[CBK특집]정보보안의 ABC, CBK를 이해하자-⑨CISSP는 아는데 CBK를 모르세요?

Telecommunications and Network Security(통신 및 네트워크 보안)

<게재순서>

①CBK의 개요

②Domain 1 ? Information Security and Risk Management(정보보안과 위험관리)

③Domain 2 ? Access Control(접근통제)

④Domain 3 ? Cryptography(암호학)

⑤Domain 4 ? Physical (Environmental) Security(물리적(환경적) 보안)

⑥Domain 5 ? Security Architecture and Design(보안 아키텍처와 설계)

⑦⑧Domain 6 ? Business Continuity and Disaster Recovery Planning(기업 연속 및 재난복구계획) Part I, Part II

⑨Domain 7 ? Telecommunications and Network Security(통신 및 네트워크 보안)

⑩Domain 8 ? Application Security(응용프로그램 보안)

⑪Domain 9 ? Operations Security(운영보안)

⑫Domain 10 ? Legal, Regulations, Compliance and Investigations(법, 규정, 준수 및 조사)

머리말

통신 및 네트워크 보안에 대한 시간이다. CISSP의 지식체계인 CBK에 대해서 알아보는 본 강좌에서 가장 현실적인 도메인이라고 할 수 있다. 무슨 얘기인지 독자들이 궁금할 것이다. 우선 독자들이 몸담고 있는 기업의 현재의 모습을 들여다 보자. 현실세계에서는 살아남기 위해서 오늘도 기업은 치열하다. 기업의 전략과 목적달성에 힘겨워한다. 외부 및 공공기관의 준거사항 준수노력에 급급하다. 기업을 위협하는 취약성에 노출되어 위험관리에 힘쓰고 있다.

이러한 모습 속에서 정보는 보호해야 할 중요한 자산이다. Information Asset(정보 자산)이라고 한다. 독자들은 재무제표나 손익계산서에 전문가는 아닐지라도 기업에 있어서 자산이라는 계정항목이 얼마나 중요한지는 알 것이다. 정보도 그러한 중요한 자산중의 하나인 것이다.

정보보안의 여러 가지 도메인 중에서 통신 및 네트워크 보안 도메인이 가장 현실적이라고 하는 이유는 정보보안이 중요하게 된 실질적인 단초이기 때문이다. 통신으로 데이터를 주고받고 네트워크로 묶어진 클라이언트와 서버의 단일성이 기업의 비즈니스를 강력하게 지원함과 동시에 취약성과 위협을 내포하기 때문이다. 동전의 양면이자 양날의 검이고 야누스의 얼굴인 것이다.

▲이중적인 효익 ? 통신과 네트워크

CBK(Common Body of Knowledge: (정보보안)지식체계)를 이해하는 9번째 시간인 통신 및 네트워크 보안에 대한 도메인에 대해 알아보도록 하겠다.

CISSP(Certified Information System Security Professional: 국제공인 정보시스템 보안 전문가) 자격증을 소지하고 정보보안 분야에서 활발히 활동을 하는 독자나 혹은 CISSP를 지금 도전하는 있는 독자, 또한 CISSP를 처음 들어보는 독자이건 간에 정보보호의 이론적 바탕과 현업을 알기 위한 시간이 되길 바란다.

적자생존, 약육강식의 법칙

適者生存(적자생존)이란 말이 있다. 독자들도 잘 알듯이 적합한 자가 살아 남는다는 뜻이다. 이 말은 진화론에서 나온 말로서 진화론의 저자인 다윈에 따르면 기린의 목이 긴 이유는 목이 긴 기린과 짧은 기린 중에서 목이 긴 기린이 살아남았다는 이론이다. 높은 나뭇가지 위의 잎을 따 먹기 쉬웠던, 목 긴 기린들이 그렇지 못한 목 짧은 기린들보다 생존 확률이 높았다는 것이다.

그리고 비슷한 의미로 생태계의 먹이사슬을 묘사한 표현으로 弱肉强食(약육강식)이란 말도 자주 사용한다. 적자생존이든 약육강식이든 간에 생물학적 용어를 정보보안 시간에 꺼내는 이유는 간단하다. 환경의 변화에 대한 적응을 말하고 싶은 것이다.

정보보안 또한 우리가 살고 있는 현실세계를 반영하고 있다.

과거 100여명이 넘는 인력이 작업하던 것을 한 사람이 가능할 정도로 정보기술과 환경이 변화하였다. 효율이 올라간 만큼 좀 더 여유 있는 인간 세상이 기대되었어야 한다. 하지만 효율이 제고 될수록 목표도 그 이상으로 뛰어 버렸다. 몇 십 년 전이나 지금이나 사람들이 바쁘기는 마찬가지라는 얘기다. 인류의 끊임없는 요구사항은 컴퓨터 환경을 통신과 네트워크화가 되게끔 이끌게 되었다. 적자생존의 법칙이라고 할 수 있다.

문서를 주고 받는 것은 마우스 클릭 한번으로 가능해졌다. 원거리에서 직접 전산기계실에 없어도 서버를 관리할 수 있게 되었다. 통신 및 네트워크의 도움으로 가능해진 것이다.

