단품보다 체계적 시스템 확립 필요 … 기업 구성원 전체 보안 수준 높여야
황완식 // 한국HP 컨설팅부 차장
wan-sik.hwang@hp.com
연재순서
1. 정보보호와 사람(이번호)
2. IT 인프라스트럭처에서의 보안
3. HP의 인프라스트럭처 보안
최근 정보통신기술의 발달과 인터넷의 급속한 확산으로 정보자산에 대한 중요성은 점차 증가하고 있으며, 정보자산의 중요도 증대에 따라 이를 노리는 위협 역시 나날이 증대되고 있다. 오늘날 위협은 고도로 정교화하고 다양해지고 있기에 단품 솔루션을 통한 대응은 한계에 봉착하고 있다. 보다 효과적인 정보보호를 위해 각 보안 솔루션을 체계화해 운영할 수 있는 정보보호관리체계 수립이 요구되는 것이다. <편집자>
2007년 1월 IT 관련 국내 주요 미디어를 통해 정부통합전산센터의 보안 문제가 크게 다뤄졌다. 건국 이래 최대의 국가 IT프로젝트란 위상에 걸맞게 48개 정부부처 전산실이 대전과 광주에 각 24개 부처씩 이전되고, 통합 및 운영되는 단계로 수천억원의 예산이 투입되고 있다.
중앙집중화시키는 것이 운영 면에 있어서 장점이 많지만 정보보호 측면에서는 기존 정부 부처가 분산돼 있을 때보다 전세계 해커들의 더 많은 관심을 불러일으키고 있으며, 이에 정보보호관리체계 수립 및 운영에 대한 관심이 높아지고 있다. 물론 기술적인 대책이 없는 것은 아니지만, 결국 사람 중심으로 정보보호의 기술들을 관리해야 한다는 점에서 사실 기술보다 더 중요하게 생각되는 것이 그 기술적인 대책들을 관리하는 체계 정립과 체계의 운영이라고 할 수 있기 때문이다.
최근 정보통신기술의 발달과 인터넷의 급속한 확산으로 기업의 정보자산에 대한 위협이 날로 증대되고 있다. 앞서의 국내 사례와 같이 기관과 기업들은 이러한 다양한 위협에 솔루션, 제품 등으로 대변되는 기술적인 대응 노력만으로는 한계가 있음을 깨닫고 효과적인 정보보호관리(Management)를 통해 보유 정보자산의 신뢰성 확보를 위한 노력을 아끼지 않고 있다. 이러한 노력은 ISMS(Information Security Management System), 즉 정보보호관리체계 수립·운영이라는 형태로 표현된다.
여기서는 우선 국내외 정보보호관리체계 제도에 대해 소개하고 국내 환경에 맞는 한국정보보호진흥원(KISA)의 ISMS에 대해 세부적인 소개를 하고자 한다.
정보보호관리체계의 정의와 인증 절차
정보보호관리체계는 조직의 전반적인 경영을 위한 관리구조의 한 부분이 돼야 한다. 조직의 사업 목적을 달성하고 사업을 수행하기 위한 여러 경영관리 체계 중의 하나로 특히 정보자산의 보호에 관련된 위험을 관리해야 하는 것이다.
정보보호에 관련된 위험이란 정보자산이 허가되지 않은 사람에게 노출되거나(기밀성 위험), 허가되지 않은 사람이 변경하거나(무결성 위험), 정당한 사용자가 사용할 수 없는(가용성 위험) 위험을 말한다. 또 개인정보보호라든가 지적재산권과 같은 법률적으로 규정된 사항을 지키지 못해 발생하는 위험(준거성 위험)을 포함하기도 한다.
정보보호관리체계는 이런 보호 자산에 대한 기밀성·무결성·가용성을 높이기 위해 조직적·관리적·운영적·기술적 통제를 위해 존재한다. 그리고 이를 위한 조직적이고 체계적인 관리체계 프레임워크를 가지며, 대내외적인 인증(Certification) 제도로 그 표준이 정의돼 있다.
현재 전세계적인 ISMS 모범사례는 영국정부가 만든 BS7799라 할 수 있다. 특히 BS7799는 PART1, PART2에 따라 전세계 ISMS표준으로 채택돼 ISO/IEC17799, ISO/IEC27001로서 존재하고 있다. 특정 조직의 비즈니스가 정보보호 측면에서 국제적인 신뢰도를 얻기 위해서는 국제 표준으로 채택된 ISO17799 또는 27001 등을 획득할 것이 권장되며, 이를 위해서는 적어도 1년 이상의 중단기적인 준비가 선행돼야 할 것이다.
