[CBK특집]⑫CISSP는 아는데 CBK를 모르세요?-법·규정·준수 및 조사

입력 : 2010-09-11 15:35

Legal, Regulations, Compliance and Investigations(법·규정·준수 및 조사)

<게재 순서>

①CBK의 개요

②Domain 1 Information Security and Risk Management(정보보안과 위험관리)

③Domain 2 Access Control(접근통제)

④Domain 3 Cryptography(암호학)

⑤Domain 4 Physical (Environmental) Security(물리적(환경적) 보안)

⑥Domain 5 Security Architecture and Design(보안 아키텍처와 설계)

⑦⑧Domain 6 Business Continuity and Disaster Recovery Planning(기업 연속 및 재난복구계획) Part I, Part II

⑨Domain 7 Telecommunications and Network Security(통신 및 네트워크 보안)

⑩Domain 8 Application Security(응용프로그램 보안)

⑪Domain 9 Operations Security(운영보안)

⑫Domain 10 Legal, Regulations, Compliance and Investigations(법·규정·준수 및 조사)

◇ 머리말

‘일파만파(一波萬波)’, 하나의 물결이 연쇄적으로 많은 물결을 일으킨다는 뜻으로, 한 사건이 그 사건에만 그치지 아니하고 잇따라 많은 사건으로 번짐을 이르는 말이다. 요즈음 같은 인터넷 세상, 그것도 초고속 인터넷 망의 인프라가 갖춰있는 이곳 대한민국은 일파만파가 그대로 실현되는 곳이다.

 

 

아주 자주 누리 꾼들에게 화재가 되곤 하는 이야기(이슈)를 기억하는가? 흔히 우리 주변에서 일어나는 사건이나 특이한 일들을 휴대폰 카메라로 찍어 올린 동영상이나 사진 등은 여과 없이 인터넷을 통해 일파만파로 퍼져 나가고, 결국은 연관된 사람의 블로그, 신상 내역, 과거 초등학교 동창의 증언 등등이 낱낱이 밝혀지게 되고, 특정 한 사람을 둘러싼 수많은 다수의 대응은 결국 인권 침해, 사이버 에티켓 등의 담론으로 이어지게 되는 사회적 현상을 말한다.

어찌 보면 이러한 현상을 뒷받침해주는 대한민국의 IT 인프라를 자랑스럽게 생각할 수도 있다. 왜냐하면 초고속 인터넷의 환경과 성능 좋은 컴퓨터가 없이는 이러한 일파만파는 불가능하게 되어 있기 때문이다. 휴대폰의 동영상 촬영 기능이 없다면, 또한 이 동영상 파일을 PC에 올릴 수 있는 프로그램이 없다면, 또한 실시간 댓 글을 달아도 5분~10분 뒤에나 화면에 나타난다면 절대로 생길 수 없는 일이기 때문이다.

큰 힘에는 큰 책임이 따른다고 했다. 정보라는 것은 큰 힘이다. 인터넷에서의 정보는 지식·정보 사회의 주역임에는 중언부언이다. 정보라는 큰 힘이 있기에 그에 따른 법과 법에 대한 준수 그리고 준수 하지 않았을 때의 대응과 조사가 주제로 떠오르게 된다.

‘지식과 정보는 공유되어야 한다’는 대명제는 정보를 공유하는 데에 있어서 모두가 지켜야 하는 공동의 약속이 있어야 한다. 약속은 서로 지키기 위해 있는 것이다. 여러 사람들이 지킴으로써 결국은 다수에게 이익이 돌아오게 되는 것이기 때문이다. 특히나 기업의 정보의 경우에는 그 소유자가 정확히 식별되어야 하고, 소유자는 공유하고자 하는 객체들을 분명히 지정해야 한다. 그래서 공유하는 인가자들만이 그 정보를 공유해야 한다. 저작권과 기업비밀에 대한 정보를 공동의 약속으로 법규화 되어 있는 이유도 여기에 있다.

