보안을 위한 기업의 행동 수칙 6가지
"전문가 도움 받아 정보보호 마스터플랜을 수립하자"
이도현 에이쓰리시큐리티 책임컨설턴트
『통신사 고객정보 100만 건 해킹·도용한 일당 검거-2008.3.20』, 『다음, 서버 해킹당하고도 수개월간 ’쉬쉬’-2008.3.26』, 『건강보험공단의 개인정보 72만건 유출-2008.4.11』, 『LG텔레콤 가입자 정보노출-2008.4.17』, 『옥션 해킹피해, 1천만명 넘어-2008.4.17』, 『옥션발 인터넷 비즈니스 위기론 확산-2008.4.21』…. 최근 각종 매체에 봇물 터지듯이 나오고 있는 보안사고 관련 기사들이다. 이는 IT기술의 편의성 및 접근성의 활용과 함께, 이에 대한 역기능도 더욱 빠르게 확산되어가고 있다는 것을 보여준다. 이러한 역기능 문제점은 그동안 수없이 대두되어 왔고 최근에는 더욱 교묘하게 강화되고 있는 추세로, 문제는 IT기술의 발전과 함께 그 역기능은 더욱 빨리 발전해가고 있다는 점이다. IT의 급격한 발전과 그 역기능 급증이 공존하는 현재, 보안의 중요성은 날로 증대되고 있으며, 보안은 모든 사업 군, 모든 조직의 생존을 위한 필수 사항이 되고 있다.
이제 중소기업과 대기업 관점으로 나눠 기업이 기본적으로 준비해야 하는 보안 강화에 대한 접근 방향을 알아보자.
중소기업
대부분의 중소기업에서는 현재의 보안수준이 어느 정도 되며(AS-IS), 또 어떤 절차를 통해 회사의 문제점을 파악하고, 회사에 적합한 정보보호 관리체계를 수립할지(TO_BE)에 대한 기준이나 노하우가 부족한 실태다.
1.정보자산 관리를 통해 목표 달성을 위한 기초를 수립하라
정보보호 강화를 하기 위해서 가장 먼저 해야 할 일은 정보자산 관리이다. 정보자산이란 협의의 의미로는 정보 그 자체만을 의미하지만 광의로는 이러한 정보를 포함하여 정보를 생성, 가공 및 저장하는 설비를 모두 포함한다. 일반적으로 기업의 정보자산은 정보 및 데이터, 하드웨어, 소프트웨어, 물리적 자산, 문서 등으로 분류할 수 있다.
정보자산 관리와 더불어 어떠한 자산이 사업 및 서비스 등에 보안상 중요한 요소인지 자산에 대한 중요도 평가를 수행하여 자기 자신을 먼저 알아야 한다. 구체적으로 어떤 걸 선택해야 하고 어디에 집중을 해야 하는 지는 현업 담당자 및 운영담당자들과 잘 생각해 봐야 한다.
2. 취약점 진단을 통해 현존하는 취약점을 제거하라
취약점진단은 크게 관리적, 기술적, 물리적 부분으로 나누어볼 수 있다. 관리/물리적 취약점진단은 주요 정보자산의 보호와 관련된 관리/물리적 보호 통제의 현황을 진단해 취약한 부분이 있는지를 알아내는 것이다. 관리/물리적 보호 통제로는 정보보호정책, 정보보호조직, 교육훈련, 침해사고관리, 접근통제, 외부자 및 아웃소싱 보안, 물리환경적 보안, 애플리케이션 개발, 운영관리, 업무연속성 관리, 준법성 관리 등의 통제 영역을 들 수 있다. 이러한 통제 요구사항을 충족하기 위해서는 해당 통제와 관련된 정책과 프로세스를 수립하고 책임 및 역할을 지정하여 프로세스를 수행해야 한다.
기술적 취약점 진단은 실제 운용중인 시스템이나 애플리케이션에 대해 관리/물리적 보안 통제 요소가 적절히 반영되어 있는지를 진단하는 것이다. 주로 접근통제, 애플리케이션 개발, 운영관리 측면에서 진단 할 수 있다. 시스템에 대해서는 서버, 네트워크, 보안시스템 등의 보안 설정이 안전하게 되어 있는지를 진단하고, 애플리케이션에 대해서는 분석과 설계의 적정성, 테스트의 적정성, 구현된 코드의 안전성 등을 들 수 있다. 취약점 진단 시, 전체 영역 및 자산에 대하여 진단을 수행하기란 쉽지 않다. 그러기 때문에 자산 관리를 통해 분석된 중요도가 높은 자산부터 취약점 진단을 수행해야 할 것이다.
3. 위험평가로 현존하는 위험의 정도를 평가하라
취약점진단 결과를 반영하여 영역 별 보안 위험의 정도를 평가/분석함으로써 현재의 보안 수준을 파악해야 한다. 평가 결과에 대해 적절한 통제나 보안대책을 마련해, 위험의 발생 가능성을 감소시키거나 제거해야 한다.
4. 정보보호 마스터플랜을 수립하라
선행된 정보자산 관리, 취약점 진단, 위험평가의 결과로 도출된 적절한 통제나 보안대책에 대해 어떻게 조직에 적용하고 수행할 것인지 일정 및 투자계획을 그려보라.
