지난 시간에는 점점 더 중요해지고 있는 ‘물리 보안’과 물리 보안과 정보 보안이 만나 진화한 ‘융합 보안’에 대해 살펴보았는데요. 이어서 오늘 이 시간에는 [연재기획] 6편으로 ‘보안 관리 체계 도입’에 대해서 알아보겠습니다.
보안, 현재의 상황은?
최근 국정원의 이탈리아 해킹팀 S/W 사용에 대한 뉴스가 이슈화되고 있습니다. 해킹팀의 S/W는 보안 취약점이 발견된 후 이를 막을 수 있는 패치가 발표되기 전에 그 취약점을 이용하여 공격하는 제로데이공격(Zero Day Attack)을 이용하는 것으로 알려져 있는데요. 이와 같은 사례들은 모든 사람들에게 보안의 중요성, 아니 더 나아가 보안의 현실성을 보여 준다고 할 수 있습니다.
요즘 보안은 기업의 규모에 상관없이 당연히 적용을 해야 하는 것으로 인식되고 있습니다. 중소기업의 경우, 2013년 기준으로 10.2%가 최근 3년 간 기술 유출로 인한 피해를 경험했다고 하는데요. 그 결과 기술 유출 1건당 평균 16.9억 원의 매출액이 감소한 것으로 나타나고 있습니다. 그러나 중소기업 기술 보호 지원 정책 현황 및 과제를 참고해 보면 기술 보호 역량 수준은 43.3점으로 ‘취약’ 수준인데요. 이는 대기업 대비 66.1%의 수준 정도입니다.
중소기업의 보안 인식이 강화된 또 다른 이유는 협력사 관리에 대한 보안 이슈의 대두인데요. 금융 기관의 보안 사고에 대해서도 그 원인을 협력 인원의 관리 문제로 지적하는 경우가 상당수 발생하여 협력사에 대한 관리 감독을 강화하는 규정이 마련되었습니다. 또한 개인 정보 보호법 등에서도 수탁사의 관리 책임을 강화하고 있는 실정입니다.
이에 따라 도미노처럼 이미 보안에 대비한 회사들이 협력사에 대한 관리 강화를 하면서 자연스레 중소 규모의 회사까지 보안에 대한 필요성을 요구하게 된 것이죠. 그리고 이러한 흐름에 따라 그 동안 보안에 대해 우선순위를 두지 않았던 회사들이 고객사의 감사(Audit) 대응을 위해 보안을 해야만 하는 상황에 이르고 있는 것입니다.
그러나 막상 보안을 해야 하는 협력사는 막막한 상황인데요. 우선 업무 담당자 부족으로 보안 업무만을 집중적으로 수행하는 인력이 존재하지 않는 경우가 많습니다. 또한 담당자로 지정이 되어도 보안 전문성의 부재로 인해 무엇을 어떻게 해야 하는지 몰라 보안 업무 추진이 어려운 상황입니다.
따라서 LG CNS에서는 보안 관리 체계를 도입하려는 담당자가 보안에 대한 막연한 불안감을 떨칠 수 있도록 도움을 주고자 하는데요. 그 자세한 내용을 지금부터 소개하겠습니다.
보안 관리 체계 도입 시, 고려해야 할 점은?
1. 보안 관리 체계 수립 목적
여러분은 보안 관리 체계를 수립하려는 목적이 무엇이라고 생각하시나요? 우선 보안이라는 것에 대해서는 대부분 개념적으로 이해하고 있으실 겁니다. 보호해야 할 자산을 외부로부터 보호하는 것을 보안이라고 한다면 보안 관리 체계의 목적은 이러한 자산이 무엇이고, 왜 보호해야 하는지 정의하고 이를 보호하기 위해 어떤 절차를 따라야 하는지를 수립하는 것이라고 할 수 있죠. 특히 해야 할 업무에 대해 역할과 책임을 명확히 부여해서 실질적 이행이 될 수 있도록 해야 합니다.
이러한 보안 관리 체계의 한 예를 살펴보면 위의 [그림1]과 같은데요. 거버넌스(Governance)를 위해 보안 협의회를 중심으로 의사 결정 체계를 구성하고 PDCA(Plan-Do-Check-Act)의 절차를 수행합니다. 그리고 수행을 위한 기반으로 ISO27001의 인증 체계를 활용하고 사업 전략, 보안 리스크 대응, 법규 및 감독 기준의 준수 등을 수행합니다.
