본문 바로가기
  • (개인)정보보호/최신ICT 정보 공유 블로그
(부제) 나는 CISO 이다/CSAP 인증심사

(CSAP) 보안사고 정말 없었다? 믿어져?

by 노벰버맨 2021. 3. 27.

1. 사고의 정의

2. 사고가 정말 없었나

3. 중소기업은 안전하다?

 

컨설팅이나 심사를 나가서 정보보호와 관련된 사고 대응과 관련된 인터뷰를 진행해 보면 지금까지 침해사고가 없었고 관련된 모니터링, 분석 및 대응 등의 증적이 전혀 없는 경우가 있습니다.

 

1. 이 경우 먼저 사고의 정의가 적절하지 않아 발생할 수 있습니다.

일반적으로 "침해사고"란 “해킹, 컴퓨터바이러스, 논리폭탄, 메일폭탄, 서비스 거부 또는 고출력 전자기파 등의 방법으로 정보통신망 또는 이와 관련된 정보시스템을 공격하는 행위를 하여 발생한 사태”의미합니다.

즉 주로 공격자에 의해 해킹, 악성코드 감염, 시스템 파괴, 경유지 공격, 위변조 등 피해가 발생한 사고를 의미하는데 이는 정보보호와 관련된 사고의 일부만을 의미하고 있습니다.

 

반면에 "보안사고"는 조직이나 업무 등에 영향을 미치는 승인되지 않은 정보자산에 대한 (내외부) 접근, (부정) 변경, (개인정보 등 중요정보) 유출 등의 사건을 의미합니다. (반드시 위와 같이 침해사고, 보안사고를 정의할 수 없지만 많은 경우 사고의 정의를 매우 협의적으로 정하는 경우가 있습니다.)

구분 침해사고 보안사고
공격자 외부 공격자 외부 공격자 뿐만 아니라 내부 임직원
대상 인터넷과 연결된 자산 인터넷 연결 유무와 상관없이 접근 가능한 중요 자산
피해 공격 행위 (침투, 유출, 변조 등) 접근, 변경, 유출, 삭제 등

때문에 우리가 사고와 관련하여 관점의 변화를 가져볼 필요가 있으며 이를 통해 모니터링 대상과 기법, 방법 등에 변화 또한 요구되게 됩니다.

 

 

2. 다음으로는 정말 사고가 없었는가 입니다.

상황으로는

1) 사고가 있었지만 보고하지 않는 경우

2) 사고 발생 여부를 인지하지 못하는 경우

3) 정말 완벽한 정보보호 통제로 인해 사고가 한건도 없는 경우

가 있을 수 있습니다.

 

3)의 경우이면 다행이지만 가능성이 매우 낮고

1) 또는 2)의 경우 CEO, CISO가 사고 여부를 인지하지 못할 가능성이 높습니다.

 

이에 대한 한가지 예로써

ISMS 등의 정보보호관리체계인증을 가지고 있지만 내부 PC를 이용해 관리자 계정으로 업무 정보가 유출되었지만

정보 유출 등을 전혀 탐지하지 못하고

외부 수사기관 등을 통해 고객 개인정보 등의 유출 사실을 인지하는 경우가 있습니다.

 

때문에 사고에 대한 적절하고 빠른 대응을 위해서는 사고 인지가 중요하며

이를 위해서는 숙달된 인력, 다양한 정보보호 도구 및 기법, 반복적인 절차가 필요합니다.

 

3. 그렇다면 중소기업의 경우 중요한 자산이 없으니 안전하다고 생각할 수 있을까요.

요즘은 중소기업도 대기업 못지 않게 중요 정보자산을 보유한 경우가 많으며

정보보호 활동이 대기업에 비해 수준이 낮기 때문에

경유지 공격 또는 다양한 공격을 위한 근원지가 되는 간혹 발생하고 있습니다.

 

따라서 중소기업이기 때문에 안전하다고 볼 수 없으며

정보자산의 중요도와 피해 규모에 따라 적절한 정보보호 활동의 수행이 필요합니다.

침해사고 경험 및 피해 심각성 (20년도 정보보호 실태조사 보고서 참조)
침해사고 경험 유형 (20년도 정보보호 실태조사 보고서 참조)

댓글