기본통제선 위험분석을 활용한 자가 보안 진단

기업은 자사의 정보보호 수준을 이해하고 문제점을 파악하고 대응하는 다양한 방법을 활용할 수 있다. 특히 기업의 경영진은 다음과 같은 세가지 질문을 통해 자사의 정보보호에 대한 기초적인 자가진단을 수행할 수 있다.·직원들은 자신이 다루는 정보나 시스템과 관련한 어떤 행위가 적절하고 부적절한지를 판단할 수 있는가.·직원들은 부적절한 행위 발생시 이를 보고하고자 하는 명확한 입장을 가지고 있는가.·직원들은 부적절한 행위 발생시의 보고 절차와 방법에 대해 정확히 이해하고 있는가.이와 함께 점검해야 할 것이 직원들에 대한 정보보호 인식제고 프로그램 가동 여부와 정보보호 인식을 강화하기 위한 활동을 지지하는 문화의 존재 여부다. 이같은 질문에 긍정적인 대답을 한다면, 새로운 기술의 물결 속에서 적절한 정보보호를 수행할 능력을 가지고 있다고 말할 수 있다. 하지만 만약 어느 하나라도 부정적인 답이 나온다면, 기업 내에 구축돼 있는 파이어월, IDS 등 다양한 보안 솔루션도 그다지 소용이 없을 것이다. 왜냐하면 적절한 정보보호 수준을 유지할 기초적인 틀을 가지지 못했기 때문이다. 이와 같이 기업에 있어 정보보호 수준에 대한 자가진단법은 정보보호에 대한 직원들의 기본적인 인식이 확보돼 있는가를 묻는 동시에 정보침해 사고의 발생시 신속한 대응을 할 수 있는가를 파악하도록 함으로써 기업의 대응 능력 수준을 측정할 수 있다. 따라서 경영자의 관점에서 기업의 중요 정보에 대한 생성, 가공, 저장, 활용, 유통, 폐기를 수행하는 직원들의 인식이 적절하게 갖춰져 있는지를 검증하는데 크게 도움이 된다. 그러나 이런 자가진단법은 상세한 진단 방법이나 객관적인 기준, 체계화된 방법을 제공하지는 않으며, 따라서 실제로 진단을 수행하고자 할 경우에는 진단의 세부적인 방법에 있어 기업마다 주관적이고 다를 수 있다. 따라서 객관적이고도 지속적으로 활용할 수 있는 기업의 정보보호 수준 측정방법을 마련하기 위해서는 보다 구체적이고 방법론적인 접근이 필요하다.효율적인 정보보호 수준 자가진단 방법정보보호 수준 진단방법으로는 위험분석 기법은 매우 효과적인 방법이다. 위험분석은 기업의 정보자산에 대한 위협과 취약성, 그리고 대응책 간의 함수관계를 활용하는 방법으로, 기업이 보유한 정보자산에 내재한 취약성의 영향 범위와 이에 대응하고 있는 위협의 빈도와 강도, 그리고 위협에 대한 대응책의 적용정도를 분석해 종합적인 정보위험수준을 평가하는 방법이다. 위험분석의 수행기법에는 기본통제선 접근방법(Baseline Approach), 상세 위험분석 접근방법(Detailed Approach)와 두 가지를 혼용하는 방법 등이 있다. 기본통제선 접근방법은 기본적으로 준수해야하는 정보보호 대책을 체크리스트로 개발해 활용하며, 체크리스트의 준수 여부가 정보보호 수준을 결정한다. 따라서 이 방법은 체크리스트를 구성할 수만 있으면 쉽게 활용할 수 있는 장점이 있다. 그러나 체크리스트로 활용하도록 공개돼 있는 일반적인 정보보호 대책 항목들은 해당 기업의 특성에 적합하도록 구성된 것은 아니므로 기업의 실질적인 정보보호 수준을 정량적으로 정확히 드러내기는 어렵다. 상세 위험분석 접근방법은 정보자산을 중심으로 해당 기업에 최적화된 위험분석을 실시하는 것이다. 이 방법은 정보자산별 취약성과 대응하고 있는 위협, 적용한 정보보호 대책 간의 함수 관계를 통해 기업의 정보위험 수준에 대한 정량적, 정성적 분석과 해당 기업에 최적화된 대응방안을 제시해 준다는 장점이 있다. 