Home > 전체기사
[보안칼럼] 보안사고의 대부분은 관리체계의 미흡
  |  입력 : 2011-04-21 13:49
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

기업·조직내 정보보호관리체계 도입 검토해야
     
                  

최근 일어난 두 개의 커다란 IT보안 사고는 우리에게 시사하는 바가 크다. IT의 빠른 성장만큼 인프라는 급속하게 확충되고 발전되어 왔으나 그에 따른 관리의 부재가 곳곳에 산재되어 있었던 것이다. 아직도 가야할 길이 멀다는 뜻이다.

    

흔히들 사건·사고나 발생하면 사람에 기인하게 되고 인재(人災)로 결론이 나는 경우가 대부분이다. 보안하면 기술적인 부분을 먼저 생각하는 것도 이러한 맥락을 같이 한다. 물론 여기서 기술이 중요하지 않다는 것이 아니다. 기술은 기본적으로 중요하지만 조금 더 큰 틀에서 보안을 바라 봐야하는 안목을 가져야 하고 체계화 되어 있어야 한다는 것이다.

일반적으로 정보보호관리체계라 함은 기업이나 조직에 종합적인 정보보호정책을 마련하고 그 정책과 가이드라인 안에서 세부적인 통제항목에 따라 보호조치를 취하고 인증심사를 취득하게 되면 3년마다 갱신심사와 1년마다 사후관리 심사를 받게 되는 것이 일반적이다.

대표적인 정보보호관리체계로는 K-ISMS와 ISO27001이 있으며 최근 점차 확대 적용되고 있다. 그만큼 필요성이 대두되었다는 것이다.


보안을 어떻게 강화하면 될까요? ‘관리체계 수립’이 해답

우린 늘 이러한 부분에 대해 고민해 오고 있다. 하지만 대부분 보안의 중요성은 인식하면서도 실천을 하기까지는 많은 예산과 인력을 필요로 한다. 필자는 그 첫 번째 보안강화 방안 중 하나를 바로 ‘정보보호관리체계(ISMS)’를 꼽는다. 최근 개인정보보호법 발효를 앞두고 있는 ‘개인정보보호관리체계(PIMS)’를 적극 권장하고 싶다.그 이유는 간단하다. 잠시 다음과 같은 시나리오를 생각해 보자.


부모는 아이들에게 공부방이 어지럽다고 깨끗하게 정리하라고만 한다. 그리고 정리된 아이들 방을 보면 일부는 정리가 되었지만 무엇인가 부족한 느낌이 든다. 말 그대로 정리만 했기 때문이다. 어떤 것을 버려야 하고 어떤 것을 자신의 책상과 가장 가깝게 두어야 하는 것인지를 인지하는 기준이 모호하기 때문이다.


이렇듯 정보보호관리체계란 조직이나 기업에서 우선 자산의 식별부터 해야 한다. 어떤 것이 우리의 자산이고 어떤 것이 자산이 아닌지가 구분이 되어 있지 않으면 보호할 가치 기준이 모호한 것이다. 이러한 자산 식별이 되면 보호할 범위를 정하고 자산에 대한 우선순위를 부여 하여야 한다. 보호할 가치 기준을 마련하는 것이다. 중요한 자산이 위협받을 경우 보호해야 가치가 높아지는 것은 당연한 것이다.

즉 위험 분석과 평가를 통해 위험도를 산정하는 것이다. 그냥 보안 이슈화가 되니까 보안솔루션을 도입하자는 것이 아닌 우리 자산의 위험도 산정의 객관적인 평가 기준을 통해 중요한 자산에 대한 보호가치 기준을 마련하는 것이다. 그리고 이에 세부 통제항목의 리스트를 가지고 보호조치를 구현 하는 것이다. 다음은 한국인터넷진흥원(KISA)에서 운영하는 K-ISMS 간략하게 살펴보면 다음과 같다.

