지속적인 정보보안 모니터링 위해 ‘종합 ISCM 전략’ 필요
[보안뉴스= 임채호 KAIST 초빙교수] “중요 보안통제는 가장 흔한 공격으로부터 방어하기 위한 구체적이고 실행 가능한 방법을 제공하며, 이는 우선순위에 따르는 비용효율적인 접근방식이다.”
중요 보안통제는 가장 넓게 인용되는 공격 패턴에 대응하기 위한 가장 기본적인 조치로, 이는 미국 NSA, 원자력연구소, 사법부 및 교육부 등의 자동 패턴을 아는 전문가에 의해 만들어진 것이다.
.jpg)
▲ 그림 1. SANS 중요 보안통제 20 및 관련 업체(SANS)
▲ 표 1. Critical Security Control Version 6.0
NIST ISCM
“지속 감시를 통해 비정상 위협을 알아내고 대응해 조직의 위험관리를 효율적으로 수행한다.”
NIST의 정보보안 지속감시(Continuous Monitoring) 문서는 연방정부 가운데 IT 환경이 매우 중요한 조직에 있어 전사 보안구조 설계에 도움을 주기 위해 제공되고 있다. 조직의 위험관리에서 지속적인 모니터링은 매우 중요한 부분이다. 조직의 전반적인 보안 아키텍처 및 보안 프로그램은 조직 전반적인 변화에도 불구하고, 위험 허용 수준 내에서 유지하기 위해 감시되어야 한다.
지속적인 정보보안 모니터링(ISCM)은 조직의 위험관리 의사 결정을 지원하는 정보보안, 취약점, 위협에 대한 지속적인 인식을 유지하는 것으로 정의된다. 조직 전반에 걸쳐 정보보안의 지속적인 모니터링을 지원하기 위한 모든 노력이나 과정은 리더십 기술, 프로세스, 절차, 운영 환경, 사람들을 포괄하는 종합 ISCM 전략이 필요하다.
1) 지표 표준(Metrics)이 필요하다, 이는 조직 모든 계층의 보안을 표시할 수 있어야 한다.
2) 모든 보안통제 지속적인 효율성을 가져야 한다.
3) 법적 준수사항(Compliance)을 검증할 수 있어야 한다. 조직의 경영 비즈니스 목적과 외부 법령을 준수해야 한다.
4) 이 사항은 모든 조직의 IT 자산에 적용되어야 한다.
5) 시스템과 모든 운영상의 변경이 알려지고 공유되어야 한다.
6) 위협과 취약점에 대한 인식도 공유되어야 한다.
ISCM 프로그램은 미리 설정된 보안통제 측정 항목에 따른 정보를 수집하도록 설정되어야 한다. 담당자는 조직 관리, 조직 계층에 대한 적절한 위험을 관리하는데 있어 필요에 따라 정기적으로 데이터를 분석하는데, 이 과정은 개발·구현, 조직의 핵심 임무와 비즈니스 프로세스를 지원하는 시스템 운영자 및 전략적 비전을 제공 고위층, 전체 조직을 포함해야 한다.
결과적으로 이러한 프로세스는 위험을 줄이거나 회피하거나 이전시키거나 수용하는 결과를 가져온다. 또한 조직의 보안 아키텍처, 운영 보안 기능 및 모니터링 프로세스를 개선함으로서 수시로 나타나는 동적 위협 및 취약점 상황에 대한 대응이 이루어져야 한다. ISCM 전략과 프로그램은 정기적으로 재검토 및 분석되어 자산과 취약성에 대한 가시적인 환경이 개선될 수 있다. 게다가 조직의 보안구조를 실제 데이터에 기반한 보안통제를 적용시키기 때문에 조직의 유연성을 증가시킨다.
