조직의 보안수준은 임직원의 보안통제 준수율로 알 수 있어
[보안뉴스= 임채호 KAIST 초빙교수] 왜 보안사고가 빈번히 발생하는가? 우수한 인적 구성요소, 보안 설비 및 솔루션을 도입한 조직들일수록 보안사고가 더 많이 발생한다. 즉 보안에 많은 자원(Resource)을 투자하고도 문제가 발생하고 있다. 특히 미래부의 ISMS 체계, 국가정보원의 보안감사를 이행해도 사고는 발생한다는 점은 문제로 지적된다.
사이버보안과 이전에 생각하던 보호 위주의 보안과는 괴리가 있는 것이 분명하다. 금융, 인터넷 기업은 물론, 한수원, 서울메트로 등을 대상으로 한 사이버공격은 돈 문제가 아닌 테러와 주요기반시설의 마비와 혼란을 초래하기 위한 것이다. 사이버보안 사고는 인터넷 접속이 이루어진 시스템과 연계만 돼도 발생할 수 있다. 이렇듯 인터넷을 포함한 IT 기술이 모든 산업과 국가에 보급된 상황에서 사이버보안은 경영으로 해결되어야 한다.
경영보안의 문제라는 것은 대기업 등과 연계된 협력업체나 계열사 등 한곳만 공격을 당해도 본사를 비롯한 전사적인 문제로 확대되기 때문이다. 이는 정부기관 및 지방자치단체, 그리고 국방 인프라도 마찬가지다. 국민들은 정부인프라, 금융인프라 서비스를 이용한다. 격자로 연결된 ‘네트워크’로 이루어진 네트워크 복잡계(Network Complex)이다. 네트워크 복잡계는 오늘날 ‘빅데이터’라고 부르는 실용적인 학문이다. 실제 네트워크를 이용한 모든 시스템에서의 기록과 사용자의 활용 여부로 판단하는 것은 매우 실용적이다.
보안통제란 무엇인가
보안통제는 보안 사고를 미연에 방지할 수 있는 환경을 만들어 주고 유지해야 하는 기초적인 업무이며 조직의 위험을 관리할 수 있는 바탕이다. 그렇다면 완벽한 보안통제가 이행되고 있다면 모든 위협으로부터 자유로울 수 있어야 한다. 하지만 현재의 보안통제는 지금까지 알려진 위협만을 막을 수 있다. 제로데이 공격(Zero-Day)을 막을 수 있는 보안통제는 없고 신속한 비정상 행위 탐지, 분석 및 대응이 필요하다.
.jpg)
▲ 그림 1 보안통제와 위험관리
하지만 보안통제의 중앙집중적 관리 운영체계와 업무절차, 프로세스를 가진 조직과 그렇지 않는 조직은 당연히 큰 차이가 있다. 또한 네트워크에 참여하는 모든 조직과 국민들이 네트워크의 노드로 본다면, 그 링크로 인한 연결은 비정상을 찾아야 하는 심각한 문제에 봉착한다. 또한 외주 협력사 직원이나 내부인에 의한 기밀정보 유출 등도 알려지지 않았던 비정상 행위이다.
그림 1은 위험관리에서의 보안통제를 보여주고 있다. 위협(Threat)으로 인한 사이버 위험은 결코 없애거나 줄일 수 없어 항상 관리되어야 한다. 그리고 모든 위험을 없어지도록 만들 수 없다. 보안통제는 그림 1에서 보이는 위협(Threats)을 제외한 모든 구성요소들을 포함한다. 단지 통제(Control)만 해당되지 않고 자산관리, 취약성 관리 등을 모두 포함한다.
이는 자산을 중요도에 따라 분류하고 취약성을 지속적으로 제거해야 위협을 제거한다는 뜻이다. 그럼에도 불구하고 위협은 존재한다, 새로이 투자된 IT 자산이나 기존 자산에서 발견되는 새로운 취약성을 발견하고 위협이 발생하는 것이다. 이것은 방범 CCTV를 우회하기 위해 변장하거나 사각지대를 이용하는 범죄자와 같으며 범죄자는 언제 어디서나 존재한다. 범죄자는 외부인이든 내부인이든 존재한다.
또한 정상인도 범죄자로 변할 수 있고 범죄자가 정상인을 대신할 수 있다. 조직의 사이버보안 역량 혹은 수준은 그 조직의 임직원 및 담당자들의 보안통제 준수율로 결정된다. 보안통제 준수율은 그 조직의 위험관리 수준이다. 결국 조직 구성원들이 주어진 보안통제를 얼마나 준수하고 있는지가 중요한 요인인 것이다.