하지만 자체적으로 적용하기 위해서는 높은 수준의 전문가와 위험분석의 효율성을 제고해 줄 수 있는 자동화툴이 필요하며, 상당한 노력도 요구되므로 국내에서 기업이 자체적으로 수행하기에는 아직 어려운 면이 많다.이 두가지 방법을 혼용하는 방법은 정보보호 컨설팅 서비스를 제공하는 컨설턴트들이 업무의 효율과 중요 정보자산에 대한 세부적인 분석을 위해 프로젝트에서 종종 활용하는 방식으로, 효율성의 측면에서는 기본통제선 방식과 기업에 최적화하는 측면에서는 상세 위험분석 방식을 병행해 사용하는 것보다 복잡하다. 따라서 기업의 정보보호 수준 측정을 위한 다양한 방법들 중 자가진단을 위해 활용 가능한 기본통제선 위험분석 방법을 이용해 자체적으로 현재의 보안 수준을 진단해 볼 수 있는 방법을 알아보겠다. 기본통제선 접근방법에서 가장 중요한 것은 기업별로 다르게 나타나는 정보보호의 이슈와 관심사를 어떻게 적절한 평가 항목으로 정리하는가이다. 우선 일반적인 기업이라면 중요하게 생각해야 할 정보보호 관련 이슈들을 전반적으로 다룰 수 있도록 자가진단 평가항목의 영역에 대해 정의하고, 기업의 보안 담당자가 어떤 항목들을 점검해야 할지 알아보자. 아울러 세부 평가항목에 대해서는 영역별로 그 예를 간략히 설명함으로써 실제 기업에서 자가진단을 수행하는데 도움이 되도록 하고자 한다. 체크리스트 작성으로 시작하는 보안 진단참고로 (표 1)은 필자가 실제 프로젝트를 진행하면서 작성한 자체 진단용 체크리스트의 예를 제시한 것이다. (표 1)은 정보자원에 대한 적정 수준의 통제가 조직 내에서 이뤄져 조직 내에서 필요로 하는 적정한 정보보호 수준의 달성할 수 있도록 하기 위한 항목들을 포괄하고 있다. 체크리스트는 정보시스템의 기획, 구축, 활용, 폐기에 이르는 라이프 사이클을 전반적으로 포괄하도록 구성해야 하며, 일반적으로 추천할 수 있는 진단의 영역 구성은 다음의 예와 같이 제시할 수 있다. 1. 경영층의 정보보호 관련 활동에 대한 적극적 지지 : 경영층의 적극적인 지지에 기반해 정보보호를 위한 활동이 기획되고 운영되며 모든 임직원은 경영층의 의지로 정보보호 활동이 이뤄지고 있음을 인지하는가.2. 적절한 정보보호 정책의 수립 : 정보보호를 위해 준수해야 할 사항이 무엇인지를 적절히 제시하고 있으며, 허가된 행위와 허가되지 않은 행위에 대해 명확히 설명하고 있는가.3. 기획과 실무 능력을 갖춘 정보보호 조직 : 정보보호 활동을 전담하는 조직과 이를 지원하는 조직, 각 업무조직 내의 정보보호를 위한 책임자와 실무자가 정의돼 있는가. 그리고 이런 조직들 간의 의사소통을 위한 조직적 배려가 있는가.4. 정보자산의 분류와 중요도에 따른 통제 : 정보자산을 하나의 통일적인 기준에 의해 분류하고 있으며, 분류된 자산의 중요도를 평가해 이에 따른 보호 우선순위와 통제의 적용이 이뤄지고 있는가.5. 임직원, 임시고용인 등 인원에 대한 보안 : 내부자로 볼 수 있는 모든 인원에 대해 등급별로 세분화해 파악하고 있으며, 해당 인원에게 부과되는 정보보호의 임무와 역할을 정의하고 있는가.6. 중요 공간에 대한 물리적, 환경적인 보호 : 정보자산이 위치하고 있는 공간에 대해 중요도에 따라 구분하고 있으며, 중요한 공간에 대해 추가적인 출입통제 수단을 적용하고 있는가. 중요 정보처리 공간에 대해서는 환경적인 문제가 발생하지 않도록 항온항습, 화재방지 등의 대책을 도입하고 있는가.

