개발 주기별 위험관리 활동으로 IT 보안 위험관리 이루어져야

현대 사회에 중요성을 더해가는 IT 환경은 IT 시스템과 프로세스에 대한 보다 독립적인 투자를 성장하게 하고 있으며 이로 인해 IT에 대한 위험관리가 더욱 필요하게 되고 있다. 근자에 생성된 이러한 질서를 무시하게 되면 명백한 문제를 대처할 기회를 놓칠 수 있으며 엄청난 위협에 대한 기본적인 예방조치에 실패할 수 밖에 없으므로 IT 위험관리가 더욱 중요하게 요구되고 있다. IT 보안 위험관리는 IT 매니저가 IT 환경에 대한 보안을 이루기 위해 필요한 업무를 수행할 수 있도록 하는 프로세스이다.

현대사회에서 IT는 일반 가정 사회를 포함한 기업 배후에서 재무, 통신 및 기타 여러 활동의 중심으로 특화되고 있으며 이로 인해 IT 인프라스트럭쳐의 장애로 인한 이러한 활동에 대한 장애는 기업과 조직 및 사회 전반에 영향을 줄 수 있게 되었다.

과거에는 IT에 대한 위험이 운영 위험의 작은 부분에 지나지 않았으며 기한을 지키지 못한 IT 개발로 인한 기회상실 정도가 주요 문제였으나 현재에 있어 IT 위험은 IT 환경 전체 및 이를 통해 구성된 모든 비즈니스환경 및 활동에 영향을 주는 상황이 되어 IT 위험에 대한 전반적인 계획을 구상하는 것이 조직 및 국가 그리고 사회활동의 원활한 유지와 성공의 주요 요체가 될 수 있도록 변화됐다.

IT 위험관리

이러한 IT에 대한 위험은 미래에는 전 세계 위험의 핵심이 될 것이며 시만텍 보고서에 따르면 향후 10년 이내 중요 정보 인프라 시스템의 장애가 그 주요한 문제가 될 것임을 예상하고 있다. IT 위험으로 인한 잠재적인 영향은 전세계적으로 2,500억 달러의 피해를 줄 것이라고 판단되며 이는 미국에서만 1.2조 달러 또는 전체 소비량의 29%에 해당하는 지속적인 투자가 IT에서 발생하는 것을 기반으로 판단된 것이다.  

현대 사회에 중요성을 더해가는 IT 환경은 IT 시스템과 프로세스에 대한 보다 독립적인 투자를 성장하게 하고 있으며 이로 인해 IT에 대한 위험관리가 더욱 필요하게 되어가고 있고 근자에 생성된 이러한 질서를 무시하게 되면 명백한 문제를 대처할 기회를 놓칠 수 있으며 엄청난 위협에 대한 기본적인 예방조치에 실패할 수 밖에 없으므로 IT 위험관리가 더욱 중요하게 요구되고 있다.

그러면 IT 환경에서 바라봐야 할 IT 보안 위험관리는 무엇을 이야기하는 것일까? IT 보안 위험관리는 IT 매니저가 IT 환경에 대한 보안을 이루기 위해 필요한 아래와 같은 업무를 수행할 수 있도록 하는 프로세스다.

● 보호조치의 운영 및 경제 비용의 균형을 이룰 수 있도록 함

● 조직의 임무를 지원하는 IT 시스템과 자료를 보호함

● 다양한 보호를 구현하고 운영하여 기업의 업무 수행 가능성을 높임

하지만 이러한 프로세스가 IT 환경에서만 나타나는 것은 아니며 일상 생황의 모든 부분에서 내재되어 결정을 내리는데 도움을 줄 수 있다는 것을 이해하고 있어야만 한다. 예를 들어 자동차를 구입해서 이용하려고 한다면 실제로 많은 사람들이 자동차 보험에 가입하게 되고 이를 통해 운전 중에 발생할 수 있는 만약의 사태에 대해 자신과 가족과 상대방과 그를 포함한 신체 및 재물에 대한 보호를 고려하게 될 것이고 이에 대한 서비스를 제공하는 보험회사에 필요한 서비스 수준과 내용에 따라 월별 혹은 일시 결제를 하게 될 것이다.

