Home > 전체기사
[CBK특집] 정보보안의 ABC, CBK를 이해하자-⑥보안 아키텍처와 설계
  |  입력 : 2010-03-08 18:58
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

IT 구성하는 다른 프레임워크 알아야 적합한 아키텍처·설계 가능


<게재순서>

①CBK의 개요

②Domain 1 Information Security and Management(정보보안과 위험관리)

③Domain 2 Access Control(접근통제)

④Domain 3 Cryptography(암호학)

⑤Domain 4 Physical(Environmental) Security(물리적(환경적) 보안)

⑥Domain 5 Security Architecture and Design(보안 아키텍처와 설계)

⑦Domain 6 Business Continuity and Disaster Recovery Planning(기업연속 및 재난복구계획)

⑧Domain 7 Telecommunications and Network Security(통신 및 네트워크 보안)

⑨Domain 8 Application Security(응용프로그램 보안)

⑩Domain 9 Operations Security(운영보안)

⑪Domain 10 Legal, Regulations, Compliance and Investigations(법, 규정, 준수 및 조사)


머리말

인터넷 기반의 웹 2.0으로 현실세계가 바뀌고 있다. 관공서의 업무는 대부분 개인의 공인인증서를 통해 원하는 장소에서 서비스 받을 수 있다. 몇 년 전만 해도 관공서 행정업무는 국민이 관공서에 가야만 했었다. 한 달에 몇 번을 서점을 가고 종이 책을 즐겨 하는 필자의 경우도, 전자책을 권장하는 서점의 마케팅에 이제 책도 컴퓨터로 읽어야 하는 시대가 도래함을 부정할 수 없다.


서점이든 아니면 도서관을 가 본 독자들은 느끼겠지만 책들이 주제별로 구분되어 있음을 알 수 있다. 이렇게 정리가 안돼 있으면 책을 찾을 수 없을 것이다. 또한 책장이 크기 별로 놓여져 있어 책이 보관되어 있다. 크기 별 책장과 책의 분류는 미리 고안된 틀에 의하게 되는데 이를 아키텍처라 할 수 있다.


정보보안을 위해서는 보안아키텍처를 기반으로 한다. 도서관의 책장의 크기와 보관장소라는 물리적인 설계는 물론 분류기준과 같은 논리적인 설계가 잘 조화 되어야 한다. 정보보안의 아키텍처 또한 같은 맥락으로 보면 된다. 정보보안 아키텍처의 설계야 말로 정보보호의 시작점이라 할 수 있다.


CBK(Common Body of Knowledge:(정보보안)지식체계)를 이해하는 시간, 그 다섯 번째 주제(도메인이라고 표현해도 될 것 같다)를 살펴보자. 보안아키텍처와 설계라는 주제이다.


가용성, 무결성, 기밀성의 보안 3요소를 구현하기 위한 응용프로그램의 보안아키텍처가 있다. 또한 시스템과 그를 이루는 컴포넌트의 보안 강도와 취약점을 고려해야 한다. 보안적용을 위한 공통적인 보안모델을 정의해야 한다. 더불어 정보시스템 평가모델을 통해 신뢰성을 보증하여야 한다. 정보보안의 근본적인 틀, 말 그대로 아키텍처가 주제이다.


CISSP(Certified Information System Security Professional:국제공인 정보시스템 보안 전문가) 자격증을 소지하고 정보보안 분야에서 활발히 활동을 하는 독자나 혹은 CISSP를 지금 도전하는 있는 독자, 또한 CISSP를 처음 들어보는 독자이건 간에 정보보안의 이론적 바탕을 알기 위한 시간이 되길 바란다.


가용성, 무결성, 기밀성과 보안아키텍처

보안아키텍처의 모델에서 가용성을 논하기는 힘들지만 TCB(Trusted Computing Base)는 보안아키텍처와 물리적 가용성을 제공한다. S/W, H/W, Firmware를 포함한 시스템 내의 모든 보안 메커니즘을 포함하게 된다. 아래 내용들이 TCB를 구성하고 있다.


