[CBK특집]정보보안의 ABC, CBK를 이해하자-⑧CISSP는 아는데 CBK를 모르세요?

Continuity and Disaster Recovery Planning ? Part II

<게재순서>

①CBK의 개요

②Domain 1 Information Security and Risk Management(정보보안과 위험관리)

③Domain 2 Access Control(접근통제)

④Domain 3 Cryptography(암호학)

⑤Domain 4 Physical (Environmental) Security(물리적(환경적) 보안)

⑥Domain 5 Security Architecture and Design(보안 아키텍처와 설계)

⑦⑧Domain 6 Business Continuity and Disaster Recovery Planning(기업 연속 및 재난복구계획) Part I, Part II

⑨Domain 7 Telecommunications and Network Security(통신 및 네트워크 보안)

⑩Domain 8 Application Security(응용프로그램 보안)

⑪Domain 9 Operations Security(운영보안)

⑫Domain 10 Legal, Regulations, Compliance and Investigations(법, 규정, 준수 및 조사)

머리말

옛날 이야기도 좋고 지어낸 이야기도 좋다. 하나의 이야기를 만들어 보자. 독자들이 살면서 중요하게 여기는 물건들은 많을 것이다. 그 많은 소중한 물건 중에서 꼭 3가지만 챙겨가지고 지구를 떠나서 아바타 영화에 나오는 판도라 행성으로 가야 한다고 가정해보자. 반드시 3가지 물건만을 가져 갈 수 있기에 독자들은 고민을 하게 될 것이다. 우선은 독자들이 가지고 있는 물건들이 무엇이 있는지 나열해보고 그 중에서 가장 소중한 것 3가지를 택하게 될 것이다. 다시 말해서 우선순위가 제일 높은 3가지를 고르게 되리라는 말이다.

기업의 연속성 계획인 BCP에서도 마찬가지의 경우가 적용된다. 기업의 사업을 연속적으로 하려면 만일의 사고에 대비하거나 업무가 중단될 수 있는 경우를 대비해야 한다. 그렇다고 해서 현재 기업의 업무나 사무실을 똑같이 만들어서 제 2의 장소에 모든 업무기능을 마련해 놓는 다는 것은 비용이 엄청나게 들어갈 것이다.

기업의 입장에서 가장 중요한 것이 무엇인지 고민해보고, 나열해보고 그 중에서 몇 가지를 선택해야 할 것이다. 선택된 몇 가지는 기업의 핵심기능이거나 프로세스 이므로 거의 전산화 되어 있다. 그렇다면 전산화 되어 있는 핵심기능이나 프로세스만을 어딘가에 제 2의 장소에 준비하여 놓고 만일에 대비하여야 한다. 또한 원상복구도 해야 할 것이다. 이것은 DRP(Disaster Recovery Plan, 재난복구계획)이라고 한다.

BCP와 DRP의 상호 관계는 어떻게 될까? 기업이 전략과 목적을 달성하기 위한 계획중의 하나가 BCP이며, BCP를 뒷받침하는 하나가 DRP이다. 다르게 본다면 기업의 비즈니스를 위해 정보보안이 필요하고 그러기에 정보보호 관리자도 정보보호 기술자가 필요하다는 논리이다. 간단하지만 정말 잊어버리고 사는 정보보호 관리자나 정보보호 기술자가 많다. 안타까운 일이다.

▲기업의 핵심기능선택 BCP/DRP.

CBK(Common Body of Knowledge, (정보보안)지식체계)를 이해하는 시간, 그 일곱 번째 주제(도메인이라고 표현해도 될 것 같다)를 살펴보자. 기업연속 및 재난복구계획 Part II 이다. 이번에는 CISSP로서 기업의 전략과 목적을 달성하는 차원에서의 기업연속 및 재난복구계획을 이해하고 난 뒤, 정보보호 차원에서 어떻게 비즈니스를 지원하는지에 대해 논의해 보겠다.

