제3절 정보보호 관리체계의 구성요소

 

제3절 정보보호 관리체계의 구성요소

정보보호 관리체계를 통해 지속적인 정보보호 수준을 제고하고 침해사고 시 피해확산 방지와 신속한 대응 등의 절차를 수립, 훈련함으로써 고객 만족도 향상, 정보자산 보호, 업무 효율성 증진 등의 효과를 얻을 수 있다. 정보보호 투자가 기업의 이익에 얼마나 직접적으로 영향을 미쳤는지는 정확하게 판단하기 어려우나 정보보호 투자를 하지 않았을 경우 조직 및 기업이 침해사고 등으로 발생되는 기업 이미지 및 주가 하락, 매출 손실, 파트너 이탈, 고객 피해보상 등의 피해규모를 통해 간접적으로 산출할 수 있다.

정보보호 관리의 주요 구성요소들은 다음과 같다.

 

제１항 정보보호 전략

전략의 사전적 의미는 정치, 경제 따위의 사회적 활동을 하는데 필요한 책략이라고 정의하고 있다. (네이버) 전략의 기원은 군사 용어이며, 불확실한 상황에서 목적을 달성하기 위한 높은 수준의 계획 정도라고 볼 수 있다.  여기서 중요한 키워드가 두개 있는데 먼저 목적이다. 정치, 경제 등 사회활동의 목적 또는 조직 및 기업의 목적 등 다양한 영역에서 목적을 달성할 수 있어야 한다. 두번째로는 그 목적을 달성하기 위한 높은 수준의 계획이다. 목적 달성을 위해 조직 및 기업의 앞으로의 비전을 만들어보거나 3~4년 뒤의 포지션이 될 수 있다.

그렇다면 정보보호 전략은 조직 및 기업이 처한 다양한 사회 경제적 목표 달성이 가능하도록 안정적인 정보자산의 운영/활용이 가능하도록 중∙장기적인 상위수준의 계획을 수립하는 것이다.

4차 산업혁명의 도래와 비즈니스의 디지털화로 인해 ICT에 대한 의존도는 매우 높아지고 있어 정보관리와 정보보호의 중요성이 높아지고 있다. 이에 다수 조직 및 기업들은 정보보호에 투자를 늘리고 있는 추세이지만 여전히 다양한 형태의 해커 침입, 악성코드, 보안 취약점 등 사이버 공격은 끊이지 않고 있으며 고성능의 보안 솔루션만으로 해결할 수는 없다.

최근의 공격 유형을 보면 최근 사물인터넷이 확산되면서 이를 이용한 DDoS 공격 또는 프라이버시 침해 사고가 빈번하게 발생하고 있으며 다양한 경로를 통해 악성코드에 감염되고 지속적인 탐색을 통해 악의적인 활동을 수행하는 APT에 의해 운영 서버의 절반이 파괴되는 피해를 입기도 했다.

최근 사이버 공격에 어떤 사이트에서 유출된 유효 인증 정보를 다른 사이트에 대입해 접속을 시도하는 크리덴셜 스터핑이 주목받고 있다. 보통 사용자들은 여러 사이트에서 동일한 계정과 비밀번호를 쓰기 때문에 어느 한곳의 사이트의 계정 정보가 유출된다면 민감한 데이터를 가진 다른 사이트의 서비스에서도 유효할 확률이 높다는 점을 악용해 정보가 유출될 수 있다.

오늘날 사이버 공격은 다양한 모습으로 진화하고 있다. 과거의 기법이나 기술이 최신 기술과 결합하여 더욱 정교 해지거나 새로운 형태로 진화하는 모습을 보이기도 한다. 이에 조직 및 기업들이 다양한 정보보호 시스템을 구축하고 관리를 위해 노력하고 있는데 얼마나 많은 예산과 자원을 투자하고 있느냐 얼마나 많은 Activity를 수행하고 있느냐가 중요한 거이 아니라 어떻게 효율적이고 효과적으로 수행할 필요가 있다.

GRC는 전사적인 접근방식으로써 조직이 다양한 위험을 실시간으로 모니터링하고 관리, 조치를 할 수 있도록 할 뿐 아니라 성과와 의사결정을 개선할 수 있도록 도움을 준다. 거버넌스는 사업에서 규제를 준수하는 측면을 다루며, 위험은 위험을 어떻게 최소화할 것인가에 대한 부정적인 측면만 다루는 것이 아니라 새로운 사업을 시작하기 위해 위험을 어떻게 다룰 것인지 긍정적인 측면도 함께 다룬다. 컴플라이언스는 조직 및 기업의 부족한 부분을 보완하도록 하는 수동적인 수단에서 운영의 효율화를 위해 주도적으로 활용하는 부분으로 변화하고 있다.

정보보호 분야에서도 거버넌스, 위험관리, 컴플라이언스의 중요성이 높아지고 있다. 정보보호 거버넌스를 통해 이사진, 경영진, IT관리자, 정보보호 관리자 등의 이해관계자가 참여하여 정보보호와 관련된 의사결정을 수행하고, 정보보호에 대한 투자 성과를 모니터링하기 위한 활동들을 수행하면서 투자 성과를 높이기 위한 정보보호 전략을 개발, 추진, 관리하여야 한다. 경영자는 새로운 비즈니스 창출과 생산성 향상 및 비용 절감을 통해 기업 이윤을 극대화하고자 하는 입장이므로 성과가 불분명한 정보보호에 투자를 바라는 것은 어려울 것이므로 비즈니스 목표와의 연계가 필요하다.

