• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

정보보호컨설팅, 이것이 핵심이다-PART2 2009.04.28

[특집] 정보보호컨설팅 성공전략 가이드

GUIDE 1.모의해킹 진단회사 선별 18가지 체크포인트

CISCO에서 발간한 어떤 책의 일부 내용 중에서 침투테스트(이하 ‘모의해킹 진단’) 업무를 외주로 수행하고자 할 때 적정 업체 선별에 고려해야 할 18가지 체크포인트를 제시하고 있다.(일부 항목은 모의해킹 진단 수행을 계획할 때 고려해야 할 내용도 있다.) 여기서 언급하고 있는 것은 Web Security Assessment가 아니라 순수한 Penetration Test를 의미하고 있다.


1. 책임보험 가입여부를 확인하라

모의해킹 진단시 시스템 다운과 같은 문제를 초래하게 될 경우 이에 대한 적절한 손해배상을 책임질 수 있는 준비가 되어 있는 업체인지를 확인하라는 것이다. 이러한 우려는 모의해킹 진단을 처음 받아보는 고객사에서 주로 언급되는데 이러한 불상사가 절대 일어나지 않는다고 말로만 보장하는 것은 설득력이 떨어진다.

2. 수행한 레퍼런스를 요청하라

업체가 기존에 수행한 고객사에게서 그 업체의 능력을 알 수 있으니까 레퍼런스를 확인해서 해당 레퍼런스에게 업체의 능력을 확인해보라는 것이다. 실제 이러한 사항은 모의해킹 진단이 아니더라도 보안컨설팅 업체를 선별하는 제안평가가 포함되는 경우가 많으며 RFP(Request for Proposal)의 내용에 유사 사업의 레퍼런스에 대한 고객사명, 담당자명 연락처 등을 요청하는 경우가 있다.

3. 진단인력의 범죄사실과 같은 배경을 확인하라

업무수행자의 기본적인 자질을 확인하기 위한 항목으로써 진단인력 또는 책임자가 혹시 범죄사실과 같은 기록이 있는지 확인하라는 것. 이미 국내에서도 행정기관 프로젝트같은 경우에는 대부분이 신원조회 절차를 거치도록 업무 절차가 마련되어 있는 상황이며 특히 정보통신부에서 지정한 정보보호 전문업체로 등록된 기술 인력들은 신원조회 절차를 받는다.

4. 샘플보고서를 요청하라

업체의 기본적인 직업윤리를 확인하는 항목으로써 업체에게 진단결과 보고서의 샘플을 요청해서 혹시 타 기업의 실제 진단 내용이 샘플보고서에 담겨져 노출되어 있지 않은지 확인하라는 것. 샘플보고서에 실제 타 고객사의 진단 결과가 담겨져 있다면 당신에 회사의 진단결과가 다른 회사에 소개될지도 모른다는 것이 주요 체크 내용이지만 이것은 당연한 확인 항목이다.

5. 취약점을 빌미로 비즈니스하는 업체는 피하라

실제 책에서의 내용은 ‘팀의 프로페셔널리즘을 검토하라’는 제목으로 되어 있지만 실제 내용은 어떤 업체의 경우 당신네 보안 취약점을 미리 알아내서 이것을 빌미로 비즈니스 기회를 얻어내는 업체를 피하라는 것.

6. 업체가 모든 요소들을 진단할 수 있는지 확인하라

업체가 대상 정보시스템의 모든 구성요소들을 진단할 수 있는 능력이 안된다면 여러 업체를 복수로 선택하는 것을 고려해보라는 것. 국내 모의해킹 진단의 대부분이 Black-box Testing방식이기 때문에 크게 문제가 되지는 않지만 White-box Testing, Gray-box 또는 Crystal-box Testing으로 모의해킹 진단을 수행하는 경우에는 고려해 볼만하다.