조직 전반적인 ISCM 체계는 자동처리 및 수동처리가 혼재되어 높은 효율성을 기대할 수 있다. 수동 처리는 일관된 구현을 가능하게 하며 반복, 검증이 가능하다. 자동화 지원 도구(예를 들어, 취약성 검사 도구, 네트워크 스캐닝)의 사용을 포함하는 자동화된 프로세스는 더욱 효율적인 모니터링 과정을 구현할 수 있다. 보안통제의 효율성과 조직 보안상태의 동적인 시각화가 가능한 자동화된 도구를 사용해 구현된 보안통제의 실시간 감시가 가능한 것이다. 결국 임의의 광범위한 정보보안 프로그램을 인지할 수 있도록 하는 것이 중요하다. 모든 구현된 보안통제는 정기적으로 쉽게 자동화하거나 그렇지 않은 경우에도 그 효과에 대해 평가되어야 한다.
조직의 보안통제 감시를 실시간으로 진행할 때도 혹은 ISMS 외부 전문가들에 의한 현장심사 평가가 이루어질 때에도 대부분은 기록으로 확인하게 된다. 이러한 지속감시 체계는 지속적인 기록과 평가로 이루어지므로 많은 부분을 해결할 수 있는 중요한 도구가 된다. 지속적인 보안 감시체계에서의 취약성관리, 패치관리, 이벤트관리, 사고 관리, 자산관리, 악성코드 탐지, 네트워크 관리, 구성관리, 소프트웨어 보증 등은 NIST SP-53 보안통제뿐 아니라 ISMS 체계의 보안통제에 있어 중요한 구성요소다. 사실 ISMS 평가 시에도 이 체계를 이용한 누적된 데이터를 보여주거나 출력해주어도 된다.
보안 경영계층은 다음과 같은 ISCM 정책을 결정해야 한다.
1) 표준 지표인 메트릭스(Metrics) 정의
2) 감시 전략 수정 및 유지 전략
3) 보안통제 효과성을 평가하는 정책
4) 상태 감시를 위한 정책과 절차
5) 보안통제의 효율성을 보고하는 정책 및 절차
6) 위협정보를 분석한 후 위험을 평가하는 의미 있는 보고의 정책 및 절차
7) 보안 문제점 분석을 위한 구성관리 정책 및 절차
8) 조직 전반적인 도구의 구현 정책 및 절차
9) 분석 및 보고주기의 정책 및 절차
10) 평가 대상 샘플링 사이즈 정책 및 절차
11) 보안 지표 표준과 데이터 원천의 결정 절차
12) 위험평가 표준지표 양식
13) 보안통제 보고 양식
▲ 그림 2. ISCM 보안통제 데이터 자동 수집 자동화 분야
여러 가지 자동화 도구들이 제시되어 데이터를 수집하고 축약·분석·보고하는 기술적 구조가 필요하다. 그림 2에서 보안통제 준수현황을 지속적으로 자동화 수집한다는 것은 다음 사항이 가능하다.
1) 보안통제의 지속적인 적절성 평가가능
2) 보안담당자에게 현황 보고 가능
3) 보안 위험을 평가, 검증하거나 약화시키는 현황 보고 가능
4) 외부 법적 준수사항 및 내부 법적 문제 보고 가능
5) 운영환경의 변화에 따르는 결과를 분석 가능
표 2는 ICSM 대상 보안통제 데이터 자동수집 대상들을 보여주고 있다. 연관된 보안통제들은 미국의 SP-53 보안통제이지만, SP-53 보안통제에는 ISMS 보안통제와 매핑 테이블이 존재한다. 국내 ISMS 보안통제는 미국 표준과의 호환성을 위해 ISMS 보안통제 코드화가 요구된다. 대규모 계층을 가진 조직은 비용효과적인 경영보안을 위해 자동화를 추진할 필요성이 있다,
▲ 표 2. ISCM 보안통제 자동 데이터 수집 항목, 보안통제
조직기반 지속모니터링 시스템 모델(Framework Extension: An Enterprise Continuous Monitoring Technical Reference Architecture)은 2010년부터 OMB 등의 요구로 개시됐다. 사실 국내에서는 많은 보안관제 기업이 유사한 모델을 운영 중이다. 이는 조직의 위험을 지속적으로 감시하기 위한 목적으로 운영된다.