.jpg)
▲ 그림 2 미국 연방정부 보안 수준(2003-2006)
그림 2는 미국 연방 정부의 보안 수준을 2003년부터 2006년까지 보여주고 있다. 이 보안통제 준수율은 예산청이 의회 및 백악관 연례보고 사항이다. FISMA 법령에 의해 국민의 세금으로 각 연방정부에 보안성능 향상을 위해 보안예산을 투입하는 것이므로 공개되고 있는 것이다. 계량화된 보안통제는 조직의 보안 역량으로 나타나는데, 이는 주어진 보안통제의 수량 중 효과적(Effective)인가, 효율적(Efficient)인가, 법적준수사항(Compliance) 이행 여부 등을 지키는 보안통제로 나누고 백분율을 하면 표준점수(Normalized degrade)가 나타난다. 이를 수학적 공식으로 보면 다음과 같다.
Security Capability = ∑(C1(EF, EC, CP), C2(EF, EC, CP), CN(EF, EC, CP)
C : 보안통제
EF : Effectiveness, 보안통제의 효과성
EC : Efficiency, 보안통제의 효율성
CP : Compliance, 보안통제의 법적 준수사항
조직은 조직마다 서로 다른 비즈니스에 따라 요구되는 보안통제가 상이하다. 하지만 각각의 보안통제의 이행정도를 합친 이행 역량을 성적 및 수준으로 나타내고 있는 것이다.
그림 3은 FISMA(미국 연방정보보안관리법)에 의한 연방정부 보안수준과 소요비용의 변화(OMB)를 분석한 논문을 참조한 내용이다. 2014년 행정부, 법무부, 교육부 등은 A등급이며 에너지부는 C등급이다. 수준이 낮은 조직은 그 조직이 정의한 보안통제를 제대로 준수하고 있지 못한 상황이며 IT 환경의 복잡도에 따라 더욱 수준를 향상시켜야 할 숙제가 된다. 예산청은 연방정부 공무원들이 보안을 향상시키도록 예산으로 통제하고 있는 것이다.
.jpg)
▲ 그림 3 FISMA에 의한 연방정부 보안수준과 소요비용의 변화(OMB)
보안통제의 분류
보안통제는 국내 ISMS 표준을 이야기하는데 ISO/IEC 27001이다, 이는 모든 유형에 적용하고, 설정 구현·운영·모니터링·검토·유지 관리 및 비즈니스 위험에 대한 문서화된 정보보호관리체계(ISMS)을 개선하기 위한 요구사항을 지정하는 것이다. 또한 KISA 등 인증기관에서의 CC(Common Criteria) 인증 평가를 위한 자료를 참고할 수 있는데, ISO/IEC 15408이다. 한국인터넷진흥원(KISA) 자료실을 참고하면 ISMS 구축을 위한 자료가 있지만, NIST SP 53, 부록 F에서 기술적 보안 제어의 많은 하드웨어, 소프트웨어 및 정보 시스템 펌웨어 구성요소로 구현할 수 있다.
△NIST 보안통제
NIST는 연방정보 시스템에 대한 위험관리 프레임워크(SP 800-53A)를 제시했다. 이는 정보보안 라이프사이클 어프로치로서 위험관리기반의 비용효과적인 정보보안 모형으로 알려져 있다. 이 프레임워크에서는 ①정보시스템 분류, ②정보보안 통제(대책) 선택, ③정보보안 통제 실행, ④정보보안 통제 평가, ⑤정보시스템 보안 인정, ⑥정보보안 통제의 모니터링의 단계를 순환 반복하여 개선할 것을 제시한다. 또한 NIST 고시에서는 정보보안 통제 항목으로 18개 분야 256개 항목을 자세하게 정의해 제시하고 있다.
여기에는 접근통제, 보안의식 교육, 감사가능성, 보안평가, 구성관리, 위기대응, 유지보수, 매체보호, 보안계획, 위험평가 등 생각할 수 있는 모든 통제사항이 나열되어 있다고 할 수 있다.