7. 전직 해커를(black-hat hackers) 고용한 업체인지를 확인하라

어떤 업체는 전직해커를 고용하고 있다고 광고를 하지만 그 해커가 직업윤리 정신을 가지고 업무를 수행한다는 것을 보장할 수 있기 때문에 그런 업체는 피하는 것이 좋겠다는 내용이다.

8. 해킹위협으로부터 자유로워지기 위해 모의해킹 진단을 제안하는 업체는 피하라

해킹위협으로부터 해방되기 위해서는 모의해킹 진단을 해야 한다고 제안하기도 하고 그들의 스킬을 자랑하기 위해 트로피를 제시하기도 한다. 이런 경우는 통상적으로 그 업체가 비즈니스적으로 초조한 상태임을 나타내는 표시이니까 이런 업체는 피하라는 것. 정확한 모의해킹 진단의 목적과 목표를 가지고 모의해킹 진단 프로젝트를 추진할 필요가 있다.

9. 해당 산업군의 법·제도에 대한 지식을 보유하고 있는지 확인하라

기업이 의료업계일 경우 HIPAA 법과 같은 산업군의 특수한 법·제도에 대한 기본지식을 업체가 보유하고 있는지를 확인하라는 내용. 이 항목은 IT감사와 같은 수행내용의 일부분으로 모의해킹 진단을 하게 될 경우에 해당하는 내용이다. 대부분의 제안서에 해당 산업군의 유사컨설팅 실적을 제출하는 경우가 많으므로 유사컨설팅에 대한 경험이 업체를 평가할 수 있는 판단 근거가 되겠다.

10. 얼마나 오랜 기간 모의해킹 진단 서비스를 해오고 있는지 확인하라

업체가 모의해킹 진단을 얼마나 오래 서비스해왔는지 확인해서 경험이 풍부한 업체를 선택하라는 것. 이 항목에는 업체의 모의해킹 진단 서비스 경력과 더불어 모의해킹 진단업무 수행자의 경력을 체크하는 것이 최상의 방안이라 하겠다.

11. 모의해킹 진단 서비스에 대한 전문성을 보유하고 있는 업체인지 확인하라

업체가 모의해킹 진단 서비스를 그저 여러 가지 서비스 중에 하나로 제공하고 있는 것인지, 아니면 모의해킹 진단을 전문 서비스로 제공하고 있는 업체인지를 확인하라는 것. 하지만 여러 가지 서비스 중에 한 가지로 모의해킹 진단을 제공하는 업체라고 전문성이 떨어지는 것은 아니다. 업체 나름대로 장·단점이 있을 뿐만 아니라 모의해커가 다양한 산업군을 대상으로 진단을 해보았느냐는 개인들의 경험치가 무엇보다도 중요하다고 생각된다.

12. 진단 인력이 관련 자격증을 가지고 있는지 확인하라

진단인력이 CCIE, Security, CEH, CISSP, CCSP, GIAC, OPSTA, Security+와 같은 보안관련 자격증을 보유하고 있는지 확인하여 전문성을 평가하라는 내용이다. 국내 상황을 고려한다면 국가공인자격증인 SIS(정보보안전문가 ; Specialist for Information Security) 자격증도 포함되는 것이 좋겠다.

13. 진단용 장비의 IP주소를 제공하는지 확인하라

모의해커가 사용하는 IP주소를 기업에 알려줌으로써 모의해킹 진단 기간 동안에 발생할 수 있는 실제 공격과 구별하는 것도 필요하며 이미 대부분의 국내 업체들이 그렇게 진행하고 있다.

14. 모의해킹 진단의 종료시간을 명확하게 정의하라

모의해킹을 종료하는 시점을 명확하게 정의하라는 내용으로 어떤 경우에는 진단 결과 보고서를 작성하면서 다시 한 번 확인을 하거나 증적을 확보하기 위해 접속을 하는 경우도 있지만 이것은 어디까지나 모의해커의 직업윤리적인 부분인 것 같다.

