하고 또 예상되는 보안 리스크를 최소화하고 예방할 수 있는 방법론과 솔루션이 조합돼야 비로소 완전한 IT 인프라 보안을 구축할 수 있다고 판단된다.
하지만 현재 보안 리스크의 관점은 물과 기름처럼 녹아들지 못하고 있다. IT 보안 장비 도입은 장비 및 솔루션에만 중점을 두고 있으며, IT 환경에 대한 정보보안 지침의 기준 등의 방법론은 지나치게 비즈니스 프로세스에만 주안점을 두고 있는 것. 기업의 입장에서는 전혀 별개의 사안으로 이를 바라보고 유관된 프로젝트로 이해하지 못하고 있는 것이 현실이다.
좀 더 분석해 보면, 이는 기업 비즈니스의 환경 분석은 오직 경영 관점에서 전략과 대응 방안을 수립하는 반면, IT 인프라는 인터넷 발전과 함께 급속도로 물리적 접속 관점에서 여러 가지 구체적인 구현 솔루션/장비 부분으로 발전돼 왔다는 사실에 기인한다. 그러나 현재 B2C, B2B 시장의 급속한 확장과 새로운 비즈니스 형태의 기업 등장은 앞서 언급한 기업 비즈니스와 IT 인프라가 이미 상호 작용하고 있으며, 오히려 정보보호 부분이 앞으로의 기업 경영에는 다른 어떤 변수보다 많은 영향을 미칠 것임을 보여주고 있다.
세 가지 표준 모델
향후 기업 환경 변화와 이를 수용할 수 있고 또한 IT 인프라를 구축함에 있어 베스트 프렉티스 보안 구축 방안은 무엇일까?
먼저 기업 비즈니스 환경에 맞는 베스트 프렉티스 표준에서 보안 관련 사항을 참조해 조직, 프로세스, 관리 등 자체 경영 활동을 위한 인프라 부분에 이를 적용해야 한다. 기본적인 표준 모델로는 아래와 같은 세 가지의 지침이 활용될 수 있다.
⊙ BS15000 - IT 서비스 관리 분야의 세계최초 표준으로 IT 관리 프로세스의 상호연관성을 구체화하며, 기업 서비스 관리 감사에 대한 기초 마련.
⊙ ISO17799 - 정보 보안 관리 부분에 대한 참조(BS7799)에 기반을 둔 국제 보안 표준.
⊙ ITIL 보안 관리(Security Management) - IT 인프라 보안 관리를 위한 표준으로 이를 이용한 중요 애플리케이션에 대한 표준 보안 관리 지침 및 방향 도출.
여기서 ITIL에 대한 전반적인 고찰은 IT 인프라 보안 관리라는 주제와는 다소 거리가 있는 부분이므로 주로 ITIL 보안 관리(Security Management)에 대해 기업 경영(서비스관련)분석과 IT 인프라에 대한 상호 연관성을 살펴보겠다.
서비스 관리 표준인 ITIL은 1989년 이래로 꾸준한 발전을 거듭하고 있다. 특히 보안 관련 사항은 1999년에 발표된 보안 관리(Security Management)에서 정의하고 있으며 IT 서비스 프로세스의 인프라의 보안 지침으로 인용되고 있다. ITIL 비즈니스 모델에 있어 서비스 제공과 지원 요소의 상호 연동 모델은 초기 버전에서 지속적인 서비스 개선을 위한 계획(Plan), 전달(Deliver), 이행(Operate)의 선순환 모델로 비즈니스 목적을 달성할 수 있는 버전으로 진화하고 있다.
