“정보보호 강화 위한 국가중요시설 보안 거버넌스 필요”
[보안뉴스=임채호 KAIST 초빙교수] 그동안 거버넌스(Governance)는 경영과 행정에서 사용된 용어다. 국내 용어의 의미로 보자면, 정부의 통치 거버넌스가 아닌 참여 조직의 다원적 조직, 네트워크간 상호작용 활동으로 보는 경영적인 관점으로 보고 있다. 그렇다면 사이버보안 거버넌스란 무엇인가? 1993년 하버드 대학 피터 드러커 교수(Peter Drucker)는 산업경영에서의 정보기술에 대해 다음과 같이 이야기했다.
“정보기술의 확산과 상품화는 정보기술이 그동안 기업경영에서 누려온 부동산, 인력, 금융 자산과 동등한 수준으로 변화시키고 있다.”
하지만 근래 정보기술에 대한 위협이 대단히 커지고 있어 보안 거버넌스에 대한 중요성이 대두되고 있다.
“중요한 정보자산에 대한 사이버 범죄와 위협의 증가는 기업 이사회와 경영진이 정보자산에 대한 보안과 무결성을 보장하도록 하는 거버넌스에 주력하도록 강제화되고 있다.”
- HARMAN INTERNATIONAL INDUSTRIES
“정보의 가치, 저장, 사용, 처리 및 삭제 등에서의 바람직한 행동을 위한 적절한 결정과 책임추적(Accountability) 이루어져야 한다. 여기에는 조직이 정보를 효과적(Effective), 효율적(Efficient)으로 사용하도록 하는 절차(Process), 책임(Role), 표준(Standard), 평가척도(Metrics) 등이 필요하다.”
- Gartner
사이버보안 거버넌스란 정보보안관리체계, 즉 ISMS(Information Security Management System)의 기반이라고 볼 수 있다. 보안전략과 보안운영 프레임워크를 제공한다. 이는 기업 지속성 관리, 위험관리, 예산관리 및 연구 개발, 윤리 등의 총제적인 조직 거버넌스가 되어야 한다. 여기에는 다음과 같은 사안이 요구된다.
△ 조직에서 정보 분야와 사이버보안의 적합성, 의존성(Criticality)을 이해할 것
△ 조직에서 위험관리와 전략적 차원에서의 투자를 검토할 것
△ 조직에서 적합한 사이버보안 프로그램 개발과 구현을 지지할 것
△ 조직에서 보안프로그램의 적절하고 효과적인 정기적인 보고를 요구할 것
이는 결국 정보자산에 대한 규모와 투자가 매우 적절한 상태(A급 보안유지 상태)가 된다면 그 상태에 대한 보답을 알아야 하며, 조직을 변화시키거나 실무경험 등이 새로운 가치와 비용을 감소시킨다는 사실을 경영자가 알아야 한다는 것이다. 사이버보안 거버넌스는 그 충실한 시행결과로서 다음 사항을 기대한다. 사실 조직의 리더십이 필요하며 보안대책에 대한 구조적인 절차가 필요하다.
△ 조직의 비즈네스 경영 목표와 부합되는 적합한 전략적인 사이버보안 체계
△ 조직의 피해를 측정하여 허용할 수준의 위험관리 체계
△ 조직의 사이버보안 능력과 보안 효과성, 효율성을 유지할 자원관리체계
△ 조직의 목적에 맞는 사이버보안을 수행하는 평가척도에 의한 측정, 모니터링 체계
△ 조직의 목표나 목적에 맞는 최적의 정보보안 투자
그림 1은 사이버보안 거버넌스의 개념이다. 이 그림 전체를 하나의 거버넌스 프로세스로 봐도 되며 중간에 피드백이 필요할 수 있다. 이것은 위험관리의 하나라고 봐도 무방하며 보안구현은 조직의 비즨스 목적에 알맞은 보안통제의 구현이 조직에 목적에 알맞은지 지속적인 모니터링이 중요하다. 사실 이는 Metric 즉 조직에 목적에 적당한지 측정되어 비교, 분석한다. 사실 이 내용은 최근 현상분석 등과 함께 대시보드 형태로 경영진까지 보고되어야 한다. 어떤 보안 통제는 가능한 실시간 보고체계를 가져야 한다.
▲ 그림 1. 사이버보안 거버넌스 개념
사이버보안 거버넌스의 장점은 다음과 같다.