15. 업체가 진단결과 화면캡쳐, 로그 등 관련 Raw Data를 제공하는지 확인하라

업체가 모의해킹 진단으로 발견한 문제점에 대한 근거를 제시하는지를 확인하라는 것이다. 외국의 모의해킹 진단 결과 보고서를 보면 화면 캡쳐, 로그 등을 포함해서 우리나라만큼 모의해킹 진단 결과보고서를 상세하게 작성하는 곳은 없다. 

16. 모의해킹 진단에 사용되는 도구와 방법론을 요구하라

모의해킹 진단을 위해 사용되는 도구가 기본적인 것들만 사용하는지, 대상 시스템별 도구를 다양하게 사용하는지를 확인하고 정형화된 방법론을 보유하고 있는지 확인하라는 것. 국내 업체들은 대부분 외국의 선진모델을 기반으로 나름대로 방법론을 보유하고 있다. 특히 모의해킹 진단 시간대비 대상이 점점 많아지고 있는 현 시장요구사항으로 볼 때 해당 시스템별 도구를 다양하게 가지고 있는 것은 당연하다.

17. 단일 업체와 수행할지 여러 업체와 수행할지 결정하라

한 개 업체와 모의해킹을 수행할지 아니면 여러 업체를 순환시켜가며 수행할지를 결정하라는 것. 대부분 국내기업들도 내·외부감사 또는 정기적인 점검을 목적으로 모의해킹 진단을 정기적으로 수행하는 경우가 많다. 이러한 정기적인 진단을 한 개의 업체 또는 여러 업체에게 의뢰할지는 일장일단의 특징이 있으므로 상황에 따라 혼합하여 적용하는 것이 좋다.

18. 모의해킹 진단 수행인력을 면담해봐라

업체의 세일즈팀은 과대하게 진단 서비스를 소개하거나 비현실적인 약속을 할 수 있기 때문에 투입될 모의해킹 수행자를 직접 면접해봄으로써 그들의 경험 정도를 판단해볼 수 있다는 것이다.

<글 : 월간 정보보호 21c 편집팀(is21@boannews.com)> 


GUIDE 2. 수석 컨설턴트가 말하는 성공적인 정보보호컨설팅 수행 방법

고객이 성공적인 정보보호컨설팅을 하기 위해서는 여러 가지를 고려해야 한다. 우선 컨설팅을 수행할 업체가 정보보호에 대한 충분한 전문 기술과 지식, 그리고 전문인력이 있는지를 검토해야 한다. 그리고 컨설팅을 받을 기업이나 기관의 경영진들과 직원들은 보안에 대해 충분히 인식을 하고 있어야 하고 컨설팅 진행에 적극적으로 참여해 스스로 책임감과 성취감을 가질 수 있어야 한다.


CEO를 설득하라.

경영진들이 보안의 중요성에 대해 인식하고 있어야 성공적으로 정보보호컨설팅이 진행된다. 일단 보안은 하면 불편한 것이기 때문에 직원들의 불만의 목소리가 여기 저기서 터져 나오게 마련이다. 이 때문에 경영진의 확고한 의지로 정보보호컨설팅이 시작된다면 이러한 불만들은 없게 마련이다.

부서간 예외 사항 없이 진행하라.

정보보호컨설팅이 진행되면 어떤 부서든지 업무에 불편함이 있게 마련인데, 이러한 불편함으로 어떤 부서는 이래서 제외하고 또 이 부서는 저래서 제외시키면 안된다. 즉 조직의 각 부서간 하나도 예외 없이 동일하게 진행돼야 정확한 진단을 할 수가 있고 공감대가 형성된다.

너무 낮은 컨설팅 단가로 진행하지 말라.