7. 통신수단의 관리와 보호 대책 : 정보를 유통하기 위한 제반 통신수단에 대해서는 접근의 통제 및 통신수단의 기밀성 유지를 위한 대책들이 적절히 적용되고 있는가.8. 정보시스템 개발과 운영 상의 보안 : 중요 정보를 처리하기 위한 정보시스템은 개발단계에서부터 운영단계까지 정보보호 요구사항을 준수하고 있는가. 개발, 운영, 폐기의 각 단계에서 준수해야 할 정보보호 요구사항은 명확히 정의돼 있는가.9. 중요 정보자산에 대한 접근통제 : 모든 정보자산에 대해 ‘알 권리(Need to Know)’에 따른 접근통제가 적용되고 있으며, 정보자산의 소유자와 처리 대행자와 비인가자의 구분에 따른 접근권한의 부여가 명확하게 이뤄지고 있는가.10. 침해사고 발생시 대응, 복구와 업무 연속성에 대한 관리능력 : 정보침해 사고의 발생시에 임직원이 무엇을 어떻게 할 것인지를 정의하고 있으며, 순차적인 행동요령으로서 임직원에게 주기적으로 교육하고 있는가. 업무연속성을 확보하기 위한 방안을 마련해 정기적인 훈련을 실시하고 있는가.11. 외주업체의 정보보호 요구사항의 준수(외주를 활용하는 경우) : 외주업체의 활용에 따른 정보침해 위험은 무엇인지 정의하고 있으며, 이를 회피하기 위한 방안을 외주업체의 준수 요구사항으로 상호 간 계약서에 포함해 관리하고 있는가.12. 각종 법, 제도 등 규제 요구사항의 준수 : 개인정보의 보호, 영업비밀의 보호 등 법과 제도에서 요구하고 있는 각종 규제를 이해하고, 이를 준수하기 위한 방안을 마련, 적극적으로 시행하고 있는가.13. 임직원의 정보보호에 대한 인식과 준수 의지 : 임직원에 대해 정기/비정기 교육과 훈련을 실시해 정보보호를 위한 높은 인식을 확보하고자 노력하고 있는가. 교육과 훈련의 결과로서 임직원은 적극적인 정보보호 준수 의지를 갖추고 있는가.14. 정보보호 현황에 대한 지속적인 모니터링과 개선 : 정보보호 현황에 대해 지속적으로 모니터링하는 활동을 수행하며, 모니터링을 통해 드러나는 문제에 대해서는 적절한 방법을 통해 개선하고 있는가.이같은 영역 구분은 정보보호의 체계적인 이행을 위해 기본적으로 요구되는 사항들을 정보시스템의 라이프 사이클과 정보보호의 관리적 체계에 따라 정리한 것으로, 진단과 점검의 상위 항목이 된다. 각 영역의 하위 진단항목은 기업의 특성과 정보보호 활동의 목적에 따라 새로이 구성할 수 있다. 영역별 하위항목은 다양한 공개 자료를 활용하면 효율적으로 구성할 수 있으며, 활용할 수 있는 공개 자료로는 앞서 언급한 국가정보보호관리체계 관리기준(정보통신부 www.mic.go.kr, 한국정보보호진흥원 www.kisa.or.kr 참조)이나, CoBIT 플레임워크(정보시스템통제감사협회 www.isaca.org 참조)와 ISO17799(www .iso17799.net 참조)의 관리기준 항목 등이 있다.업무 프로세스 정리, 흐름을 파악하라그림은 기본통제선 방식을 활용해 자가진단을 수행할 경우 진단업무 담당자가 활용할 수 있는 업무 프로세스를 간략히 정리한 예이다. 실무에서 정보보호 자가진단과 대응방안 수립을 위해서는 예에서 제시하는 바와 같이 순차적인 업무의 흐름을 따르면 편리하다. 