▲현실세계의 반영

인증과 부인방지(Authentication and Non-repudiation)가 꼭 필요한 이유

메인 프레임 환경에서의 컴퓨터 환경은 정보보안에 대한 범위가 제한적이었으므로 정보보안의 통제가 용이했었다. 하지만 필요에 의한 경제의 원칙은 메인 프레임 환경에서 클라이언트/서버 환경으로 바뀌었다. 이제는 온라인 환경에서의 인터넷 환경이 지배적이다. TCP/IP(OSI 7 Layer 포함)를 이용한 통신과 네트워크의 발달로 정보보안은 범위가 무제한적으로 확대되었다. 근거리, 원거리, 기업 내부, 기업 외부에서의 인증이 통신 및 네트워크의 환경에서 필요할 수 밖에 없는 이유가 된 것이다.

식별과 인증과 권한은 서로 그룹 지어 독자들은 기억하는 것이 좋을 것이다. 사용자가 어떤 요청을 하였다는 것을 확인하는 것이 식별이다. 인증이라는 것은 사용자 본인 이라는 것을 입증하는 것을 의미한다. 사용자가 요청한 것을 수행하는데 필요한 특권이 권한이 된다. 2번째 도메인이었던 ‘접근통제’에서 주로 다룬 내용이라고 하겠다.

▲인증에 따른 절차

기업의 업무 형태 역시 전자상거래라는 기반으로 구축되었다. 물론 그 편리함과 가져다주는 효익은 크다고 하겠다. 하지만 그 이면, 동전의 다른 면도 간과해서는 안 된다. 한 가지 예로 다량의 주문을 인터넷 상에서 했을 때 그 주문이 허위주문이라면 주문을 접수한 기업은 어찌될까? 주문 접수 후 유통을 거쳐 배송까지 했는데 상품을 수령할 고객이 없다면? 게다가 그 상품도 신선식품(우유, 야채 등)이라면? 이러한 이유로 부인방지 또한 통신 및 네트워크의 환경에서 필수불가결한 요소일 수 밖에 없게 되었다.

부인방지(부인봉쇄)는 주문자가 작성하여 수신자에게 전송하는 것을 보증하는 것이다. 동시에 성공적으로 수신되었다는 것을 의미하기도 한다. 메시지를 보냈다는 것은 송신자가 부인할 수 없다. 또한 메시지를 확실히 받지 않았다고 수신자도 주장할 수도 없는 것이다.

▲수신자와 송신자의 부인방지

OSI 7 Layer로 본 위협과 정보보안

OSI 7 Layer로 각 계층별 정보보안에 대한 취약성과 위협은 무엇이 있는지 그에 대한 통제 구현책은 어떤 것인지 알아보면 아래 표와 같다.

▲OSI 계층별 보안 통제 구현책

맺음말

정보(시스템)보안의 ABC, CBK를 이해하는 9번째 시간이면서 CBK의 주제로는 7번째 주제인 통신 및 네트워크 보안에 대해서 알아보았다.

정보는 자산이다. 정보자산은 시대에 따라, 고객의 요청에 따라, 환경과 기술에 따라 계속 변화하고 있다. 이런 변화에 적자생존의 원칙이 따른다. 지구촌을 하나로 더욱더 묶기 위한 적자생존의 철칙은 통신 및 네트워크 보안을 더욱 중요하게 이끌어갈 것이다.

CISSP으로서 혹은 정보보호 전문가로서의 길은 끝이 없어야 한다. 계속 진화해야 한다. 목이 긴 기린처럼, 주변의 사물에 몸의 색깔을 바꾸는 카멜레온처럼. 아직 반년이란 시간이 남았다. 필자와 더불어 같이 적자생존의 법칙을 맞을 준비가 되어 있는가?

보다 자세한 내용은 www.isc2.org 혹은 www.cisspkorea.or.kr에서 찾아볼 수 있다.

[참고자료 및 출처]

www.isc2.org

www.cisspkorea.or.kr

Official (ISC)2 Guide to the CISSP CBK, Auerbach Publications, 2007~2008

Information Security Governance, ITGI, 2008

InfoSecurity Professional Magazine, ISC2, 2008~2010

[필자(조희준) 약력]

- 현 IT컨설팅/감리법인 (주)씨에이에스

- 한국 사이버 포렌식 전문가협회 임원

- ISACA 한국정보시스템감사통제협회 임원

- (ISC)2 한국정보시스템정보보안협회 임원

- 기술보호상담센터 전문가 Pool(중소기업기술정보진흥원)

- 한국 정보기술 프로젝트관리 자격검정원 운영위원

- 한국경영기술컨설턴트협회 전문교육강사 Pool

- 한국경영컨설팅협회 전문가 Pool

- 지식경제부 지정 한국정보산업연합회 IT멘토

- 한국생산성본부, 라이지움 강사

- 주 관심사 : IT 감사와 정보보호를 확장하여 비즈니스에 연계하는 분야와 IT 거버넌스와 정보보안 거버넌스

[글·조희준(josephc@chol.com) CISSP, CSSLP, ISO 27001(P.A), CISM, CCFP, CGEIT, CISA, COBIT, IT-EAP, CIA, ITIL, IT-PMP, PMP, ISO 20000(P.A), PMS(P.A), (ISC)2 CISSP 공인강사, 정보시스템감리원]

[정리 / 김정완 기자(boan3@boannews.com]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)