▲ 그림 3. 조직기반 지속모니터링 시스템 모델
Security Metrics
2010년 CIS는 많은 조직들이 공통으로 참여할 수 있는 보안지표(Metrics)를 발표했다. 이는 조직이 스스로 보안통제 준수율을 점검하고자 하는 지표라고 할 수 있다.
조직은 비용효과적인 보안투자 결정에 어려움을 겪고 있다. 정보보안 전문가가 부족하고 경영보안 투자 결정을 하는 보안지표가 불분명한 상태인 것이다. CIS는 150개 보안 전문기업과 함께 이 문제 해결을 위한 팀을 만들고 표준 지표 초안을 만들었다. 결과 표준 지표를 만들고 조직이 보안 성능을 측정할 수 있는 데이터를 수집 분석할 수 있도록 했다. 이 문서는 28개의 지표를 정의하고 7개의 중요한 비즈니스 기능의 보안을 표현하고 있다.
△ 보안사고관리(Incident Management)
△ 취약성관리(Vulnerability Management)
△ 패치관리(Patch Management)
△ 애플리케이션 보안관리(Application Security)
△ 구성관리(Configuration Management)
△ 변경관리(Change Management)
△ 자금관리(Financial Metrics)
▲ 표 3. 표준 지표 초안
보안통제 구현 및 분석사례
[2014년 미국 OMB 보고 자료 분석 내용 사례]
이 보고의 목적은 연방정부의 정보보안 취약점과 위협의 지속적인 분석과 인식을 통해 사이버 보안 성능 향상시키고자 한 것이다. 권한이 있는 사용자만 IT 자원에 접근할 수 있음을 보장하고, 악성코드의 위험을 감소시키는 기술과 프로세스의 구현을 위해 보고되는 내용이다. 보안관리의 우선순위를 고려한 사이버보안 기능을 구현하고 측정하는 성능 기반 지표를 개발하고자 함인데 다음과 같은 성과를 보여준다.
1) 정보보안 지속적인 모니터링 강화(ISCM) - 지속적으로 관찰, 평가, 분석을 제공하고 조직의 사이버 보안 진단 자세, 운영 준비
2) 접근제어를 통한 자격 증명, 사용자를 보장 기능, 인증에 필요한 접근제어 직무
3) 안티 피싱/악성코드 방어로서 악성코드 위험을 감소하는 기술, 프로세스 및 교육
4) 신뢰하는 인터넷 연결로서 TIC 연동을 통한 연방 네트워크 연결, 종료 보호 확인
[에너지부(DOE) 사이버보안 보안지표 구현사례]
미국 에너지부는 9천개가 넘는 PC, 500개의 서버, 400종의 애플리케이션이 있는 연방정부 조직이다. 2014년 에너지부는 예산청에 의한 FISMA 보안 성능 점수에서 C+ 등급을 받았다. 보안통제 준수율 값이다. 그렇다면 A등급은 주어진 보안통제 준수율, 특히 효과적이고, 효율적이며 특히 APT 대응 등 네트워크 보안을 잘 운영하는 조직이 되어야 한다. 하지만 국내 한수원 사태에서도 나온 이야기지만, “사이버 위협은 보이지 않는다”는 말처럼 ‘블랙홀(Black Hole)’처럼 생각하기 쉽다.
1) 어떤 일이 벌어지고 있는지 알아야 하며
2) IT 비즈니스가 Metrics 프로세스를 가져야 하며
3) 결과 데이터가 보안 성능을 향상시켜야 하며
4) 운영 내용이 투명하게 관리되어야 한다
그들은 CIS 보안지표(Metrics)를 참고했다. 예를 들어 취약성 분석의 경우에는 다음과 같은 공식으로 점수를 출력한다.