- 신뢰된 경로(Trusted Path)

- 보안 경계(Security Perimeter)

- 참조 모니터(Reference Monitor)

- 보안 커널(Security Kennel)

- 보안 도메인(Security Domain)


직접적인 무결성을 제공하는 모델은 Biba와 Clark & Wilson 모델이다. Biba모델은 무결성을 위한 상업용 모델로써 최초의 수학적 모델이라는 것이 의미가 있으며, NRD(No Read Down)과 NWU(No Writ Up)의 객체에 대한 2가지 접근법이 있다. Clark & Wilson모델 또한 무결성을 강조하는 상업적 모델이지만 직무분리(SOD:Segregation Of Duty)와 감사(Auditing) 기능이 포함되어 있다.


기밀성은 Bell-LaPadula모델이 대표적이다. 다중등급보안을 정형화해 주체와 객체의 보안수준과 접근을 사용하였다. NRU(No Read Up)과 NWD(No Write Down)와 임의적 접근통제를 기반으로 한다.

 

▲가용성, 무결성, 기밀성과 보안아키텍처.

 

기업보안 아키텍처의 필요성

아키텍처의 필요성에 대해서는 글의 초반부에서 설명하였다. 아키텍처를 기반으로 보안을 구현하여야 체계적인 접근을 할 수 있는 것은 물론이며 향후 가까운 미래의 보안설계를 예상할 수 있다. 일정한 틀이 있어야 그 틀에 맞추어 구성요소를 구축할 수 있으며 통일된 구성요소를 찾아 낼 수 있는 것이다. 왜 기업보안 아키텍처를 수립해야 하는지를 나열해보면 다음과 같다.


- 정보보안의 상호운영, 통합을 제공

- 새로운 보안설계와 구축의 효율적인 지원

- 정보자산의 보호를 위한 보안솔루션 적용의 용이성

- 정보자산의 위험을 관리하며 중복과 누락을 방지하여 비요 절감

- 의사결정권자의 빠르고 현명한 의사결정 지원


보안 아키텍처와 프레임워크

 

▲보안 아키텍처를 구현하기 위한 참조 프레임워크들.

 

맺음말

정보(시스템)보안의 ABC, CBK를 이해하는 6번째 시간이면서 CBK의 주제로는 5번째 주제인 보안 아키텍처와 설계에 대해서 알아보았다. 아키텍처를 얘기하다 보니 좀 딱딱한 얘기들로 이루어져 있었다.


CBK의 경우도 다른 지식체계와 마찬가지로 매년 내용을 보완하고 있다. 특히 이 도메인에서는 보안 아키텍처와 설계에 있어 IT를 구성하고 있는 다른 프레임워크를 알아야 적합한 아키텍처와 설계를 할 수 있다고 한다. ISO/IEC 27001, ITIL, COSO, CMMI가 그 내용이다.


정보보안의 국제 표준에 대한 인증은 ISO/IEC 27001이다. IT서비스관리를 위한 프레임워크의 구현은 ITIL(IT Infrastructure Library)이다. 기업의 내부통제와 기업전반의 위험관리를 얘기하는 것은 COSO(Committee Of Sponsoring Organization) 모델이다. SW 품질평가 기준으로 널리 사용되고 있는 CMM의 후속 모델인 CMMI(Capability Maturity Model Integration)는 소프트웨어(SW)와 시스템 기술의 프로세스 개선을 위한 통합모델이다.


손자는 “적을 알고 나를 알면 백 번 싸워 위태롭지 않다(知彼知己 百戰不殆)”고 했다. 정보보안의 올곧은 모습은 연관된 다른 지식체계, 프레임워크를 얼마나 이해하느냐에 달려 있다고도 볼 수 있다.


CISSP으로서 혹은 정보보호 전문가로서의 길은 정보(시스템)보안과 기타 연관되는 비즈니스 목적달성을 위한 다른 모델을 앎으로써 확장된다. 비즈니스를 공부하고 타 지식을 연구하기에 보안전문가는 바쁘다. 그러기에 전문가이다. 끊임없이 악상코드 패턴을 분석하는 방화벽과 IDS를 보라. 우리도 그들처럼 해야 하지 않을까?


보다 자세한 내용은 www.isc2.org 혹은 www.cisspkorea.or.kr에서 찾아볼 수 있다.