이러한 저작권과 기업비밀에 대한 얘기가 나오려면 기본적으로 정보분류는 돼 있어야 한다. 매우 민감한 자료에서 비밀자료, 업무 공유자료, 외부 공개가능 자료 등 정보가 분류돼 있어야 만이 공유하는 사람들과 역할이 정해지게 된다. 이미 이 칼럼에서 소개한 접근통제에서 ‘역할기반’ 접근통제를 많은 기업들이 사용하는 이유도 여기에 있다.

▲정보의 공유와 규칙 ? 분류와 접근권한

정보에 대한 공유도 중요하지만 정보에 대한 권리 또한 중요하다는 이번 호의 주제를 상기하면서 함께 길을 떠나 보자.

 

CBK(Common Body of Knowledge: (정보보안)지식체계)를 이해하는 12번째 시간인 법, 규정, 준수 및 조사에 대한 도메인을 알아보도록 하겠다.

CISSP (Certified Information System Security Professional: 국제공인 정보시스템 보안 전문가) 자격증을 소지하고 정보보안 분야에서 활발히 활동을 하는 독자나 혹은 CISSP를 지금 도전하는 있는 독자, 또한 CISSP를 처음 들어보는 독자이건 간에 정보보호의 이론적 바탕과 현업을 알기 위한 시간이 되길 바란다.

◇ 컴퓨터 범죄를 넘어 사이버 범죄로

컴퓨터를 이용한 범죄를 컴퓨터 범죄라고 한다. 주로 산업전반에 영향을 끼치는 범죄로서 상업성과 개인영리를 목적으로 하는 경우가 많다. 불법적으로 획득한 정보를 원하는 개체에게 제공하는 경우이다.

또 다른 형태는 조직화해서 일반 기업들이나 공공기관의 정상적인 업무나 서비스를 못하게 하는 경우이다. 대부분의 업무나 서비스가 웹 기반으로 되어 있기에 그 말 그대로 컴퓨터를 이용한 조직화된 공격을 시행하는 경우이다.

해킹, ID도용을 통한 금융범죄, 피싱, 분산서비스거부공격(DDoS), 악성 프로그램 유포 등이 대표적인 예라고 하겠다.

소제목에서 컴퓨터를 넘어선 사이버(Cyber)라고 표현했다. 컴퓨터 내부에서 시작해서 컴퓨터 밖의 네트워크까지를 포괄해서 사이버라 한다. 사이버는 사이버 공간이라고 얘기해야 그 의미가 살아난다. ‘공간=스페이스=세계=월드’이다. 우리가 지금 숨쉬고 있는 현실을 현실공간, 현실세계라고 부르듯이 사이버에 의한 공간과 세계가 있다. 이곳도 엄연한 공간과 세계이기에 이곳에서도 범죄가 벌어지는데 이 범죄는 현실세계의 범죄하고는 아주 다르다는 것이다. 얼마나 다른가를 들여다보자.

사이버 공간이기에 국경이라는 개념이 없다. 즉 탈 국경화이다. 그것도 시간차이(time gap), 시차가 없다, 리얼타임, 즉 실시간이다. 또한 복합적이다. 전 탈 국경에다가 실시간이다 보니 각기 독특한 각 나라나 인종의 특성이 복합적으로 반영된다.

게다가 익명성이다. 나를 대신 하는 나의 닉네임, 혹은 아바타(Avatar)가 개인을 대신 하게 된다. 하지만 현재의 나와 사이버 공간의 나는 결코 같지 않다. 내가 원하는 모습을 가질 수 있다. 익명성이지만 집단의 성격을 갖고 있다. 그래서 집단행동 양상을 보인다.

 

▲사이버공간의 특성

 

지금까지 잠깐 살펴본 특징은 독자들이 익히 알고 있는 사실이지만 이러한 특성들이 범죄라는 단어와 연결시켜보면 훨씬 더 그 영향과 빈도가 크다는 것을 사고해 낼 수 있다.

