1. IT 위험관리시스템 개요
상태바
1. IT 위험관리시스템 개요
  • 데이터넷
  • 승인 2007.05.28 00:00
  • 댓글 0
이 기사를 공유합니다

IT 위험관리시스템
자동화된 IT 위험관리시스템으로 비즈니스 연속성 보장

수동적 모니터링에서 능동적 예방·대응으로 … 상시적 진단관리·대책적용 기술로 ‘진화’

IT가 비즈니스의 필수적 도구로 자리매김하면서 데이터 센터 장애, 데이터 손상, 보안 침해 등에 의한 심각한 데이터 손실은 기업에게 치명적 상처를 가져올 수 있다. IT 위험관리시스템은 비즈니스 위험에 대한 능동적 대응을 통해 사전에 이를 예방하고, 위험 발생 시 신속한 대처하게 함으로써 기업 비즈니스의 연속성을 보장하게 된다. IT 위험관리의 자동화 측면에 초점을 맞춰 현재 기업 및 조직의 보안관리에 이용되는 솔루션을 비교하고, IT 위험관리의 필요성과 자동화된 종합위험관리시스템을 구축하기 위해 필요한 기반 요소들을 살펴본다. <편집자>

연재순서
1. IT 위험관리시스템 개요 (이번호)
2. IT 위험관리시스템 필요기술과 주요기능

최대수 //
이글루시큐리티 보안연구소 선임연구원
dschoi@igloosec.comr

1990년대 후반부터 위험관리 모델 및 위험관리 방법론 등으로 다양하게 연구되고 개발된 IT 분야의 위험관리에 대한 관심이 최근 또다시 증대되고 있다. 최근의 관심은 IT 위험관리를 자동화하고 시스템화하는데 모아지고 있다. 이는 각종 사이버 침해사고의 증가와 더불어 침해사고 예방활동의 중요성이 강조되기 때문이다. 즉, 기존의 단편적인 보안제품중심의 기술적 보안관제만으로는 총체적인 조직의 보안 위험관리에 한계가 있음을 인식하기 시작한 것이 IT 위험관리가 재부상하는 배경인 것이다.
시만텍에서 발표한 ‘인터넷보안 위협 보고서(ISTR) 제11호’에 따르면, 금전적 이득을 노린 사이버 범죄가 지속적으로 증가하고 있으며, 기밀 정보를 유출시키며 특정 타깃을 겨냥한 악성 코드 또한 증가하고 있다. 이처럼 사이버 범죄자들이 점점 더 악의적인 목적을 가짐에 따라 보안 제품의 탐지를 피해가기 위해 더욱 복잡하고 정교한 공격 방법이 개발되고 있으며, 기업이나 개인 사용자가 보유한 민감한 기밀 정보에 접근해 금전적 손실을 야기하거나, 중요한 고객에게 피해를 입히고 고객 명의를 손상시키고 있다. 이는 단편적인 보안제품을 활용한 보안관리에는 한계가 있음을 암시하는 현상으로 볼 수 있다.
통합보안관리시스템, 즉 ESM(Enterprise Security Management)은 2000년도 초기에 국내에 도입돼 현재 기업 및 조직에 필수 관리 시스템으로 보안관제에 활용되는 솔루션이다. 통합보안관리시스템은 기업의 보안 정책을 반영, 이기종의 정보보호시스템을 통합해 관제·운영·관리하게 함으로써 기업의 보안 목적을 효율적으로 실행시킬 수 있도록 지원하고 있다. 기업이 보유하고 있는 각종 보안 제품(방화벽, IPS, IDS, VPN 등) 및 네트워크 장비(서버, 라우터 등)와 연동해 이를 효율적으로 운영할 수 있도록 지원하는 한편 다양한 위협에 대해 사전·사후 분석을 가능케 하는 것이다.
또한 최근에는 사이버침해사고가 발생하기 전 조기에 위협정보를 예·경보 한다는 의미에서 위협관리시스템(TMS : Threat Management System) 제품도 등장하고 있다. 위협관리시스템은 트래픽 정보와 침입탐지시스템 정보를 기반으로 유해트래픽의 발생유무, 침입탐지의 기능을 수행한다. SMS(Server Management System), NMS(Network Management System)와 함께 보안 관리에 활용되는 솔루션들을 비교해보면 다음 <표 1>과 같다.
각 시스템마다 관리 목표가 구분되기에 어느 시스템이 우위에 있다고 말할 수는 없으며, 각 시스템마다 다른 시스템들의 일부 기능을 제공하기도 한다. 예를 들어 ESM에서는 SMS, NMS의 일부 기능을 제공하고 있고, SMS, NMS도 일부 보안 기능을 제공하고 있다. 그러나 분명한 것은 태생이 보안관제 목적으로 개발된 ESM이 보안관리 분야에서는 단연 우위에 있다는 점이다. 그럼에도 불구하고 아직도 ESM으로 IT 정보시스템의 전체적인 위험을 관리하기에는 분명 한계가 있는 것 또한 사실이다.
관리란 일반적으로 계획, 실행, 평가의 주기를 가진다. 보안관리 역시 계획단계에서 보안정책을 수립하고 시스템에 대한 보안계획을 작성한 후 실행단계에서 보안대책을 설치하게 된다. 다음으로 평가단계에서는 보안감사 및 사후관리를 수행하고, 다시 계획단계로 피드백돼야 한다. 보안관리시스템은 이를 보다 정교화하고 범위를 확대해 IT 위험관리시스템으로 진화해야 할 것이다.