△ 거버넌스에 좋은 보안실무경험(Practice)의 조직 공유 활성화
△ 조직의 보안위험을 줄이고 비즈니스 운영과정의 불확실성을 경감할 가능성
△ 정보의 부정확성, 부재 등으로 인한 법적문제점이 증가됨을 막고 보호함
△ 제한된 보안 자원을 최적으로 배치할 수 있는 프레임워크 제공
△ 효과적인 정보보안 정책과 법적 적합성 제공
△ 정보보안을 수행하면서 효과적이고 효율적인 위험관리, 빠른 사고관리 프로세스 개선으로 기업의 단단한 운영 기반이 됨
△ 정보 부재로 인한 심각한 잘못된 결정을 내리지 않도록 보완
△ 기업 합병, 기업 획득, 비즈니스 복구, 법률 변경 등 중요한 기업 활동에 정보의 정확성과 책임 추적 기능을 제공함
현실적인 사이버보안 거버넌스
사이버보안 거버넌스란 “조직의 경영에 필요한 보안 프로그램을 구현하고 지속적인 감시를 통해 적합성을 판단, 경영진에게 보고하며 피드백되어 운영되어야 하는 생존주기”를 이야기한다. 그림 2에서는 사이버보안 거버넌스 운영을 포함한 모델을 보이고 있다.
보안 프로그램은 500종 이상의 글로벌 보안통제 중에서 조직에 필수적인 보안통제, Live 보안통제를 참조로 구현,운영되어야 한다. 운영결과는 대시보드를 통해 경영진에게 보고되며, 이 때 중요한 참조 자료로서 ‘Metric Target’이 있다. 조직의 비즈니스에 적합한 보안통제의 목표치로서 지속 모니터링을 위한 보안통제가 되어야 한다. Metric Target 이란 조직이 구현 운영할 각 보안통제의 운영 결과 목표치의 템플릿이다.
보안통제는 500여 종 이상의 일반보안통제(Global Security Control), 실제보안통제(Live Security Control), 지속감시보안통제(Continuous Monitoring Security Control)등으로 나누어진다. 거버넌스 체계란 보안통제 감시결과를 토대로 점수화된 위험결과에 따라는 보안 성능을 판단, 유지하는 것이다.
결국 조직의 사이버보안은 조직의 비즈니스에 따라 서로 다른 형태를 보이고 경영 보안의 하나가 된다. 그동안 전산 및 IT 부서가 조직의 경영에 큰 역할을 했다면 이젠 사이버보안이 조직 경영상에 하나의 경영형태로 참여하는 것이다.
▲ 그림 2. 사이버 보안 거버넌스 운영 모델
미국 정부의 IT보안 거버넌스
연방 기관들은 일상 업무를 실행하고 제품과 서비스를 제공하기 위해 정보기술(IT)에 크게 의존하고 있다. IT에 증가 신뢰성, 연방 정부의 IT 인프라의 복잡성이 증가하고 끊임없이 변화하는 정보보안 위협으로 정보보안 업무는 필수적인 기능이 되고 있다. 이것은 연방 정부의 운영에 위험을 감소시키고 정부의 대 국민 사업을 할 수 있어야 하는 연방 정부 기능을 보장해야 한다. 정보보안 관리의 목적은 변화하는 정보보안 위험을 관리하며, 동시에 정부기관이 사전에 비용 효율적인 방식으로 적절한 보안통제를 구현되어야 함을 말한다.
미국 정부는 연방정부 보안 거버넌스를 위해 법률, 규정, 지침을 정의했다. 이는 미국 의회와 예산청(OMB), NIST 등의 조직에서 이루어지고 법적준수사항을 식별하고 있다. 각 연방 정부의 구현 감사는 정부회계감사원(GAO)에서 진행하고 있다.
▲ 그림 3. 미국 정부 IT보안 거버넌스 요구사항 모델
그림 3의 거버넌스 구조를 보면, 각 연방정부 기관장은 행정(Executive)과 입법(Legislative)에 의해 예산과 법률감사로 통제되고 있음을 알 수 있다. 즉 법령과 소요 예산으로 각 정부기관을 법적준수사항과 비용효과적인 실행체계로서 거버넌스 하는 것이다. 현재 입법부는 연방정부보안관리법을 제정하고 법적준수사항(Compliane)을 제시하고 있으며 이 법령을 이행한 결과를 정량화된 위험관리 수치로 만들어 OMB가 집계하고 있다. 위험관리 방법은 NIST가 연방 표준이나 지침으로 만들어 배포하고 있다. 관련된 주요 법령은 다음과 같다. 미국의 사이버보안 거버넌스는 OMB가 매년 연방정부 거버넌스 결과를 GAO와 의회 및 백악관에 보고 함으로서 정기적인 보안업무가 되고 있다.