국내의 경우에는 한국정보보호진흥원(KISA)이 2년간의 노력 끝에 완성한 KISA-ISMS가 유일한 국내 정보보호관리체계로 존재한다. ISMS 인증심사 기준은 2002년 5월 정통부고시(제2002-22호)로 공표됐으며, 정보보호 5단계 관리과정 요구사항 14개 필수항목, 문서화 요구사항 3개 필수항목, 정보보호대책 15개 분야 120개 세부항목 등 총 137개 항목으로 구성돼 있다.
현재 국내에서는 위 두 가지 ISMS 인증, 즉 BS7799로 시작된 인증과 KISA-ISMS 인증이 이미 3, 4년 전부터 시작돼 꾸준히 인증 사례가 증가하는 상태다.
ISMS 인증을 받기 위해서는 다음과 같은 3가지 요구사항을 만족해야 한다. 첫째로 5단계 정보보호관리과정에 따라 ISMS를 수립·운영해야 하며, 둘째로 ISMS 수립과 운영에 관련된 사항을 관련자들이 쉽게 이용할 수 있도록 문서화해야 한다. 마지막으로는 위험분석을 통해 필요한 통제사항을 선정하고 이에 해당하는 정보보호대책을 구현하고 운영해야 한다.
KISA-ISMS의 경우, 인증심사는 (최초)인증심사, 갱신심사, 재심사, 사후관리심사로 구분된다. 기본적으로 인증유효기간은 3년이며, 인증취득 후 1년에 1회 이상 사후관리심사를 받아야 한다. 특히 인증심사를 KISA에 신청하기 전 이미 해당 조직은 ISMS 프레임워크가 구축돼 최소 3개월 이상 ISMS 하에서 정보보호 대상이 되는 영역을 통해 각종 산출물을 확인할 수 있어야 하며, 최초심사 때는 이런 사항(준거성)이 매우 자세하게 검토된다.
정보보호관리체계의 기대 효과
최근 추세로는 2~3일 간격으로 새로운 취약성이 발표되고 있으며, 이에 대응하기 위한 새로운 관리적, 절차적, 인적, 물리적, 기술적 대책들이 지속적으로 제안되고 있다. 각국의 여러 정보보호 관련 기관에서는 이러한 대책목록을 정리, 출판하고 있는데, 이 대책목록은 보통 100여 가지 이상의 대책을 포함하고 있는 경우가 보통이다. 또 이 목록에 포함되지 않은 세부기술적인 사항이나 기법들까지를 포함하면 수백 가지를 넘을 것으로 추정된다.
조직의 정보보호를 담당하는 책임자들은 이러한 목록을 참조하면서 몇 가지 질문을 떠올리게 될 것이다. ‘이 목록에 나온 대책이 전부인가?’, ‘이 대책들을 모두 다 도입해야 하는가?’, ‘이 대책들을 어떻게 관리해야 하는가?’ 등의 물음이 바로 그것이다. 이러한 의문사항에 대해 여러 정보보호 책임자와 전문가들이 고민해 찾아낸 답은 바로 ‘완전한 대책목록은 없다’는 것이다. 오늘 완전한 대책 목록을 내놓더라도 내일이면 또 다시 새로운 대책이 필요한 항목이 나타날 것이기 때문이다.
반면 그 모든 대책을 전부 구현할 필요는 없다. 각자의 조직에 필요한 대책만을 선정, 구현하면 그만이다. 하지만, 무엇보다 염두에 둘 사항은 조직에 필요한 대책 역시 내일이면 변단다는 점이다. 따라서 우리에게 무엇이 필요한지를 검토하고, 필요한 대책이 다 구현됐으며, 효과적으로 적용되고 있는지에 대해 지속적으로 관리해야 한다.
조직의 위험에 대한 단편적인 정보보호대책, 문제가 발생할 때마다 일회성으로 관리하는 부분적 보안은 조직의 정보보호에 큰 도움을 줄 수 없다. 수많은 정보보호대책 가운데서 우리에게 반드시 필요한 대책을 찾아내고, 그러한 대책을 구현하고 지속적으로 운영, 유지관리하기 위한 체계적인 정보보호관리체계 수립이 요구되는 것이다.