[참고자료 및 출처]

www.isc2.org

www.cisspkorea.or.kr

Official (ISC)2 Guide to the CISSP CBK, Auerbach Publications, 2007~2008

Information Security Governance, ITGI, 2008

InfoSecurity Professional Magazine, ISC2, 2008~2010


[필자(조희준) 약력]

-IT컨설팅 및 IT감리법인 수석컨설턴트

-(사)한국정보시스템 감사통제협회 ISACA Korea 임원

-한국 CISSP 협회 (ISC)2 Korea 임원

-한국 포렌식조사 전문가 협회 임원

-한국 정보기술 프로젝트관리 자격검정원 운영위원

-감사행정학과 석사과정

-(ISC)2 CISSP 국제공인 강사

-라이지움, 한국생산성 본부 강사

-주 관심사: IT 감사와 정보보호를 확장하여 비즈니스에 연계하는 분야와 IT 거버넌스와 정보보안거버넌스


[글·조희준(josephc@chol.com) CISSP, CCFP, CSSLP, ISO 27001(P.A), CISM, CGEIT, CISA, COBIT, ITIL, CIA, IT-PMP, PMP, ISO 20000(P.A), (ISC)2 CISSP 공인강사, 정보시스템감리원]

[정리 / 김정완 기자(boan3@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
지난 10월 정보보호정책관을 정보네트워크정책관으로 변경하는 과학기술정보통신부의 조직 개편 움직임이 논란이 된 바 있습니다. 과기정통부에서 정보보호 업무를 총괄하는 조직 위상에 대한 견해는?
과기정통부에서 분리해 별도의 정부부처가 전담해야
과기정통부 내 정보보호정책실(실장급)로 격상시켜야
지금처럼 정보보호정책관(국장급) 조직을 유지해야
네트워크 업무를 통합시키되, 정보보호네트워크정책관(국장급)으로 명명해야
과기정통부의 초안처럼 정보네트워크정책관(국장급)으로 해야
기타(댓글로)
      

이스온
원격감시 / 안전관리

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

파나소닉코리아
Sevurity Camera / CCTV

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

AVIGILON
영상 보안 / 출입 통제

대명코퍼레이션
DVR / IP카메라

티제이원
영상 보안 / 출입 통제

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

비전정보통신
IP카메라 / VMS / 폴

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

이화트론
DVR / IP / CCTV

피엔에이
CCTV / IP 카메라 모듈

테크스피어
손혈관 / 차량하부 검색기

쿠도커뮤니케이션
스마트 관제 솔루션

슈프리마
출입통제 / 얼굴인식

아이티엑스엠투엠
DVR / NVR / IP CAMERA

씨엠아이텍
근태관리 소프트웨어 / 홍채 스케너

링크플로우
이동형 CCTV 솔루션

한국씨텍
PTZ CCTV

엔토스정보통신
DVR / NVR / CCTV

경인씨엔에스
CCTV / 자동복구장치

트루엔
IP 카메라

씨오피코리아
CCTV 영상 전송장비

CCTV협동조합
CCTV

디비시스
CCTV토탈솔루션

도마카바코리아
시큐리티 게이트

다민정보산업
기업형 스토리지

테크어헤드
얼굴인식 소프트웨어

에스카
CCTV / 영상개선

브이유텍
플랫폼 기반 통합 NVR

윈스
지능형 차세대 방화벽

포티넷
네트워크 보안

화이트박스로보틱스
CCTV / 카메라

신우테크
팬틸드 / 하우징

네이즈
VMS

케이제이테크
지문 / 얼굴 출입 통제기

혜인에스앤에스
통합보안시스템

셀링스시스템
IP 카메라 / 비디오 서버

사라다
지능형 객체 인식 시스템

수퍼락
출입통제 시스템

구네보코리아
보안게이트

일산정밀
CCTV / 부품 / 윈도우

아이엔아이
울타리 침입 감지 시스템

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

케이티앤씨
CCTV / 모듈 / 도어락

파이브지티
얼굴인식 시스템

이스트컨트롤
통합 출입 통제 솔루션

아이유플러스
레이더 / 카메라

지와이네트웍스
CCTV 영상분석

두레옵트로닉스
카메라 렌즈

지에스티엔지니어링
게이트 / 스피드게이트

이후커뮤니케이션
전송장치/CCTV

창우
폴대

넷플로우
IP인터폰 / 방송시스템

대산시큐리티
CCTV 폴 / 함체 / 랙

엘림광통신
광전송링크

티에스아이솔루션
출입 통제 솔루션

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

DK솔루션
메트릭스 / 망전송시스템

싸이닉스
스피드 돔 카메라

다원테크
CCTV / POLE / 브라켓

유진시스템코리아
팬틸트 / 하우징

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

카티스
출입통제 / 외곽경비

세환엠에스
시큐리티 게이트