정보보호컨설팅을 받고자 할 때 기업이나 공공기관은 무엇보다 낮은 서비스 단가를 먼저 생각하게 된다. 그렇지만 너무 낮은 단가에 컨설팅을 진행하면 충분한 결과를 얻을 수 없기 마련이다. 즉 수행업체는 낮은 단가에 알맞는 인력과 기술을 투입해 컨설팅을 진행할 것이고 이로 인해 고객은 만족할만한 결과를 얻을 수 없게 된다. 충분한 예산을 가지고 정확하고 신뢰성 있는 컨설팅을 진행해야 한다. 

전사적으로 진행하라.

정보보호컨설팅은 조직내 보안팀뿐만 아니라, 전사적으로 진행돼야 한다. 보안은 보안팀만이 하는 것이 아니다. 전사적으로 참여해 이슈 해결에 대한 공동 작업으로 조직원 개개인은 책임감을 갖고 동참해야 한다.

정책·지침대로 이행하라.

정보보호컨설팅 결과 수행업체는 전반적인 사내 보안 정책과 지침을 마련해 줄 것이다. 그러면 고객측은 이 정책과 지침대로 지속적인 이행을 해야 한다. 그렇지 않으면 정보보호컨설팅을 했다고 하더라도 아무것도 얻을 수 없다.

일정기간별로 점검하라.

정보보호컨설팅 결과로 마련된 보안 정책과 지침대로 고객측에서 지속적으로 잘 이행하고 있다면 일정기간을 정해 두고 감사를 해야 한다. 이러한 보안 감사를 통해 정책이나 지침대로 잘 안되는 부분은 보완하고 잘 되는 부분도 다시 한 번 점검해볼 수 있는 것이다. 

보안 솔루션 운영관리 실태를 점검하라.

주기적인 네트워크 점검과 서버 점검을 통해 보안 취약점을 점검해야 한다.  이러한 점검을 통해 제품에 룰 적용이 잘 되어있는지 알 수 있기 때문에 주기적인 점검은 필수다. 이는 보안 솔루션의 효율적인 도입과 운영관리를 위한 점검이다.또한 다른 보안 솔루션의 도입시 BMT를 진행해 사내 환경에 적합한지 검토해야 한다.

주기적으로 모의해킹, 소스코드를 분석해라.

고객은 주기적으로 모의해킹과 소스코드 분석을 통해 취약점을 진단하고 보완해야 한다. 이와 더불어 서버와 네트워크 분석도 필수다. 특히 자체 개발한 솔루션을 오픈할때에는 오픈하기 전에 소스코드 분석을 통해 보안성을 검토하고 취약성을 체크해야 하는 것은 필수적이다.

적정한 인원의 보안팀을 구성하라.

조직의 체계적인 정보보안을 위해서는 조직이 작아도 일정 수의 인원으로 보안팀을 구성해서 보안업무를 전담하도록 해야 한다. 보안팀은 보안감사 등 보안업무를 비롯, 각 부서별 PC 점검, 보안감사, 불법 S/W 사용금지, 바이러스 체크 등에 대한 업무도 지원해야 한다. 그리고 보안관제센터를 마련해 보안 위협 상황에 대한 로그 분석, 적용, 보고 등을 통해 상황이 다시 발생하지 않도록 해야 한다.

업체 선정시 서류보다 실질적으로 검토하라.

고객이 정보보호컨설팅 수행업체 선정시 제안요청서 등 서류 기재 사항만 확인하지 말고 실질적으로 전문기술과 인력이 있는지, 유사한 컨설팅 실적과 경험을 충분히 가지고 있는지 검토하는 것이 중요하다. 정부가 인증한 정보보호컨설팅 전문업체는 모두가 우수한 업체이기 때문에 서류 사항 보다는 실질적인 부분으로 수행업체를 평가하고 판단해야 한다.