위 사례를 바탕으로 보안 관리 체계를 구성함에 있어서 3가지 관점을 갖고 시작하면 좋습니다. 3가지 관점이란 ‘GRC’를 고려한 접근을 말하는데요. 이 때 GRC란 Governance, Risk, Compliance의 세 축이며 보안 정책 실행을 위한 효율적인 체계, 보안 위험 분석에 따른 대응, 법규 준수로 보면 됩니다.
● Governance
Governance를 위해서는 경영진에 의한 보안 관련 검토 체계가 필요합니다. 보안 관련 투자 발생 시 최종 의사 결정 및 연간, 중장기 보안 계획을 승인하고 위험 평가 및 취약성 점검 결과를 검토하는 것이죠. 또한 보안 대책의 효과성에 대한 정기적인 검토 결과를 보고 받고, 그에 따른 시정 조치 결과 또한 검토하는 것으로 볼 수 있습니다.
다시 말해, 보안 업무도 업무의 하나이므로 사업 전략에 관련된 보안 전략 수립 및 정기적 평가 등 업무 수행을 위한 근거를 만들어 추진 동력을 삼는 것으로 이해하시면 됩니다.
● Risk
다음으로는 Risk에 기반한 보안 대책 수립 및 정기적인 위험 평가를 통해 위험 관리를 수행하는 것이 필요합니다. 위험 관리에 대한 내용은 다양한 방법이 제시되고 있는데요. 따라서 회사에 필요한 방법을 찾아 적용해야 합니다. LG CNS 블로그의 보안 위험 분석 방법론의 한계와 발전 방향에 대한 글(http://blog.lgcns.com/812)을 참고하시면 좋을 것 같습니다.
● Compliance
마지막으로 법규 및 감독 기준(Compliance)에 대한 정기적 검토 및 관련 대책의 수립이 필요합니다. 물론 초기에 관련 법규를 모두 적용하는 것이 쉽지는 않겠죠. 그러나 우선 사회적으로 이슈가 되는 부분 위주로 검토를 진행하고, 세세한 내용은 업무 담당자와 지속적인 협업을 수행하며 보완해 가는 방향으로 추진해 가는 것이 좋습니다. 또한 여의치 않을 경우 관련 전문가의 지원을 고려해 보시기 바랍니다.
2. 보안 관리 체계의 수립 방법
보안 관리 체계를 수립하는 방법은 매우 다양합니다. 여기에서는 그 중 2가지 수립 방법에 대해 설명하고자 합니다.
우선 가장 기본적인 요구 사항을 도출하고 이를 만족시키기 위한 보안 규정을 수립하는 정론의 방법이 있을 수 있습니다. 이때 요구 사항은 보안 관리 체계 인증에서 필요한 항목, 법규에서 요구되는 항목 등을 토대로 찾아볼 수 있는데요. 이러한 항목별로 회사에 적용해야 하는 것을 정의하고 이를 바탕으로 규정화하는 방법입니다.
다만 초기에 접근하는 담당자들은 문서의 양과 정의되어야 하는 수준이 불명확하여 혼란에 빠질 위험이 다분히 존재하는 방법일 수 있는데요. ‘중소기업의 기술 보호를 위한 세부 보안 통제 실행 가이드 라인’과 같은 문서를 참고하시면 그 내용을 이해하는데 도움이 될 것 같습니다.
참고할 수 있는 보안 관리 인증 제도로는 ISO27001(International Organization for Standardization), ISMS(Information Security Management System), PIMS(Personal Information Management System), PIPL(Personal Information Protection Level), 정보 보호 준비도 평가 등을 들 수 있는데요. 이 중에서 분야와 평가 기준 등을 고려하여 선택하면 됩니다. 그러나 일반적으로 처음 접하는 경우 ‘정보 보호 준비도 평가’부터 시작하는 것이 좋습니다.
다음 방법은 성공사례(Best Practice, 이하 BP)를 참고하여 이를 회사에 맞도록 변경 적용을 수행하는 방법입니다. 이 역시도 BP를 선택하는데 있어 위험이 존재하기는 하지만 정론에 비해서는 조금 더 현실적인 접근이 될 수 있을 것 같은데요. 다음에 제시하는 것은 BP의 하나의 예로 LG CNS의 정보 보안 표준 프레임 일부 사례입니다.