△ISMS 및 국제표준 모형(ISO27001)
국제표준기구에서 2005년 정보보호 관리에 관한 표준안 및 인증체계를 제시했는데 조직의 정보보안 위험(위협·취약성·영향도)을 체계적으로 평가하고, 종합적인 보안통제 대책을 수립·이행하며, 총체적인 관리 프로세스를 채택할 것을 요구하는 표준이다. 우리나라에도 일정 규모 이상의 정보통신서비스 사업자에게 의무화되어 있다. ISO/IEC 27001 정보보호관리체계(ISMS)는 11개 그룹, 133개 통제항목으로 되어 있었으나, 2013년 개정으로 14개 그룹, 114개 통제항목으로 구성되었는데, 개정안에서는 ISMS 수행에 대한 측정 및 평가를 강조하고, 협력사 아웃소싱에 관한 항목을 신설했다.
.jpg)
▲ 그림 4 주요 정보통신기반시설 취약점 분석·평가 기준
주요 정보통신기반시설에 대해서는 정보통신기반보호법에 의거해 미래창조과학부가 고시한 ‘주요 정보통신기반시설 취약점 분석·평가 기준’이 있다. 여기서는 관리적·물리적·기술적 분야를 모두 망라하되, 정보자산의 중요도가 높아 필수적으로 채택해야 하는 기본항목(232항목)과 중요도가 낮아 선택적으로 채택할 수 있는 선택항목(140항목)을 제시하고 있다. 또한 인적 보안 분야 중 외부 용역업체 인적 보안관리에 14개의 항목을 두어 자세히 평가한다. 그 밖에 ISMS를 기반으로 국정원 정보보안 점검, 기반시설 보호, 정보보호조치, 금융 IT 보안 등이 있지만 이들의 보안통제 비교분석은 그림 5에서 보이고 있다.
.jpg)
▲ 그림 5 보안통제 항목의 상호비교
△개인정보보호 통제
개인정보보호법이 공공 분야뿐만 아니라, 민간 분야에도 적용되는 기본법이다. 개인정보의 수집·이용·저장·폐기 절차에 대해 규제하면서 개인의 동의를 얻지 않은 개인정보의 저장뿐만 아니라 이전 및 유출을 금지하고, 이에 대한 보호대책(관리적, 물리적, 기술적 대책)을 마련할 것을 요구하고 있다. 기본적인 정보보안의 관점에서 개인정보도 정보의 일종이므로 정보보안정책에 따른 정보의 가치에 준하는 통제대책을 마련하면 된다. 특히 기술적 통제대책은 일반 정보의 통제대책과 대동소이하다.
이러한 보안통제의 모형은 기관의 ‘내부통제’의 원리 또는 정보시스템 보안 운영의 원리로 활용될 수 있으며, 동시에 직무분리 원칙에 의해 임명된 정보보안 담당관이 기관의 정보보안 실태 및 취약성을 확인하기 위한 ‘자체 점검’의 평가 항목으로 활용될 수 있다. 또한 취약성 점검의 객관성을 확보하기 위한 독립된 전문기관의 ‘외부감사’를 위한 준거 모형이 될 수 있다.
정보보안 담당관은 기관의 정보보안 목표를 달성하기 위한 정보보안정책 및 제반 대책을 계획해 이행케 하고 이행의 실태 및 취약성을 주기적으로 ‘자체’점검해야 한다. 점검결과는 규정에 따라 기관장 및 관계 중앙행정기관 등에 보고하기도 하는데 이에 대해 중앙행정기관 또는 국가정보원은 자체 점검이 타당한지 확인할 수 있으며, 이는 감독기관의 감사와 같은 ‘외부’ 기관의 점검에 해당한다.
△보안통제 평가실태
KISA 자료에 의하면, 그림 6은 일반 보안과 정보보안에 관련된 상위 정책과 하위 지침과의 관계를 도식화한 것인데, 각급 기관은 상위 정책에 대한 기관 자체적인 시행을 위해 보안업무규정, 정보보안규정, 개인정보보호규정 등 3종의 규정을 제정하고 이를 유지해야 한다는 것을 나타낸다.
.jpg)
▲ 그림 6 정보보안 관련 법규
만약 KISA 등 외부평가 기관 등의 감사전문가가 현장 방문해 많은 보안통제 자료들을 평가할 것이다, 다음 그림에서 기술적 취약성 점검 항목을 보여주고 있다. 대부분 기록 평가외 필요시 현장 확인을 거친다. 유사하게 관리적 물리적 보안실태를 기록으로 제시해야 하는 것이다.
