[CISM 특집] ⑥CISM - 사고대응관리

사이버사회의 양적·질적 팽창으로 인해 사이버 공간에 대한 질서와 체계 그리고 보안을 확립시켜가야 한다는 것이 이제 사회 전반적인 화두가 되고 있다. 또 국가와 기업에서는 이를 총괄 관리할 수 있는 조직과 인재가 절실한 상황이다. 이번 주부터 매주 8회분에 걸쳐 CISO(Chief of Information Security Officer: 정보보안담당 이사)의 필요성을 조명하고 CISM 자격증에 대해서도 집중 소개하는 시간을 갖도록 하겠다. 필자는 IT컨설팅 및 감리법인 (주)키삭 조희준 책임컨설턴트. <편집자 주>

[게재 순서]

①CISM 소개

②CISM 시험영역: 정보보안 거버넌스

③CISM 시험영역: 정보위험관리

④CISM 시험영역: 정보보안 프로그램 개발

⑤CISM 시험영역: 정보보안 프로그램 관리

⑥CISM 시험영역: 사고대응관리

⑦ISMS(정보보안관리체계)

⑧산업보안

“사고를 당한 후 사후 처리하겠다는 자세는 옳지 않다!”

우리는 살면서 불확실성에 노출되어 있다. 그래서인지 보험 등의 형태로 그 불확실성에 대비하곤 한다. 정보보안에서는 보험만으로는 해결될 수 없기에 사고대응관리라는 내용을 CISM 시험영역에 포함시켜 놓았다. CISM에서의 사고(incident)는 조직의 자산, 명성, 조직구성원에게 피해를 유발시키는 정보보안의 사고를 말한다.

CISO(Chief of Information Security Officer: 정보보안 담당이사)로서의 CISM 국제 자격증 시험 영역의 5번째 주제(마지막 주제)는 사고대응관리로서, CISM이 정보프로세스 기능의 장애 혹은 실패를 식별, 분석, 관리, 대응 하기 위한 목적을 가진 주제 영역인 것이다. CISM이라는 즐거운 여행에 예상치도 않았던 사고(incident)는 있을 수 있다. 우리의 의지는 아니다. 우리의 의지가 아니라고 사고를 당할 수 만은 없지 않은가? 사고가 생기더라도 대응을 잘 해나간다면 여행은 계속 될 수 있다. 즐거운 여행은 계속 되어야 한다.

CISM 5장 사고대응관리

정보보안사고도 다른 사고와 마찬가지로 미리 알 수 있는 것은 아니다. 미리 알 수 없다고 해서 사고가 닥치면 그때 가서 대응하겠다고 하는 것은 정보보안관리자로서의 CISM의 자세는 아닐 것이다. 그러므로 정보보안사고를 신속히 탐지하고 그것을 식별하고 분석해서 대응하는 프로세스를 개발하고 준비해 두어야 한다. 물론 시간과 노력과 비용이 추가되지만 지금의 노력이 아무 대책 없이 사고를 맞이 하였을 때의 영향보다는 월등히 영향도 대비 효과효율적이므로 사고대응관리를 하는 것이다. 지금까지 해온 정보보안거버넌스(CISM 1장)에 의한 위험관리(CISM 2장), 정보보안프로그램개발(CISM 3장), 정보보안프로그램관리(CISM 4장)이 정보보안사고 한번에 다 무너질 수 있으므로 관리해야 할 대상인 것이다.

정보보안사고 비상대응팀(CERT: Computer Emergency Response Team)을 훈련시키고 비상시의 의사소통 혹은 연락망 체계 등 준비할 것도 많다. 무엇보다도 정보보안사고대응관리 또한 정보보안거버넌스에 한 부분으로 구성된다. 조직이나 기업의 기업영속성을 유지하기 위한 기업영속성관리(BCP: Business Continuity Plan)와 재난복구계획(DRP: Disaster Recovery Plan)등과 함께 연계 통합되어야 한다.