정보시스템의 위험관리
정보시스템의 위험관리라 함은 기업 및 조직에서 산발적으로 관리되는 다양한 보안 관리 정보를 통합, 전체/자산별/조직별로 위험을 측정하고 평가해 보안대책을 일정 수준으로 유지하고 관리하는 것으로 정의할 수 있다. 또 보안 관리 수준을 단일 지표로 제공할 수 있어야 한다.
정보시스템에 대하여 위험관리가 필요한 이유를 정리하면 다음과 같다.

■ 보안관리 조직에서 기존 모니터링 위주의 수동적 업무에서 대처 및 예방 중심의 능동적인 보안 관리 업무로 개선하기 위해서 위험관리가 필요하다.
■ 취약점 평가 등 개별적이며 비정기적으로 처리되는 평가를 지속적으로 관리하고, 상시적으로 정보자산 취약성 평가/관리를 위해 필요하다.
■ 보안 이슈사항에 대한 조치 및 이행상태 등 평가 기준을 제시하고, 기준에 의거한 준수 검증을 위해 필요하다.

위험관리활동의 구성은 ▲평가 기준에 의해 평가를 수행하고 정책을 정의하는 위험 평가 활동 ▲위험 평가에 의해 식별된 위험에 대해 위험 대응 프로세스와 계획을 수립하는 위험 처리계획 활동 ▲수립된 계획에 의해 위험에 대응하고 대책을 적용해 위험을 제거하는 위험 대응 활동 ▲주기적인 정책 검증, 위험도 재평가, 잔존 위험에 대한 처리계획 수립·피드백하는 정책 수립·배포 활동으로 구분할 수 있다.
위험관리와 관련된 내용으로는 위험분석과 자산, 위협, 취약점 등이 있다. 정보시스템과 그 자산의 기밀성(Confidentiality), 무결성(Integrity), 가용성(Availability) 에 영향을 미칠 수 있는 다양한 위협에 대해서 정보시스템의 취약점을 인식하고 이로 인해 예상되는 손실을 분석하는 것을 위험분석이라 한다.
위험분석은 자산, 위협 취약점으로 구성되며, 위협관리(Threat Management)는 내·외부의 악의적 활동을 평가하는 행위로 조직의 어느 곳에 어떠한 위협이 있는지를 알아내어 그에 맞는 내부자원을 배치하고 활용할 수 있도록 계획할 수 있는 근거를 제시하며, 취약점 관리(Vulnerability Management)는 내·외부의 공격에 의해서 영항을 받을 수 있는 약점을 식별하는 행위다. 자산관리(Asset Management)는 공격으로부터 보호하고자 하는 자산을 식별하고 보호대상의 우선순위를 정하는 것이다.
조직의 적절한 위험관리가 되기 위해서는, 관리대상이 되는 자산과 위험을 인식할 수 있는 관리기준이 먼저 정의돼 있어야 하며, 이를 기준으로 각 자산 별로 위험도를 파악할 수 있도록 정량화된 위협, 취약점, 발생가능성, 침해사고 영향 범위, 자산가치(서비스 및 물리적 자산) 등에 대한 등급이 존재해야 한다. 또한 상시적으로 이를 점검하고 평가해 일정 점수 이상이면 해당 위험을 제거하거나 위험 수준을 낮추기 위한 조치를 할 수 있어야 한다. 물론 이러한 위험관리는 자동화된 시스템으로 구현돼야 할 것이다.