보안통제의 측정 평가
미국 NIST 보안성능 측정 가이드라인은 FISMA 법령에서 규정한 연방정부의 보안위험 수준을 위한 지침서이다. 이 가이드라인은 정보시스템에 대한 보안통제와 정보보안 프로그램에 대한 효과성(Effectiveness)을 인하는 방법을 보여준다. 이러한 측정방법은 조직의 정보시스템과 정보보안 통제 프로그램에 대한 구현, 효과성과 관련 성능에 관한 데이터를 수집, 분석 및 보고를 통해 의사결정, 성능개선, 책임추적성(Accountability)의 향상 등을 발휘할 수 있다. 다음 사항이 보안 성능 평가를 개발 구현할 때 고려되어야 한다.
1) 평가진단은 퍼센트, 평균치 등으로 정량적이 되어야 한다.
2) 평가에 필요한 데이터는 미리 준비되어야 한다.
3) 반복적인 정보보안 구현 프로세스가 평가에 고려되어야 한다.
4) 평가는 성능과 관련된 자원을 추적하는데 도움이 되어야 한다.
이 성능평가를 구현하는 프로세스를 통해 빈약한 성능의 원인을 가려내고, 이를 바꾸는 제안이 가능해야 한다. 이 가이드라인은 다음 3가지 형태의 성능평가척도를 수집하고 개발한다.
1) 보안정책을 수행하는 척도를 평가하는 수단의 개발
2) 보안 서비스 전달과정의 결과, 효과성, 효율성을 측정
3) 보안 이벤트나 사고가 비즈니스와 업무 수행 목표에 미친 영향력 평가
이러한 측정기준들은 실제적으로 획득이 가능해야 하며, 정보보안 시스템 통제의 구현, 정보보안 프로그램의 성숙도에 종속적인 성능 개선에 도움이 되어야 한다. 다음 그림 7은 보안 성숙도의 변화과정을 보이고 있다. 이 4단계 모델은 각 단계별로 보안통제를 측정해 나타난다. 이 성숙도는 조직의 임직원들이 지켜야 할 보안통제를 얼마나 지키고 있느냐의 문제이므로 조직의 경영에서 가장 중요한 척도가 되므로 가능한 분기별로 측정하는 것이 중요한 관건이 된다.
.jpg)
▲ 그림 7 보안 성능 측정과 조직의 보안 성숙도
1단계(D, 60점대)에서 최고 단계인 4단계(A, 90점대) 구분은 주어진 보안통제에 대해 그림 8과 같은 구분에 의해 이루어진다.
.jpg)
▲ 그림 8 보안 성능 측정 내용
이러한 보안 성능 측정 방법의 성공 모델을 그림 9에서 보여주고 있다.
1) 결과 지향적인 측정 분석
2) 정량적인 성능 측정
3) 실무기반 정보보안 정책과 절차
4) 강력한 경영관리 지원
.jpg)
▲ 그림 9 보안 성능 측정 성공 요인
만약 성능 측정 결과가 부족하다면 다음과 같은 문제에 기인하는 것이다.
1) 자원 : 부족한 인력, 예산 등
2) 교육훈련 : 개인의 설치, 관리운영, 정보시스템 사용 훈련 부족
3) 정보시스템 업데이트 : 업데이트할 때 패치를 하지 않음
4) 구성관리 실무 프랙티스 : 보안 세팅이나 패치를 하지 않은 구성 및 업데이트
5) 소프트웨어 복잡성 : 패치나 업데이트가 호환성 있게 제공되지 않음
6) 인식제고 및 책임 : 인식제고 및 책임에 대한 관리 부족
7)정책 및 절차 : 정보시스템 보안에서 요구하는 기능 유지, 사용과 감사기록 부족
8) 아키텍처 : 정보시스템을 취약하게 하는 보안아키텍처
9) 비효율적 프로세스 : 조직의 직접적 행동이 필요한 프로세스 설계 및 구현 부족
△절차
조직의 사이버보안 성능 및 수준평가가 어려울 수 있다. 하지만 경영에서는 당연하게 그 임무를 수행해야 하는 것으로 알고 있으며 경영에서는 정기적인 보고를 원하고 있다. 보안 수준은 당연히 정량적으로 파악하고 임직원들의 분발을 요구할 수 있어야 한다.
▲ 그림 10 보안 성능측정과 라이프사이클
조직에서 정의한 보안통제는 새로운 위협이나 분석에 따라 추가되거나 삭제될 수 있다. 물론 최소한의 요구사항이며 법적으로 정의된 보안통제는 무조건 추진해야 한다. 그렇다면 그 보안통제가 어느 정도가 목표치이고 그 범위는 어디까지이며, 정량화된 수치는 어떻게 만들어야 하는 것인가? 이 과정을 정의하는 사항이 정보보안 측정지표 개발 프로세스이다.
