행정자치부는 지난 9일 전자정부 보안 업그레이드와 관련 브리핑을 통해 전자정부 사업에서 보안 부문에 대한 투자비중을 크게 높이겠다는 항목을 포함시켜 전자정부 보안체질을 강화하겠다고 발표했다. 또한 이날 발표에서 전자정부 사업의 보안성을 강화하기 위해 높은 수준의 보안성이 요구되는 전자정부사업 추진시 업무재설계(BPR) 및 정보화 전략계획(ISP) 수립단계에서 반드시 보안컨설팅을 함께 받도록 의무화활 방침이라고 밝혔다.

최근 대부분의 조직에서 정보보호를 위해 막대한 예산을 투입하고 있지만 침해사고가 계속해서 발생하고 있는데 이는 아직도 많은 기관과 기업들이 체계적인 위험분석 없이 사고가 발생한 후에 사후처리 식으로 그때그때 보안솔루션을 도입하는데 문제가 있다. 정보보호에 대한 투자가 위험도가 높은 곳에 집중 투자되지 못하고 발생가능성이 낮은 위험에 불필요하게 산만한 투자가 이루어지기 때문이다.

어느 조직이든 정보보호 수준이 향상되기 위해서는 보안관리는 왜 해야 하는지에 대한 분석을 통해 보안정책을 수립하고 그것을 이행하고, 이행 결과에 대한 검토와 사후관리 등 ‘Plan-Do-Check-Act’(PDCA) 사이클로 이루어져야 한다.

정보보호 컨설팅은 PDCA사이클 정립부터 각 단계별로 외부 전문가의 지원이 필요한 상황에 직면해 있는 조직의 다양한 요구사항을 지원하는 것. 다시 말해 정보보호 컨설팅은 이러한 일련의 보안관리 사이클에 따라 다양한 형태로 제공된다.

보안뉴스는 효과적인 정보보호 컨설팅을 받기위한 사전지식에는 어떤 것들이 있는지 3회 연재로 게재할 예정이다.

연재1-정보보호 컨설팅 왜 필요한가? (개요와 환경, 자산 분석 방법)

연재2-위험분석 방법론

연재3-마스터플랜 및 보안대책 수립

연재1-정보보호 컨설팅 왜 필요한가?

얼마전 국회에서 인터넷 민원서류 위변조 가능성 제기로 행정자치부는 시스템 가동을 한 달간 중단하고 이미지 손상과 함께 시스템 안전성 업그레이드에 막대한 혈세를 쏟아 부은 일이 발생했다. 뿐만 아니라 금융권은 인증서와 고객 개인정보 유출로 골머리를 앓고 있다. 그것을 막기 위해 추가 보안강화 비용 지출은 당연한 일이다.

IT환경이 급속도로 발전하면서 정보보호에 대한 기업들의 투자도 러시를 이루고 있다. 하지만 그 투자를 효과적으로 적절하게 써야할 부분에 정확하게 쓰고 있는지에 대해 생각해 보는 것도 중요하다.

정보보호 컨설팅 서비스를 받아보지 않은 조직들이 정보보호 마스터플랜 수립 컨설팅을 받는 경우 일반적으로 수행해야 되는 업무는 현황파악과 위험분석, To-Be 모델링 그리고 단계별 수행과제의 도출이라는 과정을 거치게 된다. 

기업 환경분석은 컨설팅의 기초 작업

컨설팅은 고객의 환경에 따라 중점 점검 대상이 달라진다. 예를 들어 금융권 고객의 경우 정보의 무결성이 가장 중요하게 요구된다. 계좌 금액이나 거래내용 변조와 같은 사례가 발생하면 해당 금융기업에 미치는 피해는 어마어마하다. 반면 ISP의 경우는 네트워크 서비스 가용성 확보가 가장 중요한 이슈다. 이런 환경에서 보안을 위해 방화벽을 설치하는 것이 적절한 대책이 아닐 수도 있다.

환경분석은 정보보호의 범위와 대상에 대한 공동 이해를 돕고 궁극적으로 프로젝트의 성공적인 수행을 위해 수행된다. 환경분석 결과는 프로젝트의 다음 단계 수행을 위해 고객의 정보환경에 대한 프로젝트 팀원간의 이해를 공유하기 위해 사용되고 고객의 보안담당자가 조직의 전반적 정보환경을 파악하는 자료로 사용된다.

정보환경 분석을 위해서는 다양한 정보원으로부터 정보수집이 필요하다. 컨설턴트는 조직이 클수록 중복 업무를 피하고 업무의 효율성을 증대하고 컨설턴트 간 수집된 정보 공유가 이루어진다. 전체 환경분석을 위해 조사할 사항들은 ▲주요비즈니스의 조사 ▲전체 조직 구조의 조사 ▲중요 정보시스템 현황의 조사 ▲비즈니스 수행이 일어나는 물리적 위치의 조사 ▲중요 정보의 조사 ▲네트워크 구조의 조사 등이다. 컨설턴트들은 해당 기업 홈페이지를 이용하기도 하고 담당자와 인터뷰 혹은 자료 제출을 요구하는 경우도 있다.

보안컨설팅 프로젝트를 수행하려고 하는 조직은 컨설턴트가 조직의 현황을 정확하게 이해할 수 있도록 다양한 정보를 제공하는 것이 바람직하다. 자료를 토대로 컨설턴트는 기업의 ▲정보보호 관련 정책, 지침, 절차의 구조 및 목록 ▲정보보호 조직 ▲정보보호 솔루션 현황 ▲정보보호 예산 등을 파악하게 된다.