보안관리 수준 측정 지표
자동화되고 일관된 위험관리를 위해서는 보안관리 수준을 측정하기 위한 지표(평가항목) 선정이 선행돼야 한다. 대표적인 정보보호측정기준으로 국가·공공기관 정보보호수준측정방법(국가사이버안전매뉴얼의 평시안전점검 체크리스트)과 기업에서 많이 사용하는 ISO27001 (BS7799), 한국정보보호진흥원의 정보보호관리체계(ISMS) 점검항목이 있다.
국가정보원에서는 범국가적 사이버 위협대응체계 구축과 예방 대응을 위한 실무지침서 ‘국가 사이버안전매뉴얼’을 발간하고 있으며, 정부 공공기관에 대한 보안관리수준 평가도 실시하고 있다. 보안관리수준평가는 각급기관의 보안등급을 평가하고 각 기관별 보안관리 기준에 따른 현황평가를 실시 후 가중치와 사이버안전활동 참여치를 포함해 종합 평가하는 것이다.
ISO27001은 국제적 정보보호관리체계에 대한 요구사항을 정의하고 있다. 정보보호관리체계에 대한 국제규격은 BS7799가 있었으며, 파트1(실행지침)과 파트2(규격)로 구성된다. 파트1은 2000년(ISO/IEC 17799)에, 파트2는 2005년 11월(ISO27001)에 국제표준으로 등록됐다. BS7799 규격에서 통제항목은 10개 도메인에 127개 통제항목으로 구성돼 있었지만, 국제표준화되면서 11개 도메인에 133개 통제항목으로 변경됐다.
마지막으로 한국정보보호진흥원의 정보보호관리체계 인증심사 기준 점검항목은 397개 항목으로 구성되며, 각 점검항목별로 준수여부를 확인해 정보보호 수준을 평가하고 관리할 수 있다.

IT 위험관리시스템 구현 기술
자동화된 IT 위험관리시스템을 구현하는 기반 기술에 따라 분류해 비교해보면 <표 3>과 같다. 취약점 점검에 강점을 가진 스캐너 개발업체를 중심으로 개발된 것이 초창기 IT 위험관리시스템의 모습이라면, 현재는 전사적 보안관리 측면에서 접근하는 ESM 개발업체를 중심으로 위협식별과 자산식별, 상시적인 진단 관리 및 대책적용이 가능한 기술로 발전하고 있다고 볼 수 있다.
지난해 시만텍의 IT 위험 관리 보고서를 보면, 조사 응답자중 60%가 핵심 비즈니스 프로세스를 방해하거나 중단 시킬 수 있을 정도의 심각한 IT 사고가 최소 연 1회 이상 발생할 것으로 예상한다고 답하고 있다. 또 응답자의 58%는 데이터 센터 장애, 데이터 손상, 보안 침해 등에 의한 심각한 데이터 손실이 매 5년마다 적어도 한 차례 이상 발생할 것으로 예상하고 있었다.
이러한 위험에 대처하기 위해서는 베스트 프랙티스로 검증된 프로세스 통제와 기술 통제 영역을 결합시킨 정교한 통제 방법을 적용한 효과적인 IT 위험관리시스템이 반드시 요구된다고 할 수 있다. 비효율적인 조직은 포괄적인 관점보다는 사소한 기술적 통제에 집중하는 경향을 보이지만, 위험관리에 우수한 조직은 포괄적인 관점에서 위험관리에 접근해 프로세스 통제 및 다양한 통제 부분에서 높은 효율성을 보이고 있다는 IT 위험관리보고서의 지적은 반드시 눈여겨 봐야할 사실이다.
지금까지 IT 보안 분야의 관리현실과 IT 위험관리에 대한 개념, 그리고 IT 위험관리시스템의 필요성에 대해 알아봤다. 또 자동화된 IT 위험관리시스템 구현 기술에 대해서도 간략히 살펴봤다. 다음 회에는 공격수준 평가방법과 대책적용방법, 그리고 자동화된 종합위험관리시스템에 필요한 기능에 대해 보다 자세히 살펴보겠다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.