[글 _ 임채호 KAIST 초빙교수, KAIST 전산학과 정보보호 전공(hlim@kaist.ac.kr)]
[보안뉴스= 임채호 KAIST 초빙교수] 왜 보안사고가 빈번히 발생하는가? 우수한 인적 구성요소, 보안 설비 및 솔루션을 도입한 조직들일수록 보안사고가 더 많이 발생한다. 즉 보안에 많은 자원(Resource)을 투자하고도 문제가 발생하고 있다. 특히 미래부의 ISMS 체계, 국가정보원의 보안감사를 이행해도 사고는 발생한다는 점은 문제로 지적된다.
사이버보안과 이전에 생각하던 보호 위주의 보안과는 괴리가 있는 것이 분명하다. 금융, 인터넷 기업은 물론, 한수원, 서울메트로 등을 대상으로 한 사이버공격은 돈 문제가 아닌 테러와 주요기반시설의 마비와 혼란을 초래하기 위한 것이다. 사이버보안 사고는 인터넷 접속이 이루어진 시스템과 연계만 돼도 발생할 수 있다. 이렇듯 인터넷을 포함한 IT 기술이 모든 산업과 국가에 보급된 상황에서 사이버보안은 경영으로 해결되어야 한다.
경영보안의 문제라는 것은 대기업 등과 연계된 협력업체나 계열사 등 한곳만 공격을 당해도 본사를 비롯한 전사적인 문제로 확대되기 때문이다. 이는 정부기관 및 지방자치단체, 그리고 국방 인프라도 마찬가지다. 국민들은 정부인프라, 금융인프라 서비스를 이용한다. 격자로 연결된 ‘네트워크’로 이루어진 네트워크 복잡계(Network Complex)이다. 네트워크 복잡계는 오늘날 ‘빅데이터’라고 부르는 실용적인 학문이다. 실제 네트워크를 이용한 모든 시스템에서의 기록과 사용자의 활용 여부로 판단하는 것은 매우 실용적이다.
보안통제란 무엇인가
보안통제는 보안 사고를 미연에 방지할 수 있는 환경을 만들어 주고 유지해야 하는 기초적인 업무이며 조직의 위험을 관리할 수 있는 바탕이다. 그렇다면 완벽한 보안통제가 이행되고 있다면 모든 위협으로부터 자유로울 수 있어야 한다. 하지만 현재의 보안통제는 지금까지 알려진 위협만을 막을 수 있다. 제로데이 공격(Zero-Day)을 막을 수 있는 보안통제는 없고 신속한 비정상 행위 탐지, 분석 및 대응이 필요하다.
▲ 그림 1 보안통제와 위험관리
하지만 보안통제의 중앙집중적 관리 운영체계와 업무절차, 프로세스를 가진 조직과 그렇지 않는 조직은 당연히 큰 차이가 있다. 또한 네트워크에 참여하는 모든 조직과 국민들이 네트워크의 노드로 본다면, 그 링크로 인한 연결은 비정상을 찾아야 하는 심각한 문제에 봉착한다. 또한 외주 협력사 직원이나 내부인에 의한 기밀정보 유출 등도 알려지지 않았던 비정상 행위이다.
그림 1은 위험관리에서의 보안통제를 보여주고 있다. 위협(Threat)으로 인한 사이버 위험은 결코 없애거나 줄일 수 없어 항상 관리되어야 한다. 그리고 모든 위험을 없어지도록 만들 수 없다. 보안통제는 그림 1에서 보이는 위협(Threats)을 제외한 모든 구성요소들을 포함한다. 단지 통제(Control)만 해당되지 않고 자산관리, 취약성 관리 등을 모두 포함한다.
이는 자산을 중요도에 따라 분류하고 취약성을 지속적으로 제거해야 위협을 제거한다는 뜻이다. 그럼에도 불구하고 위협은 존재한다, 새로이 투자된 IT 자산이나 기존 자산에서 발견되는 새로운 취약성을 발견하고 위협이 발생하는 것이다. 이것은 방범 CCTV를 우회하기 위해 변장하거나 사각지대를 이용하는 범죄자와 같으며 범죄자는 언제 어디서나 존재한다. 범죄자는 외부인이든 내부인이든 존재한다.
또한 정상인도 범죄자로 변할 수 있고 범죄자가 정상인을 대신할 수 있다. 조직의 사이버보안 역량 혹은 수준은 그 조직의 임직원 및 담당자들의 보안통제 준수율로 결정된다. 보안통제 준수율은 그 조직의 위험관리 수준이다. 결국 조직 구성원들이 주어진 보안통제를 얼마나 준수하고 있는지가 중요한 요인인 것이다.