이는 대부분 서비스 소유자의 기본적인 필수 ‘요구사항’에 대한 자동차 고유의 ‘임무’에 대한 적절한 수준을 고려하여 판단된 서비스 수준과 비용일 것이며 이를 통해 자신과 가족 그리고 주위의 환경 및 피치 못한 상황에 대한 대처를 할 수 있는 수준의 안전을 보장할 수 있는 수준을 고려한 것일 것이다.

앞서 언급한 바와 같이 다양한 이유를 통해서 IT 위험관리는 IT가 비즈니스 환경의 필수적인 요소가 됨으로 인해 대두됐다. IT 위험관리는 비즈니스의 연속성을 보장하기 위한 활동이며 보안 침해 등으로 인한 심각한 데이터 손실로 발생할 수 있는 치명적인 사태를 대비할 수 있도록 하기 위함이며 비즈니스 위험에 대한 능동적 예방 및 대응 행위를 제공하고 위험 발생시 신속한 대처가 가능할 수 있도록 한다.

기업에게 필요한 IT 보안 위험관리는 수동적인 감시 활동에서 보다 적극적으로 예방 및 대응을 할 수 있도록 함이기에 주기적이며 상시적인 진단과 관리가 요구된다. 계속적인 솔루션을 제공하여 보다 적극적인 방어 태세를 확립할 수 있어야만 하고 실제 위험에 대한 분류를 통해 위험도에 대한 우선순위화가 반드시 요구된다. 이러한 요구사항을 충족하고 유지하기 위해서 IT 위험관리는 자동화 및 시스템화가 되어야 할 필요가 있다. 이는 각종 온라인 침해사고가 계속적으로 증가하고 있으며 이에 대한 침해사고 예방활동의 중요성이 강조되고 이러한 자동화 및 시스템화는 조직 전반 및 IT 인프라 전반에 대한 위험 관리를 통해 조직 보안 위험 관리의 한계를 극복할 수 있기 때문이다. 성공적인 IT 보안위험관리를 위해 IT 위험관리는 다음과 같은 항목에 대한 내용을 요구하고 유지할 수 있어야만 한다.

● 위험평가

- 위험 및 위험에 의한 영향의 식별 및 평가

- 위험 완화작업을 위한 권고

● 위험완화

- 위험평가 프로세스로부터 권고된 적절한 위험완화 작업에 대한 우선순위화, 배포, 유지

● 확인 및 평가

- 지속적인 확인 프로세스와 키 제공 : 성공적인 위험관리를 배포하기 위함  

자동화되고 시스템화된 IT 보안 위험관리의 필요성은 다음과 같다.