우선 진단업무 담당자는 좋은 체크리스트를 확보하기 위해 자신의 조직에 제기되는 주요 정보보호 이슈와 내부의 요구사항을 분석해야 한다. 담당자는 정보보호 요구사항과 주요 이슈에 대한 검토를 바탕으로 진단의 기준이 되는 상위 영역 카테고리를 선정해 구성하고 기업의 요구에 맞도록 각 영역별 중요도와 진단 방법의 원칙을 제시해야 한다. 이런 일련의 준비작업이 이뤄지고 나면 앞서 제시한 다양한 외부의 정보보호 준수 항목들을 활용해 실제 진단에 활용할 체크리스트를 작성해야 한다. 체크리스트는 일차 작성 후 내부의 전문가나 외부의 컨설턴트 등을 통해 그 적정성 여부를 확인하는 절차를 거쳐 완성하면 더욱 효과적이다. 체크리스트를 활용해 정보보호 수준을 진단하는 단계에서는 각종 관련문서의 점검과 정보보호 관련 직원에 대한 인터뷰와 정보시스템 상의 정보보호 준수 사항 적용 여부에 대한 확인과 임직원에 대한 설문 등 다양한 방법이 동원된다. 진단 담당자는 다양한 방법 중 조직 내에서 용이하게 활용할 수 있으며, 효과적인 방법을 찾아 체크리스트에 적용성 여부를 기입하는 과정을 완료하면 된다.진단 과정이 끝나면 진단 담당자는 그 결과를 분석해야 한다. 일반적으로 준수되지 않는 항목들은 준수의 필요성에 대한 이해가 어려워서라기 보다는 준수할 경우 생기는 불편이 과다한 경우가 많다. 분석 과정에서는 준수에 따른 불편 등과 같이 준수하지 않게 된 원인을 분석해 현장에서 임직원이 준수할 수 있는 방안을 도출하는데 중점을 둬야 한다. 진단 담당자는 이런 과정을 통해 도출된 다양한 개선방안들을 종합해 실행계획을 수립함으로써 진단과정을 마무리할 수 있다.실질적인 정보보호 수준의 향상원칙적으로 위험분석의 방법과 과정은 어떠해야 한다는 절대적인 기준은 없다. 따라서 기업은 자신의 정보보호 수준을 진단하고 향상을 위한 방안을 수립하기 위해 자신에게 최적화된 영역과 항목을 설정해 적용성을 평가하면 된다. 그러므로 앞서 설명한 여러 점검 항목과 절차는 기업이 어떤 정보기술을 활용하고 있는지, 향후 정보기술 활용의 방향은 무엇인지, 그리고 산업 내에서의 주요 IT 이슈는 무엇인지 등과 같은 기업의 사업상 특성에 따라 자신의 환경에 맞게 바꿔 활용할 수 있다. 기본통제선 접근 방법을 이용한 자가진단의 경우, 정확한 결론을 도출하기보다는 자신의 정보보호 현황에 대한 전반적인 문제점 도출에 중점을 두는 것이 바람직하다. 도출된 문제에 대해서는 근본적인 원인이 어디에 있는지를 확인하는 것이 중요하다. 이를 통해 단편적인 대책으로 인한 부작용을 최소화하고, 실질적인 정보보호 수준의 향상이 가능한 현실적인 방안을 찾는데 주안점을 두는 것이 필요하다. 또한 자체적으로 수행하는 진단의 경우 일회성 이벤트로 끝나는 경우가 많으므로 이를 지속화할 방안을 마련하는 것도 필수적이다.지금까지 제시한 자가진단 방법은 효율성을 보장하는 측면은 있으나, 기업 차원의 일관된 정보보호 체계를 구성하는데는 부족한 점이 있으므로 이 점을 유의해 정보보호 수준 향상에 도움이 되도록 활용할 수 있기를 기대한다. @