▲ 그림 2 미국 연방정부 보안 수준(2003-2006)
그림 2는 미국 연방 정부의 보안 수준을 2003년부터 2006년까지 보여주고 있다. 이 보안통제 준수율은 예산청이 의회 및 백악관 연례보고 사항이다. FISMA 법령에 의해 국민의 세금으로 각 연방정부에 보안성능 향상을 위해 보안예산을 투입하는 것이므로 공개되고 있는 것이다. 계량화된 보안통제는 조직의 보안 역량으로 나타나는데, 이는 주어진 보안통제의 수량 중 효과적(Effective)인가, 효율적(Efficient)인가, 법적준수사항(Compliance) 이행 여부 등을 지키는 보안통제로 나누고 백분율을 하면 표준점수(Normalized degrade)가 나타난다. 이를 수학적 공식으로 보면 다음과 같다.
Security Capability = ∑(C1(EF, EC, CP), C2(EF, EC, CP), CN(EF, EC, CP)
C : 보안통제
EF : Effectiveness, 보안통제의 효과성
EC : Efficiency, 보안통제의 효율성
CP : Compliance, 보안통제의 법적 준수사항
조직은 조직마다 서로 다른 비즈니스에 따라 요구되는 보안통제가 상이하다. 하지만 각각의 보안통제의 이행정도를 합친 이행 역량을 성적 및 수준으로 나타내고 있는 것이다.
그림 3은 FISMA(미국 연방정보보안관리법)에 의한 연방정부 보안수준과 소요비용의 변화(OMB)를 분석한 논문을 참조한 내용이다. 2014년 행정부, 법무부, 교육부 등은 A등급이며 에너지부는 C등급이다. 수준이 낮은 조직은 그 조직이 정의한 보안통제를 제대로 준수하고 있지 못한 상황이며 IT 환경의 복잡도에 따라 더욱 수준를 향상시켜야 할 숙제가 된다. 예산청은 연방정부 공무원들이 보안을 향상시키도록 예산으로 통제하고 있는 것이다.
▲ 그림 3 FISMA에 의한 연방정부 보안수준과 소요비용의 변화(OMB)
보안통제의 분류
보안통제는 국내 ISMS 표준을 이야기하는데 ISO/IEC 27001이다, 이는 모든 유형에 적용하고, 설정 구현·운영·모니터링·검토·유지 관리 및 비즈니스 위험에 대한 문서화된 정보보호관리체계(ISMS)을 개선하기 위한 요구사항을 지정하는 것이다. 또한 KISA 등 인증기관에서의 CC(Common Criteria) 인증 평가를 위한 자료를 참고할 수 있는데, ISO/IEC 15408이다. 한국인터넷진흥원(KISA) 자료실을 참고하면 ISMS 구축을 위한 자료가 있지만, NIST SP 53, 부록 F에서 기술적 보안 제어의 많은 하드웨어, 소프트웨어 및 정보 시스템 펌웨어 구성요소로 구현할 수 있다.
△NIST 보안통제
NIST는 연방정보 시스템에 대한 위험관리 프레임워크(SP 800-53A)를 제시했다. 이는 정보보안 라이프사이클 어프로치로서 위험관리기반의 비용효과적인 정보보안 모형으로 알려져 있다. 이 프레임워크에서는 ①정보시스템 분류, ②정보보안 통제(대책) 선택, ③정보보안 통제 실행, ④정보보안 통제 평가, ⑤정보시스템 보안 인정, ⑥정보보안 통제의 모니터링의 단계를 순환 반복하여 개선할 것을 제시한다. 또한 NIST 고시에서는 정보보안 통제 항목으로 18개 분야 256개 항목을 자세하게 정의해 제시하고 있다.
여기에는 접근통제, 보안의식 교육, 감사가능성, 보안평가, 구성관리, 위기대응, 유지보수, 매체보호, 보안계획, 위험평가 등 생각할 수 있는 모든 통제사항이 나열되어 있다고 할 수 있다.