그 누구도 앞으로 어떻게 될 지 모른다. 그렇기 때문에 이런 불안한 미래를 어느 정도 담보해 줄 정보보호가 필요한 것이고, 정보보호를 체계적으로 수립하기 위해서 정보보호 마스터플랜이 필요한 것이다.
위와 같은 과정을 거쳐 정보보호 관리체계를 구축 및 운영함으로써 원활하고 효과적인 전사적인 보안 관리가 이루어질 수 있을 것이다.
보안 강화를 위해 정보보호 전문 업체를 통한 보안 컨설팅을 수행하여 정보보호 관리체계를 수립하기도 하지만, 중소기업으로서는 정보보호 컨설팅 비용도 만만치 않은 부담이기도 하다. 그러나 이러한 활동을 기업 내의 정규 인력으로 수행하기에는 관련 전문인력의 확보가 어렵고, 대상 조직, 업무 및 관련 시스템의 규모가 내부 인력이 감당하기에는 방대할 경우에는 외부의 전문인력을 활용하는 것이 대개 비용효과적일 때가 많다. 특히, 정보기술과 관련된 새로운 취약점들이 하루가 다르게 출현하여 기업의 책임자들을 당혹하게 하고 대책 마련에 어려움을 겪고 있을 때는 전문가의 지원이 필수적이다.
대기업
대부분의 대기업들은 정보보호 관리체계를 유지하고 있다고 파악된다. 대기업들은 정보보호 관리체계 하에 보안 관리를 위해 무엇을 더 해야 하는지, 현재 보안 관리를 잘 하고 있는지 등, 보안을 보다 체계적이고 지속적으로 관리하고자 하는 경우가 대부분이다.
1. 정보보호 아키텍처를 수립하라.
이미 수행중인 정보보호 대책에 대한 효과적인 로드맵을 수립하고 이행하는 것이 무엇보다 중요하다고 하겠다. 정보보호 아키텍처 수립은 조직의 정보자산을 조직의 비전 및 전략과 일관되게 일치시켜 빠르게 변화하는 환경 속에서 변화 능력 증대와 경쟁 우위를 확보하기 위해서 필요하다. 일반적으로 정보보호 아키텍처라 함은 “보안 구성요소의 구조이고, 그것들의 상호 관계이며, 또한 그것들의 설계 및 추후 진화를 관리할 수 있는 원칙과 지침”이라 정의할 수 있다.
2. 정보보호관리체계 인증을 획득하라.
기업에서 정보보호관리체계 인증을 획득하는 경우 산업에 따라 다소 차이가 있을 수 있으나 다양한 효과를 누릴 수 있다. 우선 대고객 신뢰도 제고에 큰 효과를 볼 수 있으며 궁극적으로 기업 이미지 제고와 매출신장에 긍정적 영향을 줄 수 있다. 또한 양자 간의 신뢰구축으로 인해 B2B의 활성화를 기대해 볼 수 있으며, 이는 결과적으로 비용절감의 효과를 가져 올 수 있다. 그러나 무엇보다도 가장 큰 효과는 실질적인 보안관리 수준의 향상에 있다.
정보보호관리체계 인증의 하나인 ISO27001의 예를 들면, 인증을 획득하기 위해서는 정보보호관리체계를 구축하고 구축과정을 문서화하며 최소한 3개월 이상의 운영과정을 거쳐야 한다. 이는 최소한 3개월 이상 운영이 된 정보보호관리체계라야 실제 운영되는 것으로 볼 수 있다는 판단에 의한 것이다. 또한 인증을 획득한 후에도 정보보호관리체계가 적절히 운영되고 있는지 확인하기 위하여 6개월에 한번 씩 사후 심사과정을 거친다.
공통
중소기업이나 대기업의 임직원 모두 보안이 비즈니스 이슈라는 것은 인식하고 있다. 그러나 정작 보안은 주관부서, IT부서만의 문제로 책임을 전가해 보안 홀이 생기는 경우가 다수이다. 이러한 문제를 최소화하는 방법으로는, 주기적인 보안 교육 및 홍보로 임직원 개개인의 보안 인식 강화를 해야 한다.
현실적으로 업무, 시간 그리고 공간적인 문제로 전임직원에 대해 주기적으로 보안교육을 수행하는 업체는 많지가 않다. 반면 ‘성희롱 예방교육’은 법적 의무감이 있기 때문에 수행한다. ‘성희롱 예방교육’ 시간을 조금 늘려 보안교육을 추가하여 수행한다면 임직원의 보안 인식은 점차 높아질 것이다. 부연하면, 화장실에서 중요 업무를 볼 때, 대부분 눈 앞에 "금연" 또는 좋은 글귀들이 있는 것을 접할 수 있다. 이곳에 보안 홍보 관련물을 추가하면 어떨까?
효과적인 정보보안을 달성하는데 있어 가장 큰 장애중의 하나는 직원들의 보안인식 결여라는 사실을 잊지 말기 바란다.
보안강화가 잘 이루어지지 않거나 실패하는 대부분의 이유는 해당 주체의 참여와 확산의 부족에서 기인하는 경우가 많다. 다시 말하면, 조직의 보안담당자 이외의 임직원의 적극적인 참여가 부족하여 전사적인 확산을 이행되지 못하는 경우에는 아무리 보안강화를 외치더라도 그 목표에 접근하기는 힘들다. 강조하지만 보안 강화를 성공하는데 있어서 가장 중요한 것은 거창한 계획이나 다짐이 아닌 ’사소한 실천’ 이다.