조직의 필수 인프라인 정보시스템의 보안 취약성 증가

정보시스템은 모든 조직의 필수적인 인프라이다. 현대사회에서 정보시스템 없이 정상적으로 활동할 수 있는 조직은 거의 없다. 그러나 정보시스템이 발달하면서 보안 취약성은 더욱 늘어나고 있으며, 시스템 운영의 효율성을 높이는 방안이 필수적으로 요구되고 있다. 정보시스템의 안전성과 효율성을 높이는 방법으로 정보시스템 감리가 제안되고 있다. 

현대사회에서 네트워크에 연결된 컴퓨터 없이 기업활동을 한다는 것은 상상도 할 수 없다. 미래사회에서 컴퓨터 없이 정상적인 경제활동은 불가능하다고 잘라 말해도 지나치지 않다. 기업뿐만 아니라 개인도 인터넷을 통해 행정민원, 전자상거래, 금융거래 등을 손쉽게 처리하고 있다. 네트워크는 기업과 개인의 생활을 편리하게 만들어주는 수단에 그치지 않고, 정상적인 생활을 지속하기 위한 필수적인 요소로 자리 잡고 있다.

기술이 발달할수록 기업이나 개인이 정보시스템에 의존하는 정도는 더욱 심해질 것이다. 이를 통해 생활의 편리함을 보장받을 수 있지만, 그만큼 새롭고 많은 위협에 노출될 수 있다는 사실을 의미하기도 한다.

정보시스템은 단순히 소프트웨어를 결합시킨 것이 아니라 소프트웨어와 하드웨어, 시스템소프트웨어, 네트워크, 데이터베이스 등 모든 시스템 기술요소가 어우러진 것이다. 여러 요소간의 결합으로 발생할 수 있는 호환성 문제 등 부작용, 보안상 취약점 등은 정보기술 발달과 함께 조직의 생존을 위협할 수도 있다. 이러한 문제를 해결하기 위해 제안되고 있는 것이 정보시스템 감리이다.

보안전문가, 미래의 위협 예상·대비해야

정보시스템감리는 프로젝트 관리, 응용시스템, 데이터베이스, 시스템아키텍처 및 보안으로 나뉜다. 보안감리는 이 4개의 감리분야를 포함해 각종 보안요소의 법적 준거성, 보안정책수립, 보안조직 구성, 보안 표준화 등 사회적인 요소를 함께 고려해야 하며, 사회 전반에 걸친 풍부한 지식과 경험이 있어야 한다.

정보시스템 기술의 발달과 함께 시스템이 각종 위협요소로부터 어떻게 보호되고 관리되는가가 매우 중요한 문제로 떠오른다. 판사나 변호사는 이미 일어난 일을 다루지만, 정보보호 전문가는 이미 일어난 일과 일어나지 않았지만 일어날 수 있는 일, 예상조차 하지 못했던 위험까지 고민해야 한다. 유비쿼터스 사회에서 보안전문가에게 요구하는 사항은 더 복잡하고 더 많아진다.

네트워크에 한번 유출된 정보는 ‘빛의 속도’로 확산된다. 정보를 유출한 범인을 찾아 처벌한다 해도 이미 유출된 정보는 제3자에 의해 계속 이동하면서 정보의 사용가치가 없어질 때 까지 지속적인 피해를 입힌다. 정보가 유출됐다 해도 피해가 발생하거나 제3자에게 넘어가기 전에 적발하고 적절한 조치를 한다면, 정보유출로 인한 피해를 막을 수 있다. 그러나 현실적으로 보안 취약성을 파고든 침해사고가 발생한 후 피해 발생을 막기 쉽지 않다.

만일 악의적인 해킹에 의한 정보유출을 막는 시스템을 개발해 조직의 정보시스템에 구현했다면, 침해로 인한 정보유출이 발생하지 않을 것이며, 이로 인해 발생하는 사회적인 비용도 최소화 할 수 있다.

보안의 목표는 기밀성, 무결성, 가용성, 인증, 부인방지 등이며, 통제, 감시, 보안 소프트웨어, 보안 메커니즘 등을 통해 보안목표를 달성할 수 있다. 통제 및 감시는 관리적 요소에 해당되고 보안 메커니즘은 암호화, 전자서명 등이 있으며, 이러한 메커니즘은 정보에 대한 보안을 강화하도록 한다.