정보보호컨설팅은 이와 같이 여러 가지를 고려해야 하지만 무엇보다 조직원 전체의 적극적인 지원이 있어야 효과적이다. 그리고 단순한 프로젝트로 끝나는 것이 아니라, 하나의 프로그램, 프로세서가 돼서 지속적으로 선순환되어야 좋은 결과가 나타난다. 즉 컨설팅 한 번 받았다고 해서 그 효과가 바로 나타나지 않는다는 것이다. 좋은 기반 위에 튼튼한 집을 짓는 것처럼 정보보호컨설팅은 효과적인 보안을 위한 든든한 기반을 마련하는 것이다.

<글 : 손대승 STG SECURITY 컨설팅본부 수석컨설턴트(doosohn@stgsecurity.com)>


GUIDE 3. 정보보호컨설팅 의뢰시 고려해야 할 10가지 포인트

최근 사내직원 및 협력업체에 의한 개인정보의 유출, 해커에 의한 해킹, 웜·바이러스에 시스템 침해 등 보안사고에 의한 피해가 많이 발생함에 따라 회사의 정보보호 강화를 위해 정보보호컨설팅에 대한 관심이 증가하고 있다. 그러나 정보보호컨설팅은 컨설턴트와 내부 임직원의 협력이 수반되는 작업이기 때문에 컨설팅 의뢰 시 반드시 고려해야 할 사항들이 있다. 아래 10가지 항목은 컨설팅업체에 컨설팅을 의뢰하기 전에 체크해야 하는 항목들이다.


컨설팅 목적을 명확히 한다.

정보보호컨설팅은 수행 목적에 따라 여러 가지 유형이 있다. ISMS(KISA, ISO27001)인증 컨설팅, 개인정보보호컨설팅, 주요정보통신기반시설 취약점 분석·평가, 정보보호안전진단, 웹애플리케이션 취약점 진단, 모의해킹, 시스템 취약점 진단 등 수행목적에 따라 해당하는 컨설팅 유형이 달라지기 때문에 우리 회사에서 수행하고자 하는 컨설팅 목적을 명확히 해야 한다. 회사가 사업 도모를 위해 국제 또는 국내의 정보보호관리체계인증이 필요하다면 인증컨설팅을, 개인정보보호가 중요한 회사는 개인정보보호컨설팅을, 웹을 통한 사업을 많이 하고 있는 경우 웹애플리케이션 취약점 진단을 수행할 수 있으므로 목적을 명확히해 이에 적합한 컨설팅을 수행하도록 한다.

컨설팅 대상 범위를 구체적으로 정의한다.

컨설팅은 항상 시간과 장소, 비용, 인력 등의 제약사항을 받는다. 컨설팅 대상에 본사만 포함하느냐? 지점을 포함하느냐? 또는 모든 조직을 대상으로 하느냐? 특정 조직만을 대상으로 하느냐? 또는 시스템 전수검사를 수행하느냐? 샘플링 검사를 하느냐? 등, 대상범위에 따라 시간, 비용, 투입인력 등에 많은 차이가 발생한다. 따라서 시간, 비용 등을 고려하여 컨설팅 목적에 맞는 대상범위를 미리 정의해야 한다.

컨설팅 수행 기간을 산정한다.

컨설팅 수행 시 필요한 기간이 어느 정도인지 사전에 수행기간을 산정하도록 한다. 수행기간 산정 시에는 컨설팅업체를 통해 해당 목적과 범위에 맞는 적합한 기간을 산정하도록 한다. 전문가와의 협의없이 자체적으로 수행기간을 산정하는 경우 실제 필요한 컨설팅 기간에 비해 산정 기간이 짧아 대상범위 중 일부만 수행하는 경우가 존재한다.

컨설팅 수행업체 선정기준을 마련한다.