▲ 표 1. 미국 관련 법령
그림 4는 보안거버넌스 구성요소를 보여준다. 외부 환경, 즉 행정시행령, 법령과 예산 및 감사의 통제로부터 각 연방정부는 △전략기획 △정보 보안 거버넌스 구조 △역할과 책임(R&R) △연방 엔터프라이즈 아키텍처(FEA) △정책과 가이드라인 △구현 등이며 이 구성요소들은 지속적으로 감시되어야 한다. 기본적으로 1년 회계연도마다 갱신되는 생명주기를 가져야 한다.
▲ 그림 4. 미국 정보보안 거버넌스 구성요소
▲ 표 2. 미국 정보보안 거버넌스 구성요소와 내용
정부의 IT 거버넌스 목적은 각 연방 정부가 IT보안을 조직의 비즈니스에 적절하게 운영하여 국가의 사이버보안 철통을 해외 적성국가와 공격과 국내 범죄자로부터 철통방어를 하겠다는 의지이다. 이를 위해 정부는 소요 예산을 지불하면서 연방정부의 사이버보안 능력을 강화시키고 매년 그 결과를 점검하는 것이다. 각 연방정부의 거버넌스 성공이 미국 정부의 거버넌스 성공이다. 여기에서 나타날 수 있는 문제점을 보면 다음과 같다.
△ 정부 법적 준수사항을 맞추지 못하고 해당 조직 권한의 역할과 감시 수행 가능성
△ 정부 요구사항을 넘어 더욱 엄격한 지침 요구 가능성
△ 새로운 다른 요구 사항을 지원하기 위해 향상된 지침 개발 가능성
△새로운 환경에 따라 우선순위가 변경된 예산 집행 가능성
사이버보안 거버넌스란 조직의 보안통제를 구현하고 운영하는데 있어 지속적인 감시를 통해 보안상태를 확인하고 조직에 적합한 경영 차원에서의 보안을 향상시키는 것이다. 이를 통해 위협을 막는 것도 중요하지만 막을 수 있는 상태를 항상 유지하자는데 목적이 있으며 보안 수준 및 역량을 강화하며 최적의 비용효과적인 사이버보안을 만드는 것이 중요하다.
[글 _ 임채호 KAIST 초빙교수, KAIST 전산학과 정보보호 전공(hlim@kaist.ac.kr)]
[보안뉴스=임채호 KAIST 초빙교수] 그동안 거버넌스(Governance)는 경영과 행정에서 사용된 용어다. 국내 용어의 의미로 보자면, 정부의 통치 거버넌스가 아닌 참여 조직의 다원적 조직, 네트워크간 상호작용 활동으로 보는 경영적인 관점으로 보고 있다. 그렇다면 사이버보안 거버넌스란 무엇인가? 1993년 하버드 대학 피터 드러커 교수(Peter Drucker)는 산업경영에서의 정보기술에 대해 다음과 같이 이야기했다.
“정보기술의 확산과 상품화는 정보기술이 그동안 기업경영에서 누려온 부동산, 인력, 금융 자산과 동등한 수준으로 변화시키고 있다.”
하지만 근래 정보기술에 대한 위협이 대단히 커지고 있어 보안 거버넌스에 대한 중요성이 대두되고 있다.
“중요한 정보자산에 대한 사이버 범죄와 위협의 증가는 기업 이사회와 경영진이 정보자산에 대한 보안과 무결성을 보장하도록 하는 거버넌스에 주력하도록 강제화되고 있다.”
- HARMAN INTERNATIONAL INDUSTRIES
“정보의 가치, 저장, 사용, 처리 및 삭제 등에서의 바람직한 행동을 위한 적절한 결정과 책임추적(Accountability) 이루어져야 한다. 여기에는 조직이 정보를 효과적(Effective), 효율적(Efficient)으로 사용하도록 하는 절차(Process), 책임(Role), 표준(Standard), 평가척도(Metrics) 등이 필요하다.”
- Gartner
사이버보안 거버넌스란 정보보안관리체계, 즉 ISMS(Information Security Management System)의 기반이라고 볼 수 있다. 보안전략과 보안운영 프레임워크를 제공한다. 이는 기업 지속성 관리, 위험관리, 예산관리 및 연구 개발, 윤리 등의 총제적인 조직 거버넌스가 되어야 한다. 여기에는 다음과 같은 사안이 요구된다.
