• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[시큐리티 Q&A] 보안조직 구성방안 2014.05.06

Q. 중견기업으로서 새롭게 보안조직을 구성하려고 한다. 보안조직을 구성하는 데 있어 예산 등 필수적으로 갖춰야 할 것은 무엇이 있을까? 그리고 전체 인력 대비 몇 퍼센트를 보안인력으로 두어야 하는가?



A-1. 우선 새롭게 보안조직을 구성하는데 있어 가장 중요한 것은 인력구성의 고려라고 생각된다. 인프라, 개발 등의 IT조직 및 영업, 서비스, 경영지원 등과 원활하게 커뮤니케이션 할 수 있는 핵심 인력의 세팅이 가장 중요하다. 보안이 고도화되지 않은 중견기업의 경우, 현재 잠재되어 있는 이슈를 도출하고, 또한 전 부서가 유기적으로 이러한 기준에 맞춰 업무를 정리하는 것이 중요하다. 이러한 과정에서 회사내 관련 부서에서 업무를 수행한 경험자를 팀내에 코디네이터로 배치하는 것도 잠재 이슈를 도출하는데 큰 도움이 될 수 있다.

 

인력의 배치는 기술과 관리를 약 6:4 정도로 배치해 유기적으로 결합한다면 리스크를 줄이는데 큰 도움이 되는 조직을 세팅할 수 있을 것이라고 판단된다. 예산적인 부분에 있어서는 인터넷 기업의 경우 전체 IT 예산(인력·예산포함)의 약 7~10% 사이를 보안에 투자하고 있고, 각 사의 수준을 고려해 예산을 투자하면 될 것으로 생각되지만 필수적으로 도입을 해야 하는 방화벽, 솔루션 등의 인프라 및 기술장비 등은 과감한 투자 결정이 필요하다.

 

침고로, 인터넷 기업 등 보안이 고도화된 회사의 경우 총 1,000명당 20명 정도의 인력이 배치된 회사도 있다. 중견기업에서 보안팀을 세팅할 경우 그 기능적인 부분을 보장하기 위해 최소 3인 이상으로 구성된 보안조직을 구성하기를 추천한다.

(신동혁 쿠팡 개인정보팀장)


A-2. 조직을 갖춘다면, 적정 인력의 수도 중요하지만, 보안담당자의 역량이 얼마나 높고, 열정이 있느냐도 중요하다. 전담인력이 한명이라도 열정과 역량이 있다면 어느 정도 보안 수준을 유지할 수 있다. 또한, 최고경영층의 확고한 지원이 매우 중요한 요인이다.

 

뿐만 아니라 보안조직의 위상도 매우 중요하다. 즉 전산조직 내에 보안기능을 위치할 것인가, 아니면 일반 경영조직 내에 위치할 것인가, 또한 보안상황을 최종적으로 누구에게까지 보고할 것인가 등이 위상과 관련해서 중요한 이슈이다. 따라서 가능하면 IT 부서 외에 보안기능을 위치하는 것이 현 추세이며 논리적으로도 적절하다고 개인적으로 판단된다. 앞의 예산과 마찬가지로 비율 접근방법은 비교 차원에서는 의미가 있을지 몰라도, 개별 조직·기업 입장에서는 큰 논리적 가치는 없다.

(김정덕 중앙대학교 교수/jdkimcau@gmail.com)


A-3. 침해사고 예방 및 대응 업무 처리과정은 CERT를 구성하고 있는 구성원의 개인 능력과 신뢰성에 의존하게 된다. 특히, 최근에는 CERT 업무가 침해사고 발생 시 필요한 기술적 대응뿐만 아니라, 예방활동을 위한 보안정책 수립,감사, 타 부서와의 업무 협의 등 다양한 업무를 수행해야 한다는 점에서 CERT 구성원의 개인능력은 더욱 중요해지고 있다. CERT 구성원이 갖춰야 하는 능력을 열거해 보면 다음과 같다.

 

개인 Skills : Communication, Problem Solving, Team Interactions, Time Management

기술 Skills : Security Principles, Risks Analysis,Vulnerability, Network Protocol, Security/Virus Issue, Application

사고대응 Skills : Team Policy/Procedure, Communication, Incident Analysis, Recording, Tracking Information

전문 Skills : Presentation, Leadership, Expert Technology, Programming Skill

또한, CERT 구성원은 침해사고의 처리를 위해 아래와 같은 IT 분야의 기본 기술들을 이해하고 있어야 한다.

전반적인 데이터 네트워크(전화, ISDN, X.25, PBX, ATM, 프레임 릴레이 등)

네트워크 프로토콜(IP, ICMP, TCP, UDP 등)

네트워크 기반 요소(라우터, DNS, 메일서버 등)

네트워크 응용 프로그램, 프로토콜(SMTP, HTTP, FTP, TELNET 등)

기본 보안 원칙

컴퓨터와 네트워크 위험 및 위협

보안 취약성과 관련된 공격(IP 스니핑, 스니퍼와 컴퓨터 바이러스 등)

네트워크 보안 이슈(침입차단 시스템, 가상사설망 등)

암호 기술, 전자서명, 해쉬 알고리즘 등

△ 사용자와 시스템 관리자 측면의 호스트 시스템보안(백업, 패치 등)

(홍준석 한국산업기술보호협회 관제운영팀 팀장/jun0817@kaits.or.kr)


[김지언 기자(boan4@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>