정보보호의 핵심은 사람
지금까지 정보보호 관리 체계에 대한 소개와 기대효과 등에 대해 기술했지만, 보다 중요한 점은 정보보호를 위한 기술적인 관리적 대책 역시 사람에 의해 시작되고 운영된다는 점이다. 결국 정보보호의 운영 주체인 사람의 의식 수준과 기술 수준에 따라 그 조직의 정보보호 운명이 좌우되는 까닭이다. 즉, 조직이 수용해야 할 정보보호관리체계의 중요성을 인식했다면, 조직 내 관련 인력들의 정보보호 인식 제고 및 기술수준 향상을 위한 교육훈련 등에 대한 투자가 반드시 필요하다. 더불어 정보보호의 특성에 대한 이해 속에서 개별 보안 솔루션 도입이전 단계에서부터 동적인 조직 내 기준정책 및 지침을 고민하고 활용할 수 있는 구체적인 방안 보유도 요구된다.
정보보호의 대상은 결국 정보를 활용하는 사람임을 명심해야 하지만, 이 때의 사람이 어느 특정 보안 전문가 및 운영자에 국한되는 것이 아님도 중요하다. 보안 전문가나 운영자의 기술 수준 향상 만으로는 결코 전사적인 정보보호 수준을 높일 수 없음을 인식해야하는 것이다.
조직 내 인력은 IT와 접점에 있는, 예를 들면 사용 PC 및 기타 정보 기기의 보안성에 대한 관심과 보안 지침 준수 여부에 대한 명확한 인지를 해야 하고, 정보보호 조직 및 관리자의 경우, 등급별 보안 정책 수립 및 변화/ 동적 관리등의 상세 정보보호 지침을 작성하고 모니터링 할 수 있는 시스템을 갖춰야 한다. 경영자의 경우는 대내외적으로 강화되고 있는 정보보호 관련법의 준수 여부, 경영상 영향을 미치는 정보보호 관련 이슈와 관련 기술을 인프라에 접목할 수 있는 혜안이 필요하다.
향후 보안은 다른 어떤 분야보다도 역동적이고 기술적인 변화가 많은 분야라고 예상된다. 대규모 인프라가 운용중인 조직이라고 하더라도 역동적인 변화를 보이는 보안 관련 이슈 모두를 수용하기에는 한계가 있다. 다시 말하면, 정보보호 및 보안은 현재의 보안 장비나 몇 개의 소프트웨어에 의존해 해결할 수 없다는 얘기다.
다소 원론적인 이야기지만 이를 해결하기 위해서는 결국 사람만이 유일한 방법이다. 아무리 좋은 보안 장비 및 솔루션을 도입하고, 관리하더라도 모든 조직원이 이를 100% 준수하고, 활용하지 않는다면 완벽한 정보보호를 이룰 수 없기 때문이다.
나아가 변화무쌍한 경영환경과 보안 기술 발전을 뒤좇아 가서는 인증을 획득한 후 오히려 보안 수준이 떨어지는 악순환이 계속될 것이다. 정보보호의 인증 심사를 통과하기 위한 조직 정비 및 보안정책/지침 수립이 아닌 조직의 보안 수준을 극대화하고, 기업이 지닌 역량을 최대한 강화할 수 있는 방안을 정한 후 이를 조직원들에게 인지시키는 단계를 밟아 가는 것이 가장 빠른 길일 것이다.
전통적인 인프라스트럭처 벤더의 보안 대응
요즘 IT 업종의 서비스를 하거나, 혹은 직간접으로 비즈니스에 관여하고 있는 조직이라면 IT 인프라스트럭처의 보안 강화 방법과 최신의 보안 기술에 대해 지대한 관심을 갖고 있을 수밖에 없다. 이에 대다수의 IT 벤더들은 보안 대응에 심혈을 기울이고 있는 상태다. 전통적인 IT 인프라스트럭처 기업으로 꼽히는 HP 역시 고객의 보안 문제 해결을 위해 다양한 노력을 진행하고 있으며, 이러한 HP의 움직임은 전통적 IT 인프라스트럭처 기업들의 보안 대응을 살필 수 있게 하는(아울러 전통적 IT 인프라스트럭처 기업이 보유한 앞선 보안 능력을 살필 수 있는) 대표적 사례가 될 것이다.
흔히 인식하듯 HP는 서버와 PC, 프린터 등을 제조하고, 판매하는 회사임에 틀림없지만 ‘PC와 서버, 프린터가 HP의 전부다’라는 인식은 분명 잘못된 것이다. HP는 고객과 갑과 을의 관계로 제품을 생산·설치·지원하는 일반적인 비즈니스 모델이 아니라, 파트너로서 고객의 모든 어려움과 고민을 해결하고, 공동의 성공을 목적으로 하는 IT 서비스 기업을 지향하고 있다.