객관적 자산분석 통해 보호우선순위 결정

기업이 소유한 자산은 유형과 종류가 다양하다. 정보는 이제 기업의 존립을 결정할 만큼 중요한 자산으로 인식되고 있으며 정보를 안전하게 보호하는 일은 기업의 자산활동 중 중요한 부분을 차지하고 있다. 중요한 정보의 대부분이 정보시스템 내에 전자적인 형태로 존재하면서 정보보호를 위해 정보시스템에 대한 보안강화는 필수적이다.

정보자산이란 좁은 의미로는 정보 그 자체만을 의미하지만 넓은 의미로는 그 정보를 포함해 정보를 생성, 가공 및 저장하는 설비를 모두 포함한다. 일반적으로 기업의 정보자산은 정보 및 데이터, 하드웨어, 소프트웨어, 물리적 환경, 인적 자산 등으로 분류할 수 있으며 서비스, 기업 이미지 또는 브랜드 가치 등도 보호해야할 중요한 대상이다.

자산분석은 고객이 보유하고 있는 정보자산들을 파악해 자산목록을 작성하고 각 자산에 대한 사업 영향분석을 통해 각 정보자산이 요구하는 기밀성, 무결성, 가용성의 정도를 기준으로 중요도를 평가하는 작업을 말한다.

자산분석의 목적은 그 기업의 비즈니스 업무수행을 위해 중요한 자산이 어떤 것인지 객관적 기준으로 평가하고 중요한 자산에 대해서는 우선적으로 보안대책이 적용될 수 있도록 선별하기 위해서다. 또한 정보자산에 대한 관리 체계를 정립해 운영하도록 하는 것도 중요한 목적 중 하나다. 자산분석은 정보자산 관리체계를 수립하는 단계와 중요성을 평가하는 단계로 구분할 수 있다. 

정보자산 관리체계의 수립

위험분석 목적으로는 정보자산의 중요도 산정도 중요하지만 정보자산을 체계적으로 관리할 수 있도록 정보자산에 대한 분류기준 및 관리방안을 제시하는 것도 중요한 일이다.

자산 분류 및 관리 체계는 보통 6단계로 구분된다. 자산의 식별은 현재 보유중인 자산 중 보호해야 할 대상을 정의하는 것이며 추후에는 새로 도입되는 자산을 개별적으로 식별해 관리대상에 포함시켜야 한다. 자산을 체계적으로 관리하기 위해 자산을 유형별로 분류해야 하고 이를 위해 통일된 기준의 자산분류 기준이 마련돼야 한다. 

자산 분류는 ▲유형별 분류와 중요도에 따른 ▲등급별 분류로 나눠볼 수 있다. 유형별 분류는 서버, 네트워크, PC 등 자산의 형태별로 분류하는 것을 말하며, 등급별 분류는 기밀정보자산, 비밀정보자산, 대외비 등 중요도 또는 보안성 요구 정도에 따라 분류하는 것이다. 정보자산을 체계적으로 관리하기 위해서는 사전에 이러한 기준을 협의해 정한 후 이를 따르도록 하는 것이 필요하다.

정보자산 관리 잘돼있으면 컨설팅 작업 한결 수월해

위험이란 목적달성을 저해하는 부정적인 사건이 발생할 가능성을 말한다. 보안위험이란 보안의 3대 요소인 기밀성, 무결성, 기용성을 해치는 사건이 발생할 가능성을 말한다. 따라서 어떠한 잠재적인 보안위험이 있는지를 알아내고 이에 대한 적절한 대책을 수립해 운영하는 것이 보안관리의 핵심이다.

정보자산에 대한 중요성 산정을 위해서는 기업이 보유하고 있는 정보자산에 대한 목록을 작성하는 것부터 시작된다. 기업이 정보자산에 대한 목록을 잘 관리하고 있으면 자산에 대한 중요도 산정이 훨씬 용이하다. 그렇지 못한 경우는 컨설턴트 작업의 많은 시간이 정보자산 식별에 투입된다. 따라서 정보보호 컨설팅 프로젝트를 수행하려는 기업은 효율적인 프로젝트 수행을 위해 정보자산에 대한 목록을 사전에 구입하는 것이 중요하다.  

자산의 중요성은 개별자산의 보안성 상실 시 조직에 미치는 영향이 어느 정도인지를 보고 평가한다. 평가항목으로는 기본적으로 4가지를 들 수 있다.

▲서비스 영향: 보안성 상실 시 개별자산이 영향을 미치는 서비스의 범위

▲이익손실: 보안성 상실 시 금전적 손실의 정도

▲고객상실: 보안성 상실 시 고객의 이탈 가능성 정도

▲대외이미지: 보안성 상실 시 조직의 이미지에 악영향을 미치는 정도

평가항목은 기업의 환경에 따라 바뀌어야 하며 어떠한 기준이 적용되든 상관없이 결과에 대한 해석을 위해 기준을 최대한 객관화하는 것이 중요하다. 즉 평가기준을 수치화하는 것이 합리적인 방법이라고 할 수 있다.

평가등급의 경우도 3단계 평가방법, 5단계 평가방법, 10단계 평가방법 등 다양하게 적용할 수 있기 때문에 조직의 환경에 맞게 적용하면 된다. 중요한 것은 새로운 자산이 도입되거나 생산되는 경우, 기존 정보자산이 폐기되거나 변경되는 경우 즉시 현황을 업데이트하도록 프로세스화 하는 것이 중요하다. 즉 정보자산에 대한 변경관리가 필요하다.(자료제공: 국가사이버안전센터) 

[길민권 기자(sw@infothe.com)]

<저작권자: 보안뉴스(www.boannews.com). 무단전재-재배포금지>