CISSP(Certified Information System Security Professional, 국제공인 정보시스템 보안 전문가) 자격증을 소지하고 정보보안 분야에서 활발히 활동을 하는 독자나 혹은 CISSP를 지금 도전하는 있는 독자, 또한 CISSP를 처음 들어보는 독자이건 간에 정보보호의 이론적 바탕과 현업을 알기 위한 시간이 되길 바란다.

DRP (Disaster Recovery Plan) 재난복구 계획

재난복구 계획이란 지난 시간에 학습한 BCP에 비해서는 다분히 IT적인 관점이다. 재난으로 인한 중단된 IT서비스를 재개하는 것에 한정을 두고 있다.

우선 재난이라는 것에 대한 정의를 살펴보면 재앙과 IT서비스의 한정 중단 사이에 존재하는 의미로 보면 된다. IT서비스가 완전 중단되거나 장기적으로 지원이 되지 않는 경우를 재앙(catastrophe)라고 한다. IT서비스의 한정 중단(non-disaster)은 IT의 서비스의 제공이 일시적으로 지원되지 않은 것으로 정보처리시설 등도 손상이 되지 않은 상태이다. 재난(disaster)이란 이 두 가지의 가운데에 위치한 개념으로서 정보처리시설물의 손상이 있을 수도 있으며 IT서비스가 1일을 기점으로 +-날짜 동안이나 수시간이 제공되지 않은 것을 의미한다.

정보처리시설 및 정보서비스가 재난이 발생하여 중단될 경우를 대비하여 이를 빨리 복구하여 비즈니스, 즉 업무를 수행하여 비즈니스에 악영향을 최소화 하는 것을 재난복구 계획이라고 한다. 물론 여기에서 얘기하는 업무의 빠른 복구의 대상은 모든 업무가 아닌 핵심 업무만을 말한다.

▲BCP/DRP/DRS의 관계.

DRS (Disaster Recovery System) 재난복구 시스템

DRP는 계획이다. 이러한 계획을 구체적으로 구현하기 위해서는 일련의 절차들이 필요하다. 재난복구 계획이 재난 시에 의도한 대로 이루어질 수 있도록 지원하기 위해 기업내의 자원들을 가지고 지속적인 관리체계를 갖고 가는 것을 DRS라고 한다.

어떤 중요 업무가 있는지를 식별하고(BIA), 그 업무에 대한 재개 목표시간(RTO), 목표복구시점(RPO), 대체 사이트, 최대 용인가능 시간(MTD)를 내용으로 하고 있다. 온라인 쇼핑몰 회사를 예로 들어보자.

lBIA(Business Impact Analysis) 이 회사의 대부분의 매출은 온라인으로 고객이 주문을 하는 것에 의존되어 있다. 그러므로 회사의 경영주나 고객주문부서에서는 온라인 주문이 가장 중요한 업무기능이다. 그러므로 이 온라인 주문은 회사의 건물이 테러에 의해 제압 당하거나 홍수 등으로부터 피해를 입더라도 고객으로부터 주문을 계속 받고 싶어한다.

◇ RTO(Recovery Time Objective) 재난 시에 고객주문부서에서의 요구사항은 다음과 같다. 재난이 닥치더라도 업무재개가 몇 시간 이내에 이루어지기를 바란다. 그렇다면 RTO는 mirror site혹은 hot site로 구성을 준비해야 한다. 다시 말해서 재난 시에 업무를 재개할 수 있는 다른 장소에서 수시간 이내에 고객주문을 온라인으로 처리하겠다는 것이다.

Mirror site = 실시간 혹은 1-2시간 이내

Hot site = 2시간 이내

Warm site = 1주일 이내

Cold site = 1개월 이내 혹은 그 이상

◇ RPO(Recovery Point Objective) RPO는 IT적인 관점이 포함되어 있다. 용인할 수 있는 데이터의 유실량 이라고 한다. 고객주문부서가 재난 시에 제 2의 장소에서 업무재개를 하였을 때 고객주문 정보나 데이터가 바로 조금 전의 재난 시점 것인지, 아니면 하루 전의 것인지, 일주일전의 것인지를 결정하여야 한다. 즉 고객주문부서에서 데이터의 중요성에 따라 결정을 하여야 한다.