따라서 고객의 최대 현안인 보안 문제를 해결하기 위해 HP만의 보안 솔루션과 지원 조직 체계를 갖추는 것은 아주 당연한 일이라고 할 수 있다. 보안에 대한 관심이 날로 높아지고 있는 이 시점에서 “HP가 보안 시장에서 경쟁사와 차별화된 솔루션, 이를 수행할 수 있는 조직이 있느냐”고 누군가 필자에게 묻는다면 필자는 ‘예’라고 힘주어 말할 수 있는 것이다.
HP의 보안 솔루션은 다양한 보안 분야에서 나름의 특화되고, HP만이 보유한 컨설팅 및 솔루션, 검증된 고객사례로 설명할 수 있다. 분야별로 이를 간략하게 살피면, 다음과 같다.
시큐리티 거버넌스(Security Governance) - 시큐리티 거버넌스 분야의 HP 솔루션은 ANA(Adaptive Network Architecture)로 네트워크 인프라의 트래픽 분석을 통해 비즈니스 연동성을 높이고, 동시에 보안성을 향상시키는 솔루션이다. 이를 적용하기 위해서는 우선 기업의 경영환경 및 인프라 환경을 분석하고, 현재의 보안 정책, 솔루션등의 유관 관계를 확인해야 한다. 이후 앞으로의 경영환경 변화와 M/A, 조직의 동적 변화 등을 고려해 보안 정책 및 솔루션을 설계/적용한다.
실제 삼성전자의 경우, 서버팜의 협력사 및 자회사와 업무 애플리케이션 서버의 분리 및 협업 업무의 확장을 위해 ANA 솔루션을 적용했다. 또한 글 본문에서 자세히 다룰 정보보호의 인증방안 및 컨설팅 등의 방법론도 이 분야에 속한다.
프로액티브 시큐리티 매니지먼트(Proactive Security Management) - 국내 보안 시장에서 공공분야를 중심으로 가장 활발하게 발생하고 국내 업체의 기술력이 돋보이는 분야가 바로 이 분야다. HP는 패치 관리(Patch Management) 기능 뿐 아니라 사전에(Proactive) 사용자 PC의 보안 정책과 평가(Assessment) 정보까지 확인하고, 이를 관리할 수 있는 라디아(Radia) 솔루션을 보유하고 있다.
계정관리(Identity Management) - 국내 시장에서는 SSO/EAM 솔루션으로 알려진 분야이다. 특히 IAM 분야는 단순 패키지 형태의 제품 설치보다 기업의 업무 형태와 비즈니스의 유관성을 정확하게 파악하는 것이 중요하며, 실제 국내 고객들도 과거의 솔루션 도입을 위해 IAM 프로젝트가 아닌 경영 및 조직의 변화를 수용할 수 있는 미래지향적 솔루션과 컨설팅을 요구하고 있다.
HP는 이 분야에서 OVSI/SA(Openview Select Identity/Select Access), ICEWALL 등 다양한 솔루션을 보유하고 있다. 이들은 일본, 유럽 등지에서 다수의 고객사를 확보, 이미 시장 검증을 완료했으며, 금융/제조/공공 등에서의 다양한 프로젝트를 통해 보유한 컨설팅 능력은 HP만의 강점이라 말할 수 있다.
트러스트 인프라스트럭처(Trust Infrastructure) - VPN, 방화벽, IPS 등은 IT 인프라 구성 시 필수 보안 요소 중 하나로 가장 일반적인 일반적인 보안 제품이라고 할 수 있다. 또한 최근에는 사용자 접근제어(Network Access Control)와 같이 보안 취약점을 지닌 엔드포인트의 접점을 제어하기 위한 신규 보안 솔루션도 등장하고 있다.
HP는 이미 2006년 전북대학병원 NAC 도입 프로젝트, 통신 및 제조 기업 등에서 컨설팅과 솔루션 시연 등을 수행했으며, 이를 통해 기술력과 NAC 솔루션의 구현 가능성을 검증받았다. 또 기업 정보 보호 관련 법규 등의 신규 재정 및 강화로 온라인 보안, 문서 유출 방지, 오프라인 보안 관련 솔루션 등도 선별적으로 확산되는 추세다. 여기에 HP는 정보유출방지 솔루션을 보유하고 고객들의 컴플라이언스 준수에 필요한 컨설팅 및 지원이 가능한 조직을 운용중에 있다.