VSC = (Scan 하여 취약점 해결한 수) / 조직내 모든 대상 서버 대수) X 100
* VSC : Vulnerability Scan Counter
유사하게 다음 그림 5와 그림 6에서 신종 악성코드 발견율과 제거율을 보이고 있다.
▲ 그림 4. 취약점 점검 수준(점검 비율)
▲ 그림 5. 신종 악성코드 발견율
▲ 그림 6. 신종악성코드 제거율
[국내 시험구현 사례]
이 자료는 사이버보안 지표와 관련한 조직의 사이버보안 성능 측정연구과제 결과를 참고하여 작성한 것이다.
△ A 연구원 사례
이 연구원은 BS7799, ISMS 평가 인증 등을 이미 획득한 조직이었지만 실시간 보안통제 관리 체계, Metrics 기반으로 보안프로그램을 시험 구현했다. 그림 7에서 프로토타입으로 구현할 보안통제의 Metrics를 정의했다. 기간은 2010년 9월부터 12월까지 1분기를 측정한 것이다. 그 결과 관리자가 깜짝 놀랄 결과가 그림 10처럼 나타났다. 사고대응, 취약성 분석 및 PC 보안관리 등의 항목은 A수준이 나타났으나 접근제어 보안통제는 D급 수준으로 나타난 것이다.
▲ 그림 7. A 연구원 보안 Metrics 사례
또한, PC 보안 측면에서 갑자기 나타난 저조한 성적으로 수동 분석해보니 대상 PC의 OS 변동사항을 탐지하지 못한 사례가 있는 것으로 알려졌다. 접근제어 부분은 연구원의 요청으로 개방한 IP, Port를 기간 종료 이후 닫는 것을 잊어버린 사례가 많았던 것이다. 보안통제의 지속적인 실시간 확인과 개선책 분석이 가능했던 것이다.
[글 _ 임채호 KAIST 초빙교수, KAIST 전산학과 정보보호 전공(hlim@kaist.ac.kr)]
[보안뉴스= 임채호 KAIST 초빙교수] “중요 보안통제는 가장 흔한 공격으로부터 방어하기 위한 구체적이고 실행 가능한 방법을 제공하며, 이는 우선순위에 따르는 비용효율적인 접근방식이다.”
중요 보안통제는 가장 넓게 인용되는 공격 패턴에 대응하기 위한 가장 기본적인 조치로, 이는 미국 NSA, 원자력연구소, 사법부 및 교육부 등의 자동 패턴을 아는 전문가에 의해 만들어진 것이다.
▲ 그림 1. SANS 중요 보안통제 20 및 관련 업체(SANS)
▲ 표 1. Critical Security Control Version 6.0
NIST ISCM
“지속 감시를 통해 비정상 위협을 알아내고 대응해 조직의 위험관리를 효율적으로 수행한다.”
NIST의 정보보안 지속감시(Continuous Monitoring) 문서는 연방정부 가운데 IT 환경이 매우 중요한 조직에 있어 전사 보안구조 설계에 도움을 주기 위해 제공되고 있다. 조직의 위험관리에서 지속적인 모니터링은 매우 중요한 부분이다. 조직의 전반적인 보안 아키텍처 및 보안 프로그램은 조직 전반적인 변화에도 불구하고, 위험 허용 수준 내에서 유지하기 위해 감시되어야 한다.
지속적인 정보보안 모니터링(ISCM)은 조직의 위험관리 의사 결정을 지원하는 정보보안, 취약점, 위협에 대한 지속적인 인식을 유지하는 것으로 정의된다. 조직 전반에 걸쳐 정보보안의 지속적인 모니터링을 지원하기 위한 모든 노력이나 과정은 리더십 기술, 프로세스, 절차, 운영 환경, 사람들을 포괄하는 종합 ISCM 전략이 필요하다.