컴퓨터 범죄를 기술적인 범죄라고 분류한다면 사이버 범죄에는 기술적인 범죄로는 설명할 수 없거나 분류 되지 않는 것이 더 많다. 악플을 단 명예훼손, 인터넷 게임의 아이템 절도 및 사기 행위, 사이버 공간에서의 스토킹, 자살사이트 운영 등은 컴퓨터 범죄를 뛰어 넘어 그 이상의 사이버 세계에서 형성되는 그 무엇이라고 할 수 있다.

◇ 사고 대응관리와 사이버 포렌식

컴퓨터 범죄와 사이버 범죄의 발생시에는 적절한 사고 대응관리가 있어야 한다. 사고를 감지하고 조사를 하고 해결하기 위해서는 일련의 사고 대응관리체계가 있어야 한다. 사고 대응관리에 대한 정책을 수립하는 것이 먼저이다. 목적과 범위를 분명히 해 정책을 수립한다. 그리고 정책이 수립되고 난 뒤에 사고 대응관리체계를 위한 팀이나 부서를 구성한다. 전문가를 중심으로 한 팀이나 부서를 중심으로 사고 대응관리계획이 세워지고 절차와 방법론이 구체화 되어야 한다. 지금까지가 계획 수립의 단계로 보아야 한다.

그 다음은 사고 대응 및 구현 단계로서 사이버포렌식 기법이 사용된다. 사이버 포렌식 기술과 범죄에 대한 법률이 조화를 이루는 사이버 포렌식으로 시간의 제약 속에 적합한 대응과 조사가 이루어진다. 범죄와 연관되어 있으므로 법정 제출을 전제로 하는 증거와 증명에 대한 일련의 내용을 확보하고 있어야 한다. 적법한 증거수집과 증거의 제출, 보고서의 작성이 요구된다.

 

▲사고 대응관리체계

 

◇ SOX, GLBA, Bazzel II / 정보보안 감사

정보는 기업의 중요한 자산이면서 동시에 준거해야 하는 대상이다. 국제적으로 이에 대한 준거사항이나 법률이 많은데 그 중에서도 정보보안전문가가 알아야 하는 몇 가지를 보도록 하자.

○ SOX(사베인즈 옥슬리 법)

- 내부통제의 강화

- 기업의 사회적인 책임을 통한 기업 거버넌스 개선

- 기업 재무제표의 적합성과 신뢰성을 위한 CEO, CFO의 서명

- 내부통제의 적합성과 효과성 공시

○ GLBA(그램, 리치 브릴리 법)

- 금융산업의 금융소비자 보호법

- 소비자 개인의 프라이버시 보장

- 금융정보의 안전한 전자적 전송을 포함

○ Bazzel II (바젤 2)

- 국제금융사회의 위험관리 의식 제고

- 전사적 위험관리를 적용한 금융산업의 구조 개선

정보보안 감사는 일반 감사와 별반 다르지 않다. 감사(audit)라는 의미가 기업에서 의도한 대로 적합하고 효과적으로 운영·구성 되어 있는지를 평가하는 것이다. 독립적이고 개관적인 입장에서 평가하고 개선점을 권고하는 것이다. 정보보안 이라는 주제 영역과 범위가 감사의 대상이다. 정보보안감사는 기술적인 정보보안에 대한 내용뿐 아니라 관리적 보안을 포함하고 있어야 한다.

◇ 맺음말

정보(시스템)보안의 ABC, CBK를 이해하는 12번째 시간이면서 CBK의 주제로는 10번째 주제인 법, 규정, 준수 및 조사에 대한 도메인을 알아보았다.

직무상의 신의 성실이라는 Due Professional Care를 강조하는 책임 있는 의식구조가 필요한 시대이다. 정보보안관리자는 물론 일반 직원에게도 해당된다. 직무윤리강령이라는 Code of Practice 또한 국내의 윤리강령과 더불어 전문가들에게 특히 강조되고 있다.