컨설팅은 대부분의 업무가 컨설턴트에 의해 이루어지기 때문에 어떤 컨설턴트가 수행하느냐에 따라 컨설팅의 품질은 많이 달라진다. 따라서 우수한 컨설팅 수행업체를 선정하는 것은 컨설팅의 전반적인 품질을 좌우하는 중요한 기준 중 하나이다. 해당 컨설팅을 수행하기 위해 동일한 유형의 컨설팅 수행실적, 컨설턴트 수준, 컨설팅 회사의 규모 및 안정성, 해당 컨설팅 방법론의 우수성 등을 고려하여 수행업체를 선정해야 한다.

컨설팅을 준비하는 단계부터 종료 시까지 전체 일정계획을 작성한다.

일반적으로 컨설팅 수행 시 필요한 절차는 다음과 같으며 이 절차를 수행하기 위한 전체 일정계획을 작성한다.

①RFP(Request for Proposal) 발송 : 추진 배경, 목적, 사업 범위, 업체선정 기준, 추진 일정 등을 포함한 RFP를 컨설팅업체에게 발송한다.

②제안발표 및 심사 : 컨설팅업체로부터 접수한 제안서에 대해 발표 및 제안내용에 대한 심사를 수행한다.

③업체 선정 : 제안발표 내용을 근간으로 컨설팅업체를 선정한다. 주로 기술점수 및 가격점수(점수의 비율은 통상 80대 20)를 토대로 컨설팅업체를 선정한다.

④계약 체결 : 선정된 업체와 RFP의 컨설팅 요구사항에 대해 최종 확정하고 최종 협의된 사항에 대해 계약을 체결한다.

⑤컨설팅 수행 : 계약체결과 함께 컨설팅을 수행한다.

⑥컨설팅 종료 : 컨설팅 산출물을 검수하고 컨설팅 결과를 보고한다.

컨설팅 수행을 위한 예산을 미리 확보해야 한다.

컨설팅 수행 비용은 일반적으로 수천만원~수억원에 이르기 때문에 컨설팅을 계획하는 경우 사업계획에 미리 반영하고 이에 대한 예산을 확보해야 한다.

영진 및 관련 팀에게 컨설팅에 대해 충분히 설명하고 협조를 구해야 한다.

컨설팅 수행 및 컨설팅 결과에 대한 이행을 위해서는 경영진과 관련 팀의 협조가 반드시 필요하다. 따라서 컨설팅의 목적과 컨설팅을 통해서 얻게 되는 정보보호 성과 등에 대해 경영진 및 관련 팀에게 충분히 설명하고 협조를 구해야 한다.

컨설팅 프로젝트를 함께 수행하기 위해 적합한 TFT 팀원을 확보한다.

컨설팅 수행 시 정보보호현황파악, 수준평가, 취약점 진단 등을 수행하기 위해서는 사내 직원의 협조가 필수적이다. 따라서 컨설팅에 참여해야 할 상주 또는 비상주 인원들을 선정하여 TFT(Task Force Team)를 구성하고 TFT 구성원에게 해당 컨설팅 주제에 대해 충분히 이해를 시켜야 한다.

간이 정보보호수준진단을 통해 사내 정보보호 현황을 파악한다.

컨설팅 수행에 앞서 우리 회사의 정보보호수준이 어느 정도인지 파악하는 것이 필요하다. 현재 보안수준결과를 미리 파악하면 실제 컨설팅 수행 시 집중적으로 다루어야 하는 부분들을 알 수 있고 컨설턴트가 필요한 부분에 보다 집중할 수 있도록 할 수 있다.

우리 회사의 향후 기대 정보보호수준을 설정한다.

우리 회사가 고객의 신뢰를 가지면서 사업을 유지하기 위해 필요한 기대 정보보호수준을 설정하도록 한다. 기대 정보보호수준에 따라서 정보보호관리체계 수립 또는 정보보호시스템 구축 방법이 달라질 수 있다.

<글 : 조영득 안철수연구소 서비스사업본부 컨설팅팀 차장(youngtec@ahnlab.com)> 


[월간 정보보호21c 통권 제104호 (info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>