Critical = 실시간 혹은 1-2시간 이전의 데이터

Vital = 2시간 이내의 데이터

Sensitive = 1주일 이내 혹은 현업부서가 결정

Non-Critical - 1개월 이내 혹은 현업부서가 결정

◇ MTD(Maximum Tolerable Downtime) 그렇다면 재난을 언제 선언하고 비상 근무체계로 돌입할까? 다시 말해서 언제 재난이라고 결정, 선포하고 제 2의 장소로 이동해서 고객주문을 다시 온라인으로 수행하게 될까? 이것을 결정하는 것이 MTD이다. 회사에서 재난으로 업무가 중단되었을 때, 회사가정한 몇 시간이나 중단되면 혹은 며칠 동안 중단되면 그때부터 재난이라고 선언한다는 것이다, 이때부터 그 동안 구축해왔던 DRS를 작동시키고 통합적인 DRP가 펼쳐지게 되는 것이다.

▲DRP의 구성.

BIA (Business Impact Analysis) 비즈니스 영향 분석

비즈니스 혹은 업무 영향분석이라고 하는 BIA는 BCP/DRP의 초석이라고 할 수 있다. 기업의 연속성과 재난복구의 범위는 핵심 업무만을 대상으로 한다. 기업 가지고 있는 자원은 제한적이므로 핵심업무/기능에 초점을 맞추게 되어 있다. 앞 소절에서 예를 든, 온라인 주문 회사라면 온라인 주문일 것이다. 그 회사의 다른 업무나 기능들 즉, 재무, 회계, 인사, 마케팅은 필요한 기능이지만 재난복구의 일차적인 우선 순위는 아니다. 독자들의 경우에는 그 회사의 사업자 등록증에 나와 있는 업종이 핵심 기능/업무라고 생각하면 쉬울 것이다. BIA의 주요 내용은 아래 표와 같다.

BIA 단계

내 용

위험 분석

ㆍ기업의 연속성에 영향을 미치는 것은 위험이다.

ㆍ이러한 위험에 대한 식별을 한다.

ㆍ식별된 위험은 주관적인 정성적인 방법으로 우선순위화 한다.

ㆍ우선순위화된 위험들에 대해 금액으로 계산하는 정량적인 방법을 사용한다.

ㆍ우선순위화 되고 금액으로 환산된 위험에 대한 대응책을 강구한다.

ㆍ위험에 대한 대응책은 비용효익을 따져야 한다.

핵심업무 식별

ㆍ위험분석을 기초로 하여 기업내의 핵심업무를 식별한다.

ㆍ핵심업무에 대한 정성적 분석을 한다.

ㆍ정성적으로 분석된 핵심업무를 가지고 정량적 분석을 한다.

ㆍ경영진의 참여로 DRP의 대상 업무/기능이 결정된다.

ㆍ운영관리자 혹은 데이터 소유자, 현업부서장의 역할이 핵심업무 식별이다.

핵심업무를 지원하는

IT자원 식별

ㆍ핵심업무는 IT를 통하여 전산화 되어 있는지 확인한다.

ㆍ핵심업무가 프로세스화 되어 있는지 확인한다.

ㆍ프로세스화 되어 있는 핵심업무를 지원하는 IT자원을 식별한다.

ㆍIT자원이란 인프라, 애플리케이션, IT인원, 기초 데이터를 말한다.

ㆍIT자원의 가용성을 고려한다.

IT서비스의 중단에

따른

영향과 MTD식별

ㆍ프로세스화 되어 있는 핵심업무를 지원하는 IT서비스의 중단에 대한 영향을 평가한다.

ㆍ영향평가는 PI matrix(빈도와 영향의 함수)로 산정한다.

ㆍ영향평가를 기초로 MTD를 산정한다.

ㆍMTD의 요구사항이 짧을수록 핵심 비즈니스 이며 우선적으로 복구되어야 하는 IT서비스이다.

복구의 우선순위와

복구목표시간 결정

ㆍ복구의 우선순위는 현업업무의 요구사항이다.