△ 조직에서 정보 분야와 사이버보안의 적합성, 의존성(Criticality)을 이해할 것
△ 조직에서 위험관리와 전략적 차원에서의 투자를 검토할 것
△ 조직에서 적합한 사이버보안 프로그램 개발과 구현을 지지할 것
△ 조직에서 보안프로그램의 적절하고 효과적인 정기적인 보고를 요구할 것
이는 결국 정보자산에 대한 규모와 투자가 매우 적절한 상태(A급 보안유지 상태)가 된다면 그 상태에 대한 보답을 알아야 하며, 조직을 변화시키거나 실무경험 등이 새로운 가치와 비용을 감소시킨다는 사실을 경영자가 알아야 한다는 것이다. 사이버보안 거버넌스는 그 충실한 시행결과로서 다음 사항을 기대한다. 사실 조직의 리더십이 필요하며 보안대책에 대한 구조적인 절차가 필요하다.
△ 조직의 비즈네스 경영 목표와 부합되는 적합한 전략적인 사이버보안 체계
△ 조직의 피해를 측정하여 허용할 수준의 위험관리 체계
△ 조직의 사이버보안 능력과 보안 효과성, 효율성을 유지할 자원관리체계
△ 조직의 목적에 맞는 사이버보안을 수행하는 평가척도에 의한 측정, 모니터링 체계
△ 조직의 목표나 목적에 맞는 최적의 정보보안 투자
그림 1은 사이버보안 거버넌스의 개념이다. 이 그림 전체를 하나의 거버넌스 프로세스로 봐도 되며 중간에 피드백이 필요할 수 있다. 이것은 위험관리의 하나라고 봐도 무방하며 보안구현은 조직의 비즨스 목적에 알맞은 보안통제의 구현이 조직에 목적에 알맞은지 지속적인 모니터링이 중요하다. 사실 이는 Metric 즉 조직에 목적에 적당한지 측정되어 비교, 분석한다. 사실 이 내용은 최근 현상분석 등과 함께 대시보드 형태로 경영진까지 보고되어야 한다. 어떤 보안 통제는 가능한 실시간 보고체계를 가져야 한다.
▲ 그림 1. 사이버보안 거버넌스 개념
사이버보안 거버넌스의 장점은 다음과 같다.
△ 거버넌스에 좋은 보안실무경험(Practice)의 조직 공유 활성화
△ 조직의 보안위험을 줄이고 비즈니스 운영과정의 불확실성을 경감할 가능성
△ 정보의 부정확성, 부재 등으로 인한 법적문제점이 증가됨을 막고 보호함
△ 제한된 보안 자원을 최적으로 배치할 수 있는 프레임워크 제공
△ 효과적인 정보보안 정책과 법적 적합성 제공
△ 정보보안을 수행하면서 효과적이고 효율적인 위험관리, 빠른 사고관리 프로세스 개선으로 기업의 단단한 운영 기반이 됨
△ 정보 부재로 인한 심각한 잘못된 결정을 내리지 않도록 보완
△ 기업 합병, 기업 획득, 비즈니스 복구, 법률 변경 등 중요한 기업 활동에 정보의 정확성과 책임 추적 기능을 제공함
현실적인 사이버보안 거버넌스
사이버보안 거버넌스란 “조직의 경영에 필요한 보안 프로그램을 구현하고 지속적인 감시를 통해 적합성을 판단, 경영진에게 보고하며 피드백되어 운영되어야 하는 생존주기”를 이야기한다. 그림 2에서는 사이버보안 거버넌스 운영을 포함한 모델을 보이고 있다.
보안 프로그램은 500종 이상의 글로벌 보안통제 중에서 조직에 필수적인 보안통제, Live 보안통제를 참조로 구현,운영되어야 한다. 운영결과는 대시보드를 통해 경영진에게 보고되며, 이 때 중요한 참조 자료로서 ‘Metric Target’이 있다. 조직의 비즈니스에 적합한 보안통제의 목표치로서 지속 모니터링을 위한 보안통제가 되어야 한다. Metric Target 이란 조직이 구현 운영할 각 보안통제의 운영 결과 목표치의 템플릿이다.
보안통제는 500여 종 이상의 일반보안통제(Global Security Control), 실제보안통제(Live Security Control), 지속감시보안통제(Continuous Monitoring Security Control)등으로 나누어진다. 거버넌스 체계란 보안통제 감시결과를 토대로 점수화된 위험결과에 따라는 보안 성능을 판단, 유지하는 것이다.
결국 조직의 사이버보안은 조직의 비즈니스에 따라 서로 다른 형태를 보이고 경영 보안의 하나가 된다. 그동안 전산 및 IT 부서가 조직의 경영에 큰 역할을 했다면 이젠 사이버보안이 조직 경영상에 하나의 경영형태로 참여하는 것이다.