● 다양한 기술에 대한 위험 평가 및 완화와 확인 수행

● 계속적으로 증가하는 IT 기반 시설 및 운영 시설을 통한 비즈니스

● IT 보안 위험관리의 기본이 되는 위협 및 취약점의 계속적인 증가

● 새로운 공격 프로프일에 대한 습득 지연

● 주기적이거나 지속적인 취약점 평가관리의 필요성 대두

● 보다 능동적이며 적극적인 예방 및 대응의 필요성 증가

● 계속적인 솔루션을 통한 상시 평가/확인/대응 체계 확립

● 실제 위험에 대한 분류를 위한 지표제공으로 우선 순위화에 도움을 줌

● 다양한 솔루션을 포함하여 보다 나은 위험완화를 위한 지원

● 다양한 관리 시스템을 통한 손쉬운 배포 및 적용 여부 확인

● “평가/검증/대응책 준비/대응책 배포/재 평가”에 대한 자동화 요구

SDLC로 통합된 위험 관리

조직에 미치는 부정적인 영향을 최소화하기 위해 IT 위험관리가 필요하다는 것은 기본적인 이유에 속한다는 것을 이해할 수 있을 것이다. 애플리케이션 개발에 대한 효과적인 위험관리는 반드시 개발주기 내에 완벽하게 통합되어 있어야 한다. 일반적인 IT 시스템의 개발주기는 다섯 단계를 가지고 있으며 이는 “개시 → 개발 또는 취득 → 완성 → 운영 또는 유지 → 처리”라는 단계로 되어 있으며 개발 중심의 다른 형태의 개발주기는 “요구분석 → 설계 → 코딩 → 테스팅 → 통합 → 배포”라는 형태로 보여줄 수도 있다. 경우에 따라서 이러한 IT 시스템은 이들 단계 중 일부가 동시에 이루어지듯이 나타나기도 하지만 위험관리 방법론은 개발주기 단계에 고려하지 않고 수행이 필요한 사항들에 대해서 평가하도록 고려되고 있다. 위험관리는 개발주기의 주요 단계 동안 반복적으로 수행될 수 있는 프로세스다. 

표 1은 위험관리가 어떻게 개발주기 내에 통합될 수 있는지를 보여주는 것이며 이러한 표의 형태로 개발 주기 내에서 보다 세부적인 부분들을 표 2를 참고하면 된다.

이러한 개발 주기별 위험관리 활동을 통해서 앞에서 언급한 IT 보안 위험관리가 이루어질 수 있으며 이를 위한 자동화된 평가 및 관리 시스템의 구축운영의 필요성은 두말할 것이 없다. 

IT 위험관리 활동 중의 하나로 개발주기 내 위험관리를 위한 활동을 간략히 정리하면 그림 1과 같다. 이러한 활동은 컨설팅을 통해서 쉽게 얻어질 수도 있지만 이미 기존에 이루어진 프랙티스를 참조해도 구축이 가능하다.

개발주기 내 위험관리를 위해서 개발팀은 다양한 프로파일과 체크리스트를 준비해야할 것이며 소스코드와 운영환경의 위험 평가를 위한 화이트박스 테스터, 블랙박스 테스터 및 성능과 기능 평가를 위한 솔루션들을 지원할 수 있어야만 할 것이다. 이는 개발주기내 위험관리만 해도 다양한 평가 및 관리 활동이 반드시 요구되기 때문이다.

이러한 평가 및 관리와 유지에는 반드시 산출물이 있을 것이며 해당 산출물에 대한 관리 역시 중요하다. 나중에 기회가 된다면 이러한 평가를 위해 필요한 세부 내용과 산출물의 아웃라인 그리고 이에 대한 관리기법에 대한 부분도 같이 언급할 수 있기를 바란다.

IT 보안 위험관리는 프로세스이고 이를 이루기 위해서는 적절히 훈련받은 사람이 적절한 평가와 관리를 할 수 있는 기술을 선별하여 운영할 수 있도록 하는 프로세스와 규정을 만들거나 지원받을 수 있어야만 하며 어떻게 보면 상당히 원론적인 부분 혹은 이론적이거나 이상적인 부분이라는 인상을 주기에 구현되거나 현실화 될 수 없는 것이 아니냐는 판단이 나올 수도 있다.

하지만 보안은 기본을 지키는 것에서 시작하고 그 기본은 사람들이 일반적으로 생각하는 것 이상으로 기본적이며 원론적인 부분이기에 이에 대한 두려움과 원활한 수행을 위한 노력이 IT 보안 위험관리 혹은 개발주기내 보안 위험관리를 위한 적절한 해법으로 이용될 수 있을 것이다.

<글 : 이동일 소프트와이드 시큐리티 CTO/기술 본부장(Jason@softwidesec.com)>

[월간 정보보호21c 통권 제107호 (info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>