1) 지표 표준(Metrics)이 필요하다, 이는 조직 모든 계층의 보안을 표시할 수 있어야 한다.
2) 모든 보안통제 지속적인 효율성을 가져야 한다.
3) 법적 준수사항(Compliance)을 검증할 수 있어야 한다. 조직의 경영 비즈니스 목적과 외부 법령을 준수해야 한다.
4) 이 사항은 모든 조직의 IT 자산에 적용되어야 한다.
5) 시스템과 모든 운영상의 변경이 알려지고 공유되어야 한다.
6) 위협과 취약점에 대한 인식도 공유되어야 한다.
ISCM 프로그램은 미리 설정된 보안통제 측정 항목에 따른 정보를 수집하도록 설정되어야 한다. 담당자는 조직 관리, 조직 계층에 대한 적절한 위험을 관리하는데 있어 필요에 따라 정기적으로 데이터를 분석하는데, 이 과정은 개발·구현, 조직의 핵심 임무와 비즈니스 프로세스를 지원하는 시스템 운영자 및 전략적 비전을 제공 고위층, 전체 조직을 포함해야 한다.
결과적으로 이러한 프로세스는 위험을 줄이거나 회피하거나 이전시키거나 수용하는 결과를 가져온다. 또한 조직의 보안 아키텍처, 운영 보안 기능 및 모니터링 프로세스를 개선함으로서 수시로 나타나는 동적 위협 및 취약점 상황에 대한 대응이 이루어져야 한다. ISCM 전략과 프로그램은 정기적으로 재검토 및 분석되어 자산과 취약성에 대한 가시적인 환경이 개선될 수 있다. 게다가 조직의 보안구조를 실제 데이터에 기반한 보안통제를 적용시키기 때문에 조직의 유연성을 증가시킨다.
조직 전반적인 ISCM 체계는 자동처리 및 수동처리가 혼재되어 높은 효율성을 기대할 수 있다. 수동 처리는 일관된 구현을 가능하게 하며 반복, 검증이 가능하다. 자동화 지원 도구(예를 들어, 취약성 검사 도구, 네트워크 스캐닝)의 사용을 포함하는 자동화된 프로세스는 더욱 효율적인 모니터링 과정을 구현할 수 있다. 보안통제의 효율성과 조직 보안상태의 동적인 시각화가 가능한 자동화된 도구를 사용해 구현된 보안통제의 실시간 감시가 가능한 것이다. 결국 임의의 광범위한 정보보안 프로그램을 인지할 수 있도록 하는 것이 중요하다. 모든 구현된 보안통제는 정기적으로 쉽게 자동화하거나 그렇지 않은 경우에도 그 효과에 대해 평가되어야 한다.
조직의 보안통제 감시를 실시간으로 진행할 때도 혹은 ISMS 외부 전문가들에 의한 현장심사 평가가 이루어질 때에도 대부분은 기록으로 확인하게 된다. 이러한 지속감시 체계는 지속적인 기록과 평가로 이루어지므로 많은 부분을 해결할 수 있는 중요한 도구가 된다. 지속적인 보안 감시체계에서의 취약성관리, 패치관리, 이벤트관리, 사고 관리, 자산관리, 악성코드 탐지, 네트워크 관리, 구성관리, 소프트웨어 보증 등은 NIST SP-53 보안통제뿐 아니라 ISMS 체계의 보안통제에 있어 중요한 구성요소다. 사실 ISMS 평가 시에도 이 체계를 이용한 누적된 데이터를 보여주거나 출력해주어도 된다.
보안 경영계층은 다음과 같은 ISCM 정책을 결정해야 한다.