▲ 그림 2. 사이버 보안 거버넌스 운영 모델
미국 정부의 IT보안 거버넌스
연방 기관들은 일상 업무를 실행하고 제품과 서비스를 제공하기 위해 정보기술(IT)에 크게 의존하고 있다. IT에 증가 신뢰성, 연방 정부의 IT 인프라의 복잡성이 증가하고 끊임없이 변화하는 정보보안 위협으로 정보보안 업무는 필수적인 기능이 되고 있다. 이것은 연방 정부의 운영에 위험을 감소시키고 정부의 대 국민 사업을 할 수 있어야 하는 연방 정부 기능을 보장해야 한다. 정보보안 관리의 목적은 변화하는 정보보안 위험을 관리하며, 동시에 정부기관이 사전에 비용 효율적인 방식으로 적절한 보안통제를 구현되어야 함을 말한다.
미국 정부는 연방정부 보안 거버넌스를 위해 법률, 규정, 지침을 정의했다. 이는 미국 의회와 예산청(OMB), NIST 등의 조직에서 이루어지고 법적준수사항을 식별하고 있다. 각 연방 정부의 구현 감사는 정부회계감사원(GAO)에서 진행하고 있다.
▲ 그림 3. 미국 정부 IT보안 거버넌스 요구사항 모델
그림 3의 거버넌스 구조를 보면, 각 연방정부 기관장은 행정(Executive)과 입법(Legislative)에 의해 예산과 법률감사로 통제되고 있음을 알 수 있다. 즉 법령과 소요 예산으로 각 정부기관을 법적준수사항과 비용효과적인 실행체계로서 거버넌스 하는 것이다. 현재 입법부는 연방정부보안관리법을 제정하고 법적준수사항(Compliane)을 제시하고 있으며 이 법령을 이행한 결과를 정량화된 위험관리 수치로 만들어 OMB가 집계하고 있다. 위험관리 방법은 NIST가 연방 표준이나 지침으로 만들어 배포하고 있다. 관련된 주요 법령은 다음과 같다. 미국의 사이버보안 거버넌스는 OMB가 매년 연방정부 거버넌스 결과를 GAO와 의회 및 백악관에 보고 함으로서 정기적인 보안업무가 되고 있다.
▲ 표 1. 미국 관련 법령
그림 4는 보안거버넌스 구성요소를 보여준다. 외부 환경, 즉 행정시행령, 법령과 예산 및 감사의 통제로부터 각 연방정부는 △전략기획 △정보 보안 거버넌스 구조 △역할과 책임(R&R) △연방 엔터프라이즈 아키텍처(FEA) △정책과 가이드라인 △구현 등이며 이 구성요소들은 지속적으로 감시되어야 한다. 기본적으로 1년 회계연도마다 갱신되는 생명주기를 가져야 한다.
▲ 그림 4. 미국 정보보안 거버넌스 구성요소
▲ 표 2. 미국 정보보안 거버넌스 구성요소와 내용
정부의 IT 거버넌스 목적은 각 연방 정부가 IT보안을 조직의 비즈니스에 적절하게 운영하여 국가의 사이버보안 철통을 해외 적성국가와 공격과 국내 범죄자로부터 철통방어를 하겠다는 의지이다. 이를 위해 정부는 소요 예산을 지불하면서 연방정부의 사이버보안 능력을 강화시키고 매년 그 결과를 점검하는 것이다. 각 연방정부의 거버넌스 성공이 미국 정부의 거버넌스 성공이다. 여기에서 나타날 수 있는 문제점을 보면 다음과 같다.
△ 정부 법적 준수사항을 맞추지 못하고 해당 조직 권한의 역할과 감시 수행 가능성
△ 정부 요구사항을 넘어 더욱 엄격한 지침 요구 가능성
△ 새로운 다른 요구 사항을 지원하기 위해 향상된 지침 개발 가능성
△새로운 환경에 따라 우선순위가 변경된 예산 집행 가능성
사이버보안 거버넌스란 조직의 보안통제를 구현하고 운영하는데 있어 지속적인 감시를 통해 보안상태를 확인하고 조직에 적합한 경영 차원에서의 보안을 향상시키는 것이다. 이를 통해 위협을 막는 것도 중요하지만 막을 수 있는 상태를 항상 유지하자는데 목적이 있으며 보안 수준 및 역량을 강화하며 최적의 비용효과적인 사이버보안을 만드는 것이 중요하다.
[글 _ 임채호 KAIST 초빙교수, KAIST 전산학과 정보보호 전공(hlim@kaist.ac.kr)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