△ISMS 및 국제표준 모형(ISO27001)
국제표준기구에서 2005년 정보보호 관리에 관한 표준안 및 인증체계를 제시했는데 조직의 정보보안 위험(위협·취약성·영향도)을 체계적으로 평가하고, 종합적인 보안통제 대책을 수립·이행하며, 총체적인 관리 프로세스를 채택할 것을 요구하는 표준이다. 우리나라에도 일정 규모 이상의 정보통신서비스 사업자에게 의무화되어 있다. ISO/IEC 27001 정보보호관리체계(ISMS)는 11개 그룹, 133개 통제항목으로 되어 있었으나, 2013년 개정으로 14개 그룹, 114개 통제항목으로 구성되었는데, 개정안에서는 ISMS 수행에 대한 측정 및 평가를 강조하고, 협력사 아웃소싱에 관한 항목을 신설했다.
▲ 그림 4 주요 정보통신기반시설 취약점 분석·평가 기준
주요 정보통신기반시설에 대해서는 정보통신기반보호법에 의거해 미래창조과학부가 고시한 ‘주요 정보통신기반시설 취약점 분석·평가 기준’이 있다. 여기서는 관리적·물리적·기술적 분야를 모두 망라하되, 정보자산의 중요도가 높아 필수적으로 채택해야 하는 기본항목(232항목)과 중요도가 낮아 선택적으로 채택할 수 있는 선택항목(140항목)을 제시하고 있다. 또한 인적 보안 분야 중 외부 용역업체 인적 보안관리에 14개의 항목을 두어 자세히 평가한다. 그 밖에 ISMS를 기반으로 국정원 정보보안 점검, 기반시설 보호, 정보보호조치, 금융 IT 보안 등이 있지만 이들의 보안통제 비교분석은 그림 5에서 보이고 있다.
▲ 그림 5 보안통제 항목의 상호비교
△개인정보보호 통제
개인정보보호법이 공공 분야뿐만 아니라, 민간 분야에도 적용되는 기본법이다. 개인정보의 수집·이용·저장·폐기 절차에 대해 규제하면서 개인의 동의를 얻지 않은 개인정보의 저장뿐만 아니라 이전 및 유출을 금지하고, 이에 대한 보호대책(관리적, 물리적, 기술적 대책)을 마련할 것을 요구하고 있다. 기본적인 정보보안의 관점에서 개인정보도 정보의 일종이므로 정보보안정책에 따른 정보의 가치에 준하는 통제대책을 마련하면 된다. 특히 기술적 통제대책은 일반 정보의 통제대책과 대동소이하다.
이러한 보안통제의 모형은 기관의 ‘내부통제’의 원리 또는 정보시스템 보안 운영의 원리로 활용될 수 있으며, 동시에 직무분리 원칙에 의해 임명된 정보보안 담당관이 기관의 정보보안 실태 및 취약성을 확인하기 위한 ‘자체 점검’의 평가 항목으로 활용될 수 있다. 또한 취약성 점검의 객관성을 확보하기 위한 독립된 전문기관의 ‘외부감사’를 위한 준거 모형이 될 수 있다.
정보보안 담당관은 기관의 정보보안 목표를 달성하기 위한 정보보안정책 및 제반 대책을 계획해 이행케 하고 이행의 실태 및 취약성을 주기적으로 ‘자체’점검해야 한다. 점검결과는 규정에 따라 기관장 및 관계 중앙행정기관 등에 보고하기도 하는데 이에 대해 중앙행정기관 또는 국가정보원은 자체 점검이 타당한지 확인할 수 있으며, 이는 감독기관의 감사와 같은 ‘외부’ 기관의 점검에 해당한다.
△보안통제 평가실태
KISA 자료에 의하면, 그림 6은 일반 보안과 정보보안에 관련된 상위 정책과 하위 지침과의 관계를 도식화한 것인데, 각급 기관은 상위 정책에 대한 기관 자체적인 시행을 위해 보안업무규정, 정보보안규정, 개인정보보호규정 등 3종의 규정을 제정하고 이를 유지해야 한다는 것을 나타낸다.
▲ 그림 6 정보보안 관련 법규
만약 KISA 등 외부평가 기관 등의 감사전문가가 현장 방문해 많은 보안통제 자료들을 평가할 것이다, 다음 그림에서 기술적 취약성 점검 항목을 보여주고 있다. 대부분 기록 평가외 필요시 현장 확인을 거친다. 유사하게 관리적 물리적 보안실태를 기록으로 제시해야 하는 것이다.
보안통제의 측정 평가
미국 NIST 보안성능 측정 가이드라인은 FISMA 법령에서 규정한 연방정부의 보안위험 수준을 위한 지침서이다. 이 가이드라인은 정보시스템에 대한 보안통제와 정보보안 프로그램에 대한 효과성(Effectiveness)을 인하는 방법을 보여준다. 이러한 측정방법은 조직의 정보시스템과 정보보안 통제 프로그램에 대한 구현, 효과성과 관련 성능에 관한 데이터를 수집, 분석 및 보고를 통해 의사결정, 성능개선, 책임추적성(Accountability)의 향상 등을 발휘할 수 있다. 다음 사항이 보안 성능 평가를 개발 구현할 때 고려되어야 한다.