이러한 기업의 서비스 프로세스 모델은 특정 IT 툴을 사용하지 않고서도 이러한 모든 프로세스 구현이 가능한 것으로 보인다. 이러한 방법론적인 분석 및 모델 적용은 ITIL 프로젝트 구축 시 IT 인프라 보안 구성에 필요 요소와 이를 구현하기 위한 솔루션과 연관없는 동떨어진 모델로 여겨지게 된 주요 요인 중 하나로 볼 수 있다. 하지만 ITIL 보안 모델과 HP ITSM 구현 모델에서 볼 수 있듯이 적절한 보안 솔루션, 툴, 시스템, 네트웍 장비 등이 없이는 기업 내 비즈니스 모델의 실제 구현은 불가능하다.
보안, 비즈니스 서비스와 관련 깊다
기업이 e비즈니스의 장점을 충분히 활용하기 위해서 반드시 해결해야 할 가장 중요한 사안은 바로 보안 문제다. 보안 문제가 해결되면 기업은 고가치 자원과 지적 재산을 보호할 수 있으며, 고객 신뢰성 또한 향상될 수 있다.
하지만, 전사적인 IT 인프라 보안 적용 없이 단순한 서비스 레벨 모델 도입 및 시스템 운영 프로세스만의 지침 활용이라면 앞서 언급한 기업 가치의 보호도 어려울 뿐만 아니라 비즈니스와 IT 인프라 보안이 동떨어진 상태로 운영되게 된다. 따라서 이들 두 가지 요소에 대한 연관성이 파악될 수 있게 ITIL 보안 관리 모델에 대하여 좀 더 살펴보자.
ITIL은 ISO17799 실용 사례와 상당히 관련이 있는 IT 인프라 관리를 위한 실용 사례 프로시저를 정의한 바 있으며, ITIL 보안 처리 프로시저는 SLA(Service Level Agree ment)의 보안 부분을 기반으로 계획을 세운다.
계획 단계에서는 위험 및 취약점을 이해하기 위해 기업 위험 평가(Business Risk Assessment)를 실시한다. 계획 단계는 ISO17799를 기반으로 철저히 시행되며, 그 결과 ‘제어’라고 알려진 실행 가능한 적절한 보안 방법을 선택하게 된다. 그 다음 이행 단계에서는 알맞은 툴과 프로시저를 이용해 보안을 제어한다. 이 단계가 완료되면 사용된 툴과 프로시저를 제어(관리)함으로써 지속적으로 보안 정책과 상기 정책이 변경하는 비즈니스 조건과 연관성이 있는지의 여부를 평가하고 점검해야 한다. 이러한 과정을 통해 해당 기업의 보안 수준을 지속적으로 유지할 수 있는 보안 정책을 설정하고 SLA가 충족됐다는 것을 보장하는 보고서를 제출해야 한다.
HP의 ITSM 보안 모델의 경우, 기업의 IT 경영 목적, 서비스 운영 및 구현을 통한 비즈니스 목적을 이룰 수 있는 하나의 큰 요소로 인프라 보안 운영에 대한 정의를 내리고 있다. 보안 프로세스의 경우 보안 정책, 리스크 분석, 감사, IT 보안 환경 결정 등 흔히 보안 솔루션이나 프로젝트의 경우에서처럼 어떤 부분이 취약하거나 이를 보완하기 위한 보안 프로세스가 아닌 비즈니스 서비스 지원을 위한 보안 모델로 정의하고 있다.
이들 두 가지의 보안 모델을 살펴보면 앞서 언급한 비즈니스와 보안 모델과의 연관성을 알 수 있다. 즉 일반적인 인프라 보안 관련 솔루션과 장비의 구분은 기업의 비즈니스 서비스 모델과 동떨어져 구성될 수 없으며, 현재 국내의 보안 시장의 구분이나 솔루션별 영역의 정의 등은 너무 IT 인프라의 물리적 보안에만 치우쳐 있음을 깨닫게 되는 것이다.
경영환경의 변화와 보안의 변화
<그림 2>와 같이 오늘날 물리적 인프라 보안시장의 화두는 통합화다. 더불어 새로운 부분의 틈새 솔루션과 보안 장비들이 출시되고 있다. 다시 말하면 통합화와 세분화가 동시에 나타나는 모양새다. 얼핏 보면 모순적일 수 있는 이러한 상황이 특히나 보안 시장에서 나타나고 있는 이유는 무엇일까? 이에 대한 답으로 바로 기업 경영환경의 변화를 들 수 있다.