BP는 인터넷이나 관련된 회사의 정보를 참고로 수집하는데요. 보안이라는 영역이 자료를 공유하는 것을 기본적으로 제한하는 사상이다 보니 이러한 과정이 용이하지 않을 수도 있습니다. 하지만 초기 도입 상황이라면 충분히 적용 가능한 방법입니다.
3. 필수적으로 수행해야 하는 보안 업무의 검토
보안 관리 체계를 수립하면서 고민해야 하는 사항 중 하나는 과연 전담 인력이 존재할 수 있는가 하는 부분입니다. 전담 인력의 유무는 보안 관리 체계 수립에 있어 그 수행 가능한 범위를 조정하는데 큰 영향을 주기 때문인데요. 또한 필수적으로 수행해야 하는 보안 업무를 고려하여 전담 인력의 필요성을 검토할 수도 있습니다.
위의 [그림 2]를 참조로 보안 수행의 필수적인 업무, 즉 보안 관리 체계를 유지할 수 있도록 하는 업무를 정의한다면 이를 수행하기 위한 필요 인원을 어느 정도는 예상할 수 있는데요. 이를 시작으로 보안 활동이 수행될 수 있도록 구성하게 됩니다.
보안 관리 체계 도입 시, 고려해야 할 점은?
지금까지 보안 관리 체계를 어떻게 도입해야 하는지 함께 생각해 보았는데요. 그렇다면 어떤 점을 고려하며 도입하는 것이 좋을까요?
보안 관리 체계를 처음 도입할 때 많은 분들은 한번에 완전한 체계를 갖추어야 한다는 목표를 세우지만 사실 완전한 체계라는 것은 존재하지 않습니다. 지속적으로 실행해 나갈 수 있는 체계가 완전한 체계가 되는 것이죠. 따라서 실제로 할 수 있는 영역부터 확장해 나간다고 생각하는 것이 중요합니다.
특히 보안이라는 업무는 보안 담당자만이 수행하는 것이 아닌 구성원 모두가 수행해야 한다는 업무 특성을 갖고 있습니다. 또한 상호간의 신뢰 하에 업무를 해야 하는데 보안은 그런 신뢰를 전제하지 않는 상황을 가정해야 하다 보니 무언가 잘못된 일을 하는 것 같기도 하죠. 그러나 이런 생각을 갖게 되면 보안을 그저 업무 수행에 불편을 주는 요소로만 인식하게 됩니다.
그러다 보니 보안을 하는 입장에서는 보안 관리 체계를 어떻게 해야 하는지에 대해 더욱 어려움을 느낄 수밖에 없고, 현실의 제한이 우선시 되면 보안이 후 순위로 밀리는 상황에 이르기도 하는데요. 따라서 중간에서 적절한 유지를 하는 것이 큰 어려움이라 할 수 있습니다.
이렇듯 많은 어려움 속에서도 보안 관리 체계 도입에 첫발을 내딛는 분들에게 조금이나마 이 글이 위안이 되기를 바랍니다. 또한 자신의 회사에 맞는 안전한 실행 체계를 만드시기를 기원합니다.
다음 시간에는 보안 컨설팅 [연재기획] 7편으로 ‘IoT 보안 취약점 및 대응 방안’에 대해 함께 살펴보겠습니다.
LG CNS 페이스북 바로가기 : http://on.fb.me/1TnEH4j
글 ㅣ LG CNS 보안컨설팅팀
[‘보안컨설팅 A to Z’ 연재 현황 및 향후 계획]
● 1편 출입카드 복제 위험 : http://blog.lgcns.com/737
● 2편 통합보안 관리 솔루션 구축 시 고려사항 : http://blog.lgcns.com/751
● 3편 의료분야 개인정보보호 위반사례 및 대응방안 : http://blog.lgcns.com/779
● 4편 보안 위험 분석 방법론의 한계와 발전방향 : http://blog.lgcns.com/812 (上) / http://blog.lgcns.com/813 (下)
● 5편 물리보안 동향 : http://blog.lgcns.com/856
● 6편 보안관리체계 도입하기 : http://blog.lgcns.com/869
● 7편 IoT 보안 취약점 및 대응방안 : http://blog.lgcns.com/896
● 8편 금융권 망분리 가이드라인 : http://blog.lgcns.com/922
● 9편 전자문서 보안 : http://blog.lgcns.com/945
● 10편 공공기관 모바일 보안