1) 평가진단은 퍼센트, 평균치 등으로 정량적이 되어야 한다.
2) 평가에 필요한 데이터는 미리 준비되어야 한다.
3) 반복적인 정보보안 구현 프로세스가 평가에 고려되어야 한다.
4) 평가는 성능과 관련된 자원을 추적하는데 도움이 되어야 한다.
이 성능평가를 구현하는 프로세스를 통해 빈약한 성능의 원인을 가려내고, 이를 바꾸는 제안이 가능해야 한다. 이 가이드라인은 다음 3가지 형태의 성능평가척도를 수집하고 개발한다.
1) 보안정책을 수행하는 척도를 평가하는 수단의 개발
2) 보안 서비스 전달과정의 결과, 효과성, 효율성을 측정
3) 보안 이벤트나 사고가 비즈니스와 업무 수행 목표에 미친 영향력 평가
이러한 측정기준들은 실제적으로 획득이 가능해야 하며, 정보보안 시스템 통제의 구현, 정보보안 프로그램의 성숙도에 종속적인 성능 개선에 도움이 되어야 한다. 다음 그림 7은 보안 성숙도의 변화과정을 보이고 있다. 이 4단계 모델은 각 단계별로 보안통제를 측정해 나타난다. 이 성숙도는 조직의 임직원들이 지켜야 할 보안통제를 얼마나 지키고 있느냐의 문제이므로 조직의 경영에서 가장 중요한 척도가 되므로 가능한 분기별로 측정하는 것이 중요한 관건이 된다.
▲ 그림 7 보안 성능 측정과 조직의 보안 성숙도
1단계(D, 60점대)에서 최고 단계인 4단계(A, 90점대) 구분은 주어진 보안통제에 대해 그림 8과 같은 구분에 의해 이루어진다.
▲ 그림 8 보안 성능 측정 내용
이러한 보안 성능 측정 방법의 성공 모델을 그림 9에서 보여주고 있다.
1) 결과 지향적인 측정 분석
2) 정량적인 성능 측정
3) 실무기반 정보보안 정책과 절차
4) 강력한 경영관리 지원
▲ 그림 9 보안 성능 측정 성공 요인
만약 성능 측정 결과가 부족하다면 다음과 같은 문제에 기인하는 것이다.
1) 자원 : 부족한 인력, 예산 등
2) 교육훈련 : 개인의 설치, 관리운영, 정보시스템 사용 훈련 부족
3) 정보시스템 업데이트 : 업데이트할 때 패치를 하지 않음
4) 구성관리 실무 프랙티스 : 보안 세팅이나 패치를 하지 않은 구성 및 업데이트
5) 소프트웨어 복잡성 : 패치나 업데이트가 호환성 있게 제공되지 않음
6) 인식제고 및 책임 : 인식제고 및 책임에 대한 관리 부족
7)정책 및 절차 : 정보시스템 보안에서 요구하는 기능 유지, 사용과 감사기록 부족
8) 아키텍처 : 정보시스템을 취약하게 하는 보안아키텍처
9) 비효율적 프로세스 : 조직의 직접적 행동이 필요한 프로세스 설계 및 구현 부족
△절차
조직의 사이버보안 성능 및 수준평가가 어려울 수 있다. 하지만 경영에서는 당연하게 그 임무를 수행해야 하는 것으로 알고 있으며 경영에서는 정기적인 보고를 원하고 있다. 보안 수준은 당연히 정량적으로 파악하고 임직원들의 분발을 요구할 수 있어야 한다.
▲ 그림 10 보안 성능측정과 라이프사이클
조직에서 정의한 보안통제는 새로운 위협이나 분석에 따라 추가되거나 삭제될 수 있다. 물론 최소한의 요구사항이며 법적으로 정의된 보안통제는 무조건 추진해야 한다. 그렇다면 그 보안통제가 어느 정도가 목표치이고 그 범위는 어디까지이며, 정량화된 수치는 어떻게 만들어야 하는 것인가? 이 과정을 정의하는 사항이 정보보안 측정지표 개발 프로세스이다.
[글 _ 임채호 KAIST 초빙교수, KAIST 전산학과 정보보호 전공(hlim@kaist.ac.kr)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