5단계 정보보호관리과정

 ·정보보호정책 수립

 ·정보보호관리체계 범위설정

 ·위험관리

 ·구현

 ·사후관리

이러한 단계는 계획, 실행, 검토, 조치 등의 4단계의 관리 사이클을 통해 관리되고 있다. 정보관리체계의 수립은 한번으로 끝나는 것이 아니라 조직, 사업의 대 내,외적인 환경변수에 따라 위험 분석을 주기적으로 수행하고 변경해야 하는 것이다. 다음은 K-ISMS기준으로 15개 통제항목을 살펴보면 다음과 같다.


정보보호대책 15개 분야 120개 세부항목

1. 정보보호 정책(5) - 정책의 승인 및 공표, 정책의 체계, 정책의 유지관리

2. 정보보호 조직(4)  - 조직의 체계, 책임과 역할

3. 외부자 보안(4) - 계약 및 서비스 수준협약, 외부자 보안

4. 정보자산 분류(4) - 정보자산의 조사 및 책임할당, 정보자산의 분류 및 취급

5. 정보보호교육 및 훈련(4) - 교육 및 훈련프로그램 수립, 교육훈련의 이행 및 평가

6. 인적보안(5) - 책임할당 및 규정화, 직원의 적격 심사, 비밀유지

7. 물리적 보안(12) - 물리적 보호구역 및 접근통제, 장비 및 사무실 보호

8. 시스템개발 보안(13) - 분석 및 설계, 구현 및 이행, 변경관리

9. 암호통제(3) - 암호정책, 암호사용, 키관리

10. 접근통제(14) - 접근통제 정책, 사용자 접근 관리, 접근통제 영역

11. 운영관리(22) - 운영절차와 책임, 시스템/네트워크 운영 및 문서 관리, 악성소프트웨어 통제, 원격 컴퓨터 및 원격 작업

12. 전자거래 보안(5) - 교환합의서, 전자거래, 전자우편, 공개서버의 보안관리, 이용자 공지사항

13. 보안사고 관리(7) - 대응계획 및 체계, 대응 및 복구, 사후관리

14. 검토, 모니터링 및 감사(11) - 법적 요구사항 준수 검토, 정보보호정책 및 대책 준수 검토, 모니터링, 보안감사

15. 업무연속성 관리(7) - 업무연속성 관리체계 수립, 업무연속성 계획 수립과 구현, 업무연속성 계획 시험 및 유지관리 


오늘자 기사를 보니 이번 사건 기업 중 한곳은 7년 동안 동일한 패스워드를 사용하였다고 하는 것은 내부통제와 관리체계의 미흡이라 생각이 든다. 최소한 위의 15개 통제항목에 대한 보호조치만 잘 했고 외부 심사원으로부터 인증심사를 받았다면 최소한의 피해는 막을 수 있지 않았을까 하는 생각이 든다. 

필자도 ISMS 인증심사를 나가보면 최소한의 이러한 체계적인 관리를 통해 수시로 이행증적 사항을 점검을 하고 초기에는 외부 컨설팅을 받지만 1년후 사후관리 심사시에는 실무자들은 이제 조금 관리체계에 대한 부분을 이해 할 것 같다고 하면서 본인의 의지를 피력하는 것을 볼 수 있다.

다만 관리체계를 수립한다는 것이 그리 쉬운 일은 아니며 무엇보다 실무자보다는 경영자의 의지가 확고하지 않으면 쉽지 않는 결정이다. 모든 책임은 최고경영자에 있는 것이지 해당 실무자에게 책임을 전가 시킬 수 있는 것은 아니며 또한 이러한 관리체계 수립으로 인하여 오히려 업무가중이나 부담으로 다가 온다면 아무도 그 업무를 달가워하지 않을 것이다. 이에 CEO는 적정한 보상과 인센티브를 주어야 하며 내부적으로 정보보호관리체계를 잘 수립을 하였다면 공인된 기관에 의뢰하여 인증심사를 받아 보는 것도 좋을 것이다.