혹자는 몇 몇의 선도적인 보안 업체들이 기존의 보안 솔루션 시장의 포화 상태를 넘기 위 해 신규의 보안 제품을 출시하는 것으로 이해하기도 하지만 이는 잘못된 인식이다. 예를 들어 NAC(Network Access Control) 사용자 접속(접근) 제어 솔루션은 이미 몇 년 전에 출시된 제품이며, 개념은 이보다 훨씬 오래 전에 고안된 것이다.
NAC 관련해 국내뿐 아니라 해외에서도 늦어도 내년까지 상당한 규모의 신규 시장이 창출될 것이라고 앞다퉈 예상하고 있고, IT 시장 조사 기관에서도 유사한 예상치를 내놓고 있다. 그렇다면 이러한 현상은 초기 NAC 솔루션이 출시됐을 때 NAC 솔루션의 가치를 모르고 있다가 뒤늦게 필요성을 깨달았기에 일어난 현상일까?
물론 실제 어느 정도는 NAC의 기능에 대한 이해도가 시장 활성화에 영향을 끼친 것으로 보는 것은 옳은 판단이다. 하지만, 보다 더 중요한 점은 NAC가 출시된 초기 기업 경영 환경과 지금에 많은 변화가 있다는 것이 더 정확한 이해다.
불과 몇 년 전에는 기업 내 사용자 관리라는 개념이 도입되기 이전이며 IT 환경이 경영환경과 관련이 있다는 아주 개념적인 방법론이 있을 뿐이었다. 아니 보다 정확한 표현은 방법론에 보안에 대한 부분은 아주 미비하고 구체적인 솔루션이 없는 상태였다는 것이 맞을 것 같다. NAC의 경우 기존의 안티바이러스나 IDS/IPS 를 대체 하는 것이 아닌 신규의 보안 기능을 지니는 새로운 보안 솔루션이다. 새로운 보안 제품이나 솔루션을 기업이 아무런 이유 없이 도입하지는 않는다.
오늘날 기업의 경영 환경은 하루가 다르게 변화하고 있다. 기업의 조직은 경영 방침에 따라 한 달 아니 일주일 단위로도 변화할 수 있는 환경에 처해 있는 것이다. 이러한 환경에서 IT의 활용도는 예전의 고성능, 광대역 등의 높은 수준의 디바이스 수준의 고가용성 수용이 아닌 경영 방침을 얼마나 빠르게 수용하고 이를 보장할 수 있느냐의 수준으로 바뀌고 있다.
종합적 IT 인프라 구현방법론 ‘필요’
NAC 또한 이러한 맥락에서 바라보아야 한다. 즉, 공공기관을 포함한 모든 기업이 수시로 변하는 동적 기업 형태에 맞는 IT 인프라를 갖추고 있으면서 이를 수용하고 사용자 단에서의 보안 성을 보장할 수 있는 솔루션을 찾게 되면서 NAC의 새로운 시장이 열리고 있다고 보는 것이 정확한 판단인 것이다.
같은 맥락에서 신규 솔루션인 웹 방화벽 제품을 살펴보자. 웹 방화벽의 경우 국내 제품의 시장 경쟁력이 다른 어떤 보안 제품보다 앞선 새로운 보안 시장을 창출하고 있는 분야 이다. 웹 방화벽의 시장의 확산은 여러 다른 이유도 있지만 기업의 홈 페이지에서 개인 정보에 대한 해킹으로 인한 피해 사례 확산이 주원인이다. 그렇다면 기업의 홈 페이지에 개인정보에 대한 모든 정보를 차단해 정보를 주고받게 되면 해결되는 문제일 텐데 굳이 웹 방화벽이란 보안 제품을 도입하면서까지 보안성을 높이려는 이유는 무엇일까?