1) 표준 지표인 메트릭스(Metrics) 정의
2) 감시 전략 수정 및 유지 전략
3) 보안통제 효과성을 평가하는 정책
4) 상태 감시를 위한 정책과 절차
5) 보안통제의 효율성을 보고하는 정책 및 절차
6) 위협정보를 분석한 후 위험을 평가하는 의미 있는 보고의 정책 및 절차
7) 보안 문제점 분석을 위한 구성관리 정책 및 절차
8) 조직 전반적인 도구의 구현 정책 및 절차
9) 분석 및 보고주기의 정책 및 절차
10) 평가 대상 샘플링 사이즈 정책 및 절차
11) 보안 지표 표준과 데이터 원천의 결정 절차
12) 위험평가 표준지표 양식
13) 보안통제 보고 양식
▲ 그림 2. ISCM 보안통제 데이터 자동 수집 자동화 분야
여러 가지 자동화 도구들이 제시되어 데이터를 수집하고 축약·분석·보고하는 기술적 구조가 필요하다. 그림 2에서 보안통제 준수현황을 지속적으로 자동화 수집한다는 것은 다음 사항이 가능하다.
1) 보안통제의 지속적인 적절성 평가가능
2) 보안담당자에게 현황 보고 가능
3) 보안 위험을 평가, 검증하거나 약화시키는 현황 보고 가능
4) 외부 법적 준수사항 및 내부 법적 문제 보고 가능
5) 운영환경의 변화에 따르는 결과를 분석 가능
표 2는 ICSM 대상 보안통제 데이터 자동수집 대상들을 보여주고 있다. 연관된 보안통제들은 미국의 SP-53 보안통제이지만, SP-53 보안통제에는 ISMS 보안통제와 매핑 테이블이 존재한다. 국내 ISMS 보안통제는 미국 표준과의 호환성을 위해 ISMS 보안통제 코드화가 요구된다. 대규모 계층을 가진 조직은 비용효과적인 경영보안을 위해 자동화를 추진할 필요성이 있다,
▲ 표 2. ISCM 보안통제 자동 데이터 수집 항목, 보안통제
조직기반 지속모니터링 시스템 모델(Framework Extension: An Enterprise Continuous Monitoring Technical Reference Architecture)은 2010년부터 OMB 등의 요구로 개시됐다. 사실 국내에서는 많은 보안관제 기업이 유사한 모델을 운영 중이다. 이는 조직의 위험을 지속적으로 감시하기 위한 목적으로 운영된다.
▲ 그림 3. 조직기반 지속모니터링 시스템 모델
Security Metrics
2010년 CIS는 많은 조직들이 공통으로 참여할 수 있는 보안지표(Metrics)를 발표했다. 이는 조직이 스스로 보안통제 준수율을 점검하고자 하는 지표라고 할 수 있다.
조직은 비용효과적인 보안투자 결정에 어려움을 겪고 있다. 정보보안 전문가가 부족하고 경영보안 투자 결정을 하는 보안지표가 불분명한 상태인 것이다. CIS는 150개 보안 전문기업과 함께 이 문제 해결을 위한 팀을 만들고 표준 지표 초안을 만들었다. 결과 표준 지표를 만들고 조직이 보안 성능을 측정할 수 있는 데이터를 수집 분석할 수 있도록 했다. 이 문서는 28개의 지표를 정의하고 7개의 중요한 비즈니스 기능의 보안을 표현하고 있다.
△ 보안사고관리(Incident Management)
△ 취약성관리(Vulnerability Management)
△ 패치관리(Patch Management)
△ 애플리케이션 보안관리(Application Security)
△ 구성관리(Configuration Management)
△ 변경관리(Change Management)
△ 자금관리(Financial Metrics)
▲ 표 3. 표준 지표 초안
보안통제 구현 및 분석사례
[2014년 미국 OMB 보고 자료 분석 내용 사례]
이 보고의 목적은 연방정부의 정보보안 취약점과 위협의 지속적인 분석과 인식을 통해 사이버 보안 성능 향상시키고자 한 것이다. 권한이 있는 사용자만 IT 자원에 접근할 수 있음을 보장하고, 악성코드의 위험을 감소시키는 기술과 프로세스의 구현을 위해 보고되는 내용이다. 보안관리의 우선순위를 고려한 사이버보안 기능을 구현하고 측정하는 성능 기반 지표를 개발하고자 함인데 다음과 같은 성과를 보여준다.