컴퓨터 보안은 네트워크, 응용시스템, 데이터베이스, 운영체계, 시스템 등 각 부문에서 기술적인 요소를 중요시한다. 우리나라에서 정보시스템 보안은 점차 하나로 통합되는 추세를 보이고 있으며, 사회 전반으로는 개인정보 보호에 초점이 맞춰지고 있다.

보안전문영역 발전하며 보안감리 중요성 커져

해커들은 여러 패턴으로 다양하게 시스템의 침입을 시도하고 있기 때문에 보안담당자는 침입에 대한 유형을 분석해 차단하려고 노력해야 한다. 그동안 보안은 ‘하면 좋고 안 해도 상관없는 옵션’의 하나로 인식돼 왔다. 하지만 침해사고로 인한 피해가 늘어나면서 보안은 고도의 전문화된 영역으로 진화하고 있다. 보안이 전문영역으로 발전하면서 보안의 품질과 서비스를 평가하는 보안감리의 필요성도 부각된다.

보안감리란 침입에 대한 시도와 차단에 대한 분석결과를 문서화하고 재정의해 좀 더 나은 표준을 만드는 일련의 과정을 의미한다. 감리를 위해서는 일정한 표준이 있어야 하지만, 보안감리에서 표준을 정하기가 쉽지 않다. 수 없이 많은 새로운 사이버 위협이 나오고, 이에 대처하기 위해 보안기술 역시 수시로 변하고 있기 때문이다.

그럼에도 불구하고 보안기술에 대한 기본적인 패턴에 대한 표준은 필요하며, 이를 근간으로 보안감리가 이루어져야 한다. 표준을 결정하는 작업은 정보시스템감리사중 보안분야를 감리하는 전문가에게 맡겨야 한다. 감리전문가를 선정할 때는 반드시 그 사람의 도덕적 자질에 대한 평가가 이루어져야 한다.

보안감리에는 정보시스템의 관리적, 물리적, 기술적 보안 항목들의 기준을 위해 여러 정보보호 컨설팅 방법론에 나오는 모범사례(Best Practice)를 활용할 수 있다. 영국의 정보보호 관리시스템 표준(Information Security Management Systems)인 ISO17799(BS7799)를 이용해 대상의 정보보호 현황과 Best Practice를 비교해 대상 기업의 정확한 Gap 분석 결과 정보보호 수준의 현주소를 파악할 수 있다. 보안감리에서 중요한 보안기술로는 방화벽, Secure DB, 전자우편보안, 공개키기반구조(PKI), 전자서명, VPN, 개인정보보호, 침입탐지시스템, 인증 등이 있다.

정보보호 위해 보안감리 ‘필수’

침해사고를 막기 위해 정보시스템에 보안정책이 반드시 있어야 한다. 보다 안전하고 효과적인 보안을 위해 보안감리는 필수불가결하며, 이는 보안감리 전문가가 맡아야 할 영역이다. 대부분의 정보시스템은 개발시점에서 정보보호에 대해 고려하지 않으며, 운영과정에서도 사고에 대한 대비책 없이 운영되는 경우가 많다.

해킹 또는 정보유출에 의한 피해가 발생한 후에야 대책을 세우고 보안시스템을 도입하지만 이미 막대한 피해를 입은 후이다. 정보시스템의 개발단계나 운영과정에서 정보보호에 대한 충분한 고려가 이루어진다면 비교적 적은 비용으로 정보시스템을 안전하게 보호할 수 있다.

지금까지는 공공기관의 프로젝트가 감리의 주요 대상이었다. 그러나 점차 민간부문의 모든 프로젝트에 감리가 적용되고 있으며, 아웃소싱으로 운영되고 있는 운영시스템의 감리도 중요한 영역으로 자리잡고 있다. 앞으로 정보시스템 보안 감리의 활성화 및 품질 제고를 위해 필요한 지침연구와 우수한 인력의 참여가 기대되며 이에 대한 유관기관의 투자도 지속적으로 이루어져야 할 것이다.

정보기술의 발전과 더불어 컴퓨터 보안산업 또한 많은 발전을 거듭해왔다. 따라서 정보기술의 새로운 영역인 보안감리분야의 태동은 새로운 도전이며 보안전문가들의 도전해볼 영역이기도 하다.

<글: 전상덕 건국대학교 겸임교수>

[월간 정보보호21c 통권 제86호(info@boannews.com)]

             <저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>