비즈니스 목표 달성을 위해 정보보호 목표 수립, 규제 등을 준수할 수 있도록 효율적, 효과적인 컴플라이언스 활동을 수행하면서 위험에 기반한 현명한 결정을 내릴 수 있도록 전략 수립이 필요하다.

규제와 산업계 등의 요구사항을 살펴보면 규제의 범위와 내용은 다양함을 알 수 있다. 어떤 규제는 구체적이지 않거나 정보보호 방안에 대해 직접 구체적으로 언급을 하기도 한다. 이미 존재하는 다양한 정보보호 프레임워크를 활용하면 규제에서 요구하는 보안 목표를 달성할 수 있다.

 

[정보보호 프레임워크]

1)    ISO/IEC 27001

ISO/IEC 27001은 1995년 영국에서 개발한 BS7799(Part1, Part2)를 국제표준으로 상정하여 2005년 ISO/IEC 27001, 27002로 표준화되었다. ISO/IEC 27001:2005의 11개 영역 133개 통제항목을 ISO/IEC 27001:2013에서는 14개 영역 114개 통제항목으로 개정하였으며, ISO/IEC 27001:2005에서는 위협, 취약점, 위험평가, DoA 선정 등의 활동을 정의하고 있으나 ISO/IEC 27001:2013에서는 별도 ISO/IEC 31000 리스크 관리 방법론을 활용하여 원칙, 프레임워크, 프로세스를 적용하도록 하고 있다. ISO/IEC 27002는 ISO/IEC 27001:2013에서 제시하는 통제를 지원하기 위한 모범 사례를 제공한다.

2)    FISMA

2002년에 미국 연방정보기관의 정보시스템을 보호하기 위한 최소한의 통제 개발 및 유지를 위한 프레임워크를 제공하기 위해 제정되었다.

NIST는 FISMA에 의해 연방정보의 정보보호와 관련된 SP 시리즈를 발표하고 있다. 연방 정부의 정보보호 관리를 지원하는 관리실태평가의 기본절차인 NIST SP 800-53(연방 정보시스템을 위한 권고된 정보보호 통제)와 NIST SP 800-53A(연방 정보시스템의 정보보호 통제 평가 지침)을 발표하였다. NIST SP 800-39 (정보시스템 위험관리 체계)는 조직 및 기업의 자산과 운영을 위한 위험 관리를 위한 유연성 있는 구조화된 가이드라인을 제공하고, NIST SP 800-37 (정보시스템과 조직을 위한 위험 관리 프레임워크 (RMF))는 위험관리 활동을 하기 위해 6단계의 구조를 제시하고 있다.

3)    ISMS

국내 정보보호 관리체계인 ISMS는 2000년초 당시 영국표준인 BS7799와 유사한 국내 적합한 표준을 만들었으며 ISO/IEC 27001 국제 표준화와 국내 개인정보보호 관리체계인 PIMS와 국제 표준인 ISO/IEC 27701의 표준화 작업에 기여하였다.

4)    주요정보통신기반시설

2001년 정부는 전자적 침해행위 수법의 발전과 더불어 피해 증가에 따른 정보통신기반시설보호를 위한 법 제정의 필요성을 제기하였다. 이에 따라 2001년 전자적 침해행위에 대비하여 주요정보통신기반시설의 보호에 관한 대책을 시행함으로써 시설을 안정적으로 운영하도록 하여 국가 안전과 국민 생활 보장을 목적으로 평가를 실시하고 있다.

주요 정보통신기반시설의 지정 대상은 국가, 공공, 민간의 정보통신기반시설을 포함하며 사이버침해 발생 시 국가안보, 국민생활 및 경제에 중대한 영향을 미치는 업무(행정, 국방, 치안, 금융, 통신, 운송, 에너지 등)와 관련된 전자적 제어, 관리체계와 정보통신망이 해당된다.

각 중앙기관의 장은 소관분야의 정보통신기반시설 중에 해당 기관이 수행하는 업무에 대해 주요정보통신기반시설을 지정할 수 있으며 주요정보통신기반시설의 보호, 침해사고 대응, 정보보호 활동, 민간협력 등으로 구성되어 있다. 취약점 분석 및 평가는 최초 분석 평가 후 매년 취약점의 분석 평가를 실시하도록 하고 있다.

 5)    정보보호관리등급제

기업의 정보보호 수준을 정부가 평가해 그 결과를 등급으로 제공하여 기업이 자발적으로 높은 수준의 정보보호 활동을 하도록 유도하기 위한 관리체계이다. 기업의 통합적 정보보호 관리 수준을 제고하고 이동자로부터 서비스에 대한 신뢰를 확보하기 위해 기업의 정보보호 수준에 따라 등급을 부여한다. 정보보호관리등급을 통해 정보보호에 투자를 결정할 수 있는 근거를 마련하고 정보보호 담당자가 수행해야 할 목표와 범위, 기준을 마련할 수 있다.

 

[그림] Risk Management Framework (RMF)