1) 정보보안 지속적인 모니터링 강화(ISCM) - 지속적으로 관찰, 평가, 분석을 제공하고 조직의 사이버 보안 진단 자세, 운영 준비
2) 접근제어를 통한 자격 증명, 사용자를 보장 기능, 인증에 필요한 접근제어 직무
3) 안티 피싱/악성코드 방어로서 악성코드 위험을 감소하는 기술, 프로세스 및 교육
4) 신뢰하는 인터넷 연결로서 TIC 연동을 통한 연방 네트워크 연결, 종료 보호 확인
[에너지부(DOE) 사이버보안 보안지표 구현사례]
미국 에너지부는 9천개가 넘는 PC, 500개의 서버, 400종의 애플리케이션이 있는 연방정부 조직이다. 2014년 에너지부는 예산청에 의한 FISMA 보안 성능 점수에서 C+ 등급을 받았다. 보안통제 준수율 값이다. 그렇다면 A등급은 주어진 보안통제 준수율, 특히 효과적이고, 효율적이며 특히 APT 대응 등 네트워크 보안을 잘 운영하는 조직이 되어야 한다. 하지만 국내 한수원 사태에서도 나온 이야기지만, “사이버 위협은 보이지 않는다”는 말처럼 ‘블랙홀(Black Hole)’처럼 생각하기 쉽다.
1) 어떤 일이 벌어지고 있는지 알아야 하며
2) IT 비즈니스가 Metrics 프로세스를 가져야 하며
3) 결과 데이터가 보안 성능을 향상시켜야 하며
4) 운영 내용이 투명하게 관리되어야 한다
그들은 CIS 보안지표(Metrics)를 참고했다. 예를 들어 취약성 분석의 경우에는 다음과 같은 공식으로 점수를 출력한다.
VSC = (Scan 하여 취약점 해결한 수) / 조직내 모든 대상 서버 대수) X 100
* VSC : Vulnerability Scan Counter
유사하게 다음 그림 5와 그림 6에서 신종 악성코드 발견율과 제거율을 보이고 있다.
▲ 그림 4. 취약점 점검 수준(점검 비율)
▲ 그림 5. 신종 악성코드 발견율
▲ 그림 6. 신종악성코드 제거율
[국내 시험구현 사례]
이 자료는 사이버보안 지표와 관련한 조직의 사이버보안 성능 측정연구과제 결과를 참고하여 작성한 것이다.
△ A 연구원 사례
이 연구원은 BS7799, ISMS 평가 인증 등을 이미 획득한 조직이었지만 실시간 보안통제 관리 체계, Metrics 기반으로 보안프로그램을 시험 구현했다. 그림 7에서 프로토타입으로 구현할 보안통제의 Metrics를 정의했다. 기간은 2010년 9월부터 12월까지 1분기를 측정한 것이다. 그 결과 관리자가 깜짝 놀랄 결과가 그림 10처럼 나타났다. 사고대응, 취약성 분석 및 PC 보안관리 등의 항목은 A수준이 나타났으나 접근제어 보안통제는 D급 수준으로 나타난 것이다.
▲ 그림 7. A 연구원 보안 Metrics 사례
또한, PC 보안 측면에서 갑자기 나타난 저조한 성적으로 수동 분석해보니 대상 PC의 OS 변동사항을 탐지하지 못한 사례가 있는 것으로 알려졌다. 접근제어 부분은 연구원의 요청으로 개방한 IP, Port를 기간 종료 이후 닫는 것을 잊어버린 사례가 많았던 것이다. 보안통제의 지속적인 실시간 확인과 개선책 분석이 가능했던 것이다.
[글 _ 임채호 KAIST 초빙교수, KAIST 전산학과 정보보호 전공(hlim@kaist.ac.kr)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