또한 인증심사원은 꼼꼼하게 심사를 통하여 인증심사후에 보안사고가 생기지 않도록 심사기관에서도 책임을 다해야 할 것이다. 이번 사건을 타산지석(他山之石)으로 삼아서 다시 한번 기업과 조직내의 정보보호관리체계를 도입 검토하는 계기가 되지 않을까 생각한다.

[글 _ 전주현 보안인닷컴 운영자(http://www.twitter.com/boanin)]   


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>

  •  
  • 3
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정모니터랩 파워비즈 5월 31일까지파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 디지털 도어록이 등록되지 않은 스마트워치로 무방비로 열리는 취약점이 발견돼 이슈가 되고 있는데요. 현재 귀하의 집에 설치된 디지털 도어록의 경우 비밀번호와 함께 주로 사용하고 있는 개폐 수단은 무엇인가요?
생체인식
카드키
교통카드(티머니)
스마트워치
스마트폰
기타(댓글로)
      

이노뎁
VMS

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

파나소닉코리아
Sevurity Camera / CCTV

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

Videotec
PTZ 카메라

대명코퍼레이션
DVR / IP카메라

티제이원
영상 보안 / 출입 통제

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

쿠도커뮤니케이션
스마트 관제 솔루션

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

이화트론
DVR / IP / CCTV

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

씨게이트
보안감시전용 드라이브

슈프리마
출입통제 / 얼굴인식

한국씨텍
PTZ CCTV

아이티엑스엠투엠
DVR / NVR / IP CAMERA

링크플로우
이동형 CCTV 솔루션

엔토스정보통신
DVR / NVR / CCTV

트루엔
IP 카메라

다민정보산업
기업형 스토리지

비전정보통신
IP카메라 / VMS / 폴

씨오피코리아
CCTV 영상 전송장비

씨엠아이텍
근태관리 소프트웨어 / 홍채 스케너

디비시스
CCTV토탈솔루션

테크어헤드
얼굴인식 소프트웨어

에스카
CCTV / 영상개선

옵티언스
IR 투광기

옵텍스코리아
실내 실외 센서

구네보코리아
보안게이트

엑사비스
사이보 보안 CCTV

화이트박스로보틱스
CCTV / 카메라

신우테크
팬틸드 / 하우징

네이즈

케이제이테크
지문 / 얼굴 출입 통제기

혜인에스앤에스
통합보안시스템

셀링스시스템
IP 카메라 / 비디오 서버

사라다
지능형 객체 인식 시스템

일산정밀
CCTV / 부품 / 윈도우

수퍼락
출입통제 시스템

아이엔아이
울타리 침입 감지 시스템

이노뎁
VMS

파이브지티
얼굴인식 시스템

새눈
CCTV 상태관리 솔루션

파이브지티
얼굴인식 시스템

케이티앤씨
CCTV / 모듈 / 도어락

다원테크
CCTV / POLE / 브라켓

티에스아이솔루션
출입 통제 솔루션

엘림광통신
광전송링크

퍼시픽솔루션
IP 카메라 / DVR

금성보안
CCTV / 출입통제 / NVR

지와이네트웍스
CCTV 영상분석

이후커뮤니케이션
CCTV / DVR

지에스티엔지니어링
게이트 / 스피드게이트

넷플로우
IP인터폰 / 방송시스템

아이유플러스
레이더 / 카메라

DK솔루션
메트릭스 / 망전송시스템

두레옵트로닉스
카메라 렌즈

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

KPN
안티버그 카메라

싸이닉스
스피드 돔 카메라

대산시큐리티
CCTV 폴 / 함체 / 랙

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

창우
폴대

유진시스템코리아
팬틸트 / 하우징

브이유텍
플랫폼 기반 통합 NVR

글로넥스
카드리더 / 데드볼트

카티스
출입통제 / 외곽경비

세환엠에스
시큐리티 게이트

화인박스
콘트롤박스 / 배전향