정보보호 전문가는 기업에 있어서 중요한 위치를 차지하기에 더욱더 직무윤리강령과 직무상의 신의 성실이 필요하다. 사이버범죄나 준수에 관해서는 적발과 대응이전에 직무윤리강령과 직무상의 신의 성실에 대한 리더십과 인식교육이 먼저 이루어지는 것이 이번 호의 메시지이다.

그 동안의 긴 칼럼을 통해서 깊이 보다는 섭렵을 하고 나아가서 통섭을 할 수 있는 기회가 되었기를 바라며 연재를 마친다.

보다 자세한 내용은 www.isc2.org 혹은 www.cisspkorea.or.kr에서 찾아볼 수 있다.

[참고자료 및 출처]

www.isc2.org

www.cisspkorea.or.kr

Official (ISC)2 Guide to the CISSP CBK, Auerbach Publications, 2007~2008

Information Security Governance, ITGI, 2008

InfoSecurity Professional Magazine, ISC2, 2008~2010

[필자(조희준) 약력]

-현 IT컨설팅/감리법인 ㈜씨에이에스 컨설팅 이사

-한국 사이버 포렌식 전문가협회 임원

-ISACA 한국정보시스템감사통제협회 임원

-(ISC)2 한국정보시스템정보보안협회 임원

-기술보호상담센터 전문가 Pool (중소기업기술정보진흥원)

-한국 정보기술 프로젝트관리 자격검정원 운영위원

-한국경영기술컨설턴트협회 전문교육강사 Pool

-한국 프로젝트 경영협회 심포지엄 추진위원

-한국경영컨설팅협회 전문가 Pool

-지식경제부 지정 한국정보산업연합회 IT멘토

-행정안전부/한국정보화진흥원 사이버범죄예방교화 전문강사

- 강원대학교 외래교수 및 강원대학교 강원의료융합인재양성센터 겸임교수

- 한국생산성본부, 라이지움 강사

-주 관심사 : IT 감사와 정보보호를 확장하여 비즈니스에 연계하는 분야와 IT 거버넌스, 정보보호 거버넌스, 내부감사, 내부통제

-저서 :  ‘IT 거버넌스 프레임워크 코빗 - COBIT 4.1을 중심으로’, ‘ISACA 지식용어집과 FAQ(공저)’

[글·조희준(josephc@chol.com) CISSP, CCFP, CSSLP, ISO 27001(P.A), CISM, CGEIT, CISA, COBIT, ITIL, CIA, IT-PMP, PMP, ISO 20000(P.A), PMS(P.A), (ISC)2 CISSP 공인강사, 행정안전부/한국정보화진흥원 사이버범죄예방교화 전문강사, 정보시스템감리원]

[정리 / 김정완 기자(boan3@boannews.com)]

 

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  깃허브와 깃랩 사용하면 사실상 대처법이 전무...

• 2

  ‘K-시큐리티’ 미국 상륙작전! 한국 보안기...

• 3

  북한 IT 인력, 미국 애니메이션 프로젝트 ...

• 4

  아파치 프로젝트에서 디펜던시 헷갈릴 수 있게...

• 5

  [보안 상장기업 주간 주가동향] 증시 악재 ...

• 1

  사이버 보안 전문가 자격을 나라에서 직접 주...

• 2

  VPN 겨냥한 비밀번호 분사 공격 유행하고 ...

• 3

  EvilQueen 해커조직, 온라인 쇼핑몰 ...

• 4

  인공지능의 자원 소모 문제, 이제는 직시해야...

• 5

  중소기업 주목! 네트워크 장비 보안 점검 방...

• 1

  집 앞에 우편물 도착안내서가? 신종 보이스피...

• 2

  국가정보원, 국정원장 사칭 이메일 유포 주의...

• 3

  에스원, 출력물보안 서비스로 인쇄 출력물 통...