결국 정보보안사고대응관리는 조직이나 기업의 목적을 달성하는 전략과 연계되어서 그것을 달성하는데 필요한 정보보안의 요소적 목적을 이루기 위해 사고대응관리가 존재하게 되는 것이다. 아래 그림에서 보면 BCP라는 커다란 울타리 안에 그 목적에 맞는 여러 가지 사고대응계획이 있으며 정보보안 사고대응관리는 그 중의 하나이며, 동시에 다른 것들과 통합되어야 한다.

BCP와 사고대응계획들

사고대응관리 영역은 10개의 수행활동(Task Statement)과 그에 따른 세분화된 지식 성명서(Knowledge Statement)로 구성되어 있다.

CISM 에게 던지는 질문

“기업의 연속성계획 프로그램을 수립할 때 가장 먼저 고려 해야 할 것은 무엇일까요? 라고 CISM에게 질문을 한다면?

여러 가지 측면을 고려한 대답이 나올 수 있을 것이다.

“정보처리시설을 재 구축하기 위한 비용” 혹은 “대체사이트(2차 사이트: alternative site) 구축의 장소와 예산” 등의 구체적인 방법을 제시 할 것이다.

하지만 5장 사고대응관리에서는 “정보시스템이 중단되었을 때의 손해 비용을 일일(daily) 계산” 이라고 추천하고 있다. 기업이나 조직의 생산적 주요활동을 정보시스템에 의존하고 있으므로 정보시스템의 사고로 인한 영향은 기업의 직접적인 손해비용으로 계산된다. 기업의 연속성에 정보시스템의 연속성을 고려해야 한다는 얘기 인 것이다.

CISM의 시험영역 제 5장 사고대응관리는 정보보안사고를 식별하고 탐지하는 일련의 수행활동들이 결국은 사고 발생시에 대응을 잘하여 사고의 영향을 줄이고 기업과 조직의 연속성, 즉 중단 없는 기업의 활동을 영위하기 위함이며, 기업의 연속성에 정보보안사고가 치명적인 걸림돌이 되는 것을 방지하기 위함이다. 이 영역에서 얘기하는 대응(response)은 결국 예방(prevention)이라는 의미로 해석된다. “지피지기면 백전불태” 라고 했다. 적을 알고 나를 알면 백 번 싸워도 위태롭지 않다는 것이다. 정보보안사고를 준비하고 훈련하고 실제 사고 발생시에서 도출되었던 문제들을 보완하는 것을 통하여 우리는 위태롭지 않을 것이며 CISM은 그 교훈을 잘 알고 있을 것이다.

CISM의 시험영역인 5개의 영역을 단계별로 살펴 보았다. 독자들이 CISM을 이해하고 앞으로 나아갈 바를 정하는데 도움이 되길 바라며, “The bucks stop here.(문제는 바로 여기에 있어)” 라고 말한 트루먼 대통령의 말처럼 CISM을 자기 내재화하고 발전시킴은 또한 독자들의 몫이지 않을까?

보다 자세한 내용은 http://www.isaca.or.kr/혹은 http://www.lyzeum.com/에서 찾아볼 수 있다.

참고자료 및 출처

http://www.isaca.org/

http://www.isaca.or.kr/

http://www.lyzeum.com/

Information Security Governance-Guide for BOD and Executives, ITGI, 2004

Information Security Governance, ITGI, 2008

CISM Review Manual, ISACA. 2006~2008

CISM Review Questions/Answer/Explanations Manual, ISACA, 2008

[필자 약력]

-기고자: 조 희 준

-IT컨설팅 및 감리법인 (주)키삭 책임컨설턴트 재직 중

-고려대학교 대학원 감사 행정학과 재학 중

-(사)한국정보시스템 감사통제협회 ISACA GRA 간사

-한국 CISSP 협회 ISC2 Korea 교육연구분과 교육팀장

-CISM, CGEIT, CISA, COBIT, CISSP, PMP, ITIL, CIA, IT-EAP, ISO 27001 정보시스템 감리원

-IT감사를 확장하고 비즈니스에 연계하는 분야가 관심분야이며 이와 관련해서 원고기고 및 강의 활동도 있으며 대학원에서 감사행정학을 공부하고 있다.

글·조희준(CISM, CGEIT, CISA, COBIT, CISSP, PMP, ISO27001, CIA, 정보시스템감리원) / mailto:josephc@chol.com

[정리 길민권 기자(reporter21@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)