ㆍ시간에 대한 민감성과 수작업의 대체 가능성에 기초를 하여 산정한다.

ㆍ시간 민감성이 높고, 수작업 대체 가능성이 낮을수록 IT서비스의 복구순위가 높아진다.

ㆍBCP와의 연계성을 고려한다.

Data Owner 운영책임자

BIA에서 가장 중요한 핵심성공요소(CSF, Critical Success Factor)는 운영책임자, 데이터 소유자, 현업부서이다. 기업의 연속성의 일환으로 DRP가 존재하는 것이라는 것은 이제 독자들도 이해 했으리라 생각한다. 그 기업의 핵심 업무/기능과 그것으로 인해 탄생된 데이터, 정보 또한 핵심 자산일 것이다. 이러한 정보자산에 대해 책임지고, 데이터를 분류하고 무결성을 유지하는 것이 데이터 소유자의 몫이다. 반면에 정보보호 전문가는 이러한 핵심 정보자산, 핵심기능과 업무를 어떻게 지원하느냐에 따라 기업에 가치를 제공하는 전문가가 될 것이다.

맺음말

정보(시스템)보안의 ABC, CBK를 이해하는 8번째 시간이면서 CBK의 주제로는 7번째 주제인 기업연속 및 재난복구계획 Part II에 대해서 알아 보았다. 정보보호 전문가로써 BCP/DRP에 어떻게 기업에 가치를 제공하는가를 심각하게 받아들여 보았다.

정보는 자산이다. 기업이 보유하고 자본과 노력을 많이 들인 핵심 자산인 것이다. 이를 보안하고 보호하는 것이 정보보호의 시작이며 끝일 것이다. 자산이기에 수명주기도 있고, 자산이기에 속성상 취약성도 있는 것이다. 정보보호의 CIA인 기밀성, 무결성, 가용성도 또한 정보의 시간의 흐름에 대한 민감성과 중요도 또한 정보를 자산으로 보면 이해하기 쉬울 것이다.

CISSP으로서 혹은 정보보호 전문가로서의 길은 끝이 없어야 한다. 끝을 알고 있다는 것은 기업이 더 이상 비즈니스를 하지 않는다고 봐야 한다. 기업과 기업을 둘러싼 환경변화와 함께 정보보호전문가들은 동승해야 한다. 그러기에 올해 필자의 신년도 결심이 “꿈 꾸는 자 멈추지 않는다”이다. 필자와 더불어 같이 멈추지 않을 준비가 되어 있는가?

보다 자세한 내용은 www.isc2.org 혹은 www.cisspkorea.or.kr에서 찾아볼 수 있다.

[참고자료 및 출처]

www.isc2.org

www.cisspkorea.or.kr

www.bsigroup.co.kr/ko-kr

www.iso.org

Official (ISC)2 Guide to the CISSP CBK, Auerbach Publications, 2007~2008

Information Security Governance, ITGI, 2008

InfoSecurity Professional Magazine, ISC2, 2008~2010

[필자(조희준) 약력]

- 현 IT컨설팅/감리법인 ㈜키삭 수석 컨설턴트

- 한국 사이버 포렌식 전문가협회 임원

- ISACA 한국정보시스템감사통제협회 임원

- (ISC)2 한국정보시스템정보보안협회 임원

- 기술보호상담센터 전문가 Pool(중소기업기술정보진흥원)

- 한국 정보기술 프로젝트관리 자격검정원 운영위원

- 한국경영기술컨설턴트협회 전문교육강사 Pool

- 한국생산성본부, 라이지움 강사

- 주 관심사 : IT 감사와 정보보호를 확장하여 비즈니스에 연계하는 분야와 IT 거버넌스와 정보보안 거버넌스

[글·조희준(josephc@chol.com) CISSP, CCFP, CSSLP, ISO 27001(P.A), CISM, CGEIT, CISA, COBIT, ITIL, CIA, IT-PMP, PMP, ISO 20000(P.A), PMS(P.A), (ISC)2 CISSP 공인강사, 정보시스템감리원]

[정리 / 김정완 기자(boan3@boannews.com]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)