역시 기업 경영 환경에 해답은 있다. 더 이상 기업의 정상적인 활동에 있어 특정 정보를 지속적으로 차단하거나, 특정 조직의 사람만이 접근해서는 정상적인 기업 활동이 불가능하다는 판단이 웹 방화벽 같은 새로운 부분의 보안 제품을 만들어 내게 된 것이다.
그렇다면 어떻게 하는 것이 IT 인프라 보안 구현에 있어 올바른 방안은 무엇인가.
과거에 비해 비즈니스 서비스 및 프로세스 (경영 컨설팅등) 모델 방법론 등이 IT 자산에 대한 관리, 활용 기준 등에 대한 많은 내용을 담아내고 있고 발전되고 있다. 여기에 IT 인프라에 대한 상세한 표준 기준 등을 ISO, BS 등에서 발표하고 업그레이드하고 있다.
이에 비례해 물리적 인프라 분야 또한 비즈니스 방법론을 이해하고 이를 접목하려는 노력이 있어야 한다. 다시 말하면 상호간에 접목되는 새로운 보안 패러다임이 만들어지고 이 큰 명제에서 세부적으로 해당 물리적 보안 솔루션들이 펼쳐지는 종합적인 IT 인프라 구현 방법론이 만들어져야 하는 것이다.
<그림 3>은 비즈니스 방법론과 물리적 보안 솔루션간의 연계 관계에 따른 구현 방법을 표현한 것이다. 대부분의 비즈니스 컨설팅 및 서비스 모델의 경우, 어떻게 하면 프로세스를 표준화하고 환경 변화에 따라 즉각적이고 효율적으로 반응할 것이냐에 대한 고민을 전략과 방안을 도출해 고객에게 제시하는 것이 큰 틀이다. 결국 고객이 이러한 모델이나 방법론이 필요한 이유는 기업의 성과를 보다 크고 지속적이게 하기 위한 것이다.
지금까지는 이러한 목적에 부합된 방법론에 IT는 주로 시스템화할 수 있고 툴로 표현될 수 있는 개략적인 아이템만을 주로 정의했다면 IT 인프라 구성에 있어 국내외 법률로 강제화 되고 기업의 가치 재고에도 큰 영향을 미치는 보안에 대한 구체적인 연계 방법론 도출은 향후 반듯이 이뤄져야 할 명제라고 할 수 있다.
IT 인프라의 보안에 대한 대단히 넓고 큰 주제에 대해 주관적인 생각이 많이 반영된 내용으로 보고 반론은 제기하는 이도 있을 것이라 생각된다. 하지만 이러한 비즈니스 방법론과 IT 인프라 솔루션에 대한 연계 구현 방안에 대해서는 다소의 차이는 있지만 많은 분들이 고민하고 있는 주제와 부합될 것이다.
예를 들어, 왜 정보 유출 방지를 구현해야 하는지, EAM과 IAM 솔루션은 어떤 단계에서 도입해야 하고 도입되는 경우 상호 연동은 어떤 효과를 내게 되는지, DRM 솔루션은 왜 구축해야 하는지 등 꼬리에 꼬리를 잇는 인프라 보안 솔루션 도입 단계에 대한 의문을 기업의 경영환경의 관점과 이를 반영한 정보보호의 운영이라는 시각으로 보면, IT 인프라 보안의 큰 방향성과 구체적인 보안 솔루션이 함께 짝이 돼 기획될 수 있는 자연스러운 환경이 된다. 이 기획 단계에서 기업은 기업 경영 방안에 부합되는 보안 조직, 정책을 기준으로 동종의 타 기업이 도입한 보안 솔루션이기 때문에 도입하고자 하는 것이 아닌 자사의 기업 경영 목적에 부합되는 최선의 보안 솔루션을 선택해야 하는 것이다.
