정보보호 거버넌스와 관리 체계 수립
정보보호 거버넌스
정보보호 투자가 현업부서의 목적과 부합해야 한다는 요구가 증대되고 정보기술이 기업의 핵심 운영요소로 자리 잡으면서 정보기술의 가시성에 대한 이사회 및 경영진의 요구가 증대되고 있다.
정보보호 거버넌스는 회사의 이사회 및 경영진측에서 회사의 위험이 적절한 수준으로 관리되고 있음을 감독할 수 있는 메커니즘을 제공해야 한다.
정보보호 거버넌스 프레임워크
정보보호 거버넌스는 기업 거버넌스의 일환으로써 비즈니스와의 전략적 연계, 관련법과 규정의 준수, 의사결정 권한과 책임의 할당을 위한 프로세스 및 실행체계이다.
- 목표
① Accountability: 정보보호 활동의 성과에 대해 누가 책임을 지는가? -> 기업 거버넌스의 책임성과 연계
② Business Alignment: 정보보호 활동이 기업의 비즈니스 목표 달성에 기여하는가? -> 기업 거버넌스의 효과성과 연계
③ Compliance: 정보보호 활동이 원칙과 기준(법, 규정, 내부 규정 등)에 따라 수행되는가? -> 기업 거버넌스의 투명성과 연계
IT 거버넌스와 정보보호 거버넌스
IT 거버넌스란 IT와 IT 프로세스의 위험과 수익 사이에 균형을 맞추어 가치를 창출하면서 기업의 목적을 달성하기 위한 기업통제의 관계구조 및 프로세스이다.
IT 거버넌스에 연계된 정보보호 거버넌스에서 이사회 역할은 정보보호 거버넌스의 최종적인 책임을 지는 것이다.
경영진은 이사회와 더불어 정보보호 거버넌스를 구현하는데 중요한 역할을 한다.
정보보호 거버넌스 구현 요건
- 전략적 연계(Strategic Alignment)
정보보호 거버넌스는 비즈니스, IT 목표 및 정보 보안 전략이 서로 연계되어야 하며 최상위 정보 보안 운영위원회의 역할과 책임을 명시하고 정보 보안 보고체계의 합리화를 수행해야 한다.
- 위험 관리(Risk Management)
조직의 정보 보안 사고의 잠재적 위험을 줄이기 위해 조직에 적합한 위험 관리 체계를 수립하고 이를 지속적으로 관리하여 수용 가능한 수준으로 위험을 낮춰야 한다. 또한 확인된 위험에 따라 적절한 자원을 할당하여 관리해야 한다.
- 자원 관리(Resource Management)
효율적인 정보 보안 지식과 자원을 관리하기 위해 중요 정보 자산과 인프라를 포함하는 전사적 정보 보안 아키텍처를 확보해야 한다.
정책과 절차에 따른 정보보안 아웃소싱을 수행하고, 아웃소싱 정보 보안 서비스의 통제와 책임을 명시 및 승인하며 기업 정보 보안 아키텍처와 전사적 아키텍처를 연계시켜야 한다.
- 성과 관리(Performance Management)
정보 보안 거버넌스의 효과적인 운영 척도로써 모니터링, 보고 및 평가에 따른 성과 평가 체계를 운영해야 하며, 비즈니스 측면도 고려하여 성과를 평가해야 한다.
- 가치 전달(Value Delivery)
정보 보안 투자를 최적화하기 위해 기업의 구성원에게 정보 보안의 중요성과 가치를 교육시켜야 한다.
관련 국제표준을 기반으로 정보 보안 관리 체계를 갖추어 운영하고, 자본의 통제 및 투자에 관한 프로세스와 정보 보안을 통합해야 한다.
IT 보안 관리
IT 보안 관리는 지난 수십 년 동안 상당한 발전을 거듭해왔다. 이 발전은 네트워크로 연결된 컴퓨터 시스템들에 대한 의존 및 연관된 위험의 증가에 대응하여 이루어졌다.
지난 수십 년 동안 수많은 국내 및 국제 표준이 발행되었다. ISO는 이러한 많은 표준을 수정하여 ISO 27000 시리즈로 통합하였다.
- ISO/IEC 27000 series
ISO/IEC 27000: 개관 및 용어
ISO/IEC 27001: ISMS 요구사항
ISO/IEC 27002: 정보보안관리를 위한 실행 규약
ISO/IEC 27003: ISMS 구현 지침
ISO/IEC 27004: 정보보안관리 지표 및 지표 프레임워크를 위한 지침
ISO/IEC 27005: 정보보안 위험관리 지침
ISO/IEC 27006: 감사 및 인증기관에 대한 지침
- IT 보안관리 기능
적절한 수준의 기밀성, 무결성, 가용성, 책임추적성, 인증 및 신뢰성을 얻고 유지하기 위해 가용되는 프로세스를 말한다.
- IT 보안관리 프로세스
IT 보안 관리는 조직의 전반적인 관리 계획에 있어서 핵심 부분이 될 필요가 있다. 마찬가지로, IT 보안 위험 평가 프로세스는 조직의 모든 자산 및 비즈니스 프로세스에 대한 보다 더 폭넓은 위험 평가로 통합되어야 한다.
경영진에서 이러한 프로세스를 인지하고 지원하지 않으면 바람직한 보안 목적은 만족되기 어려우며, 그 조직의 비즈니스 산출물에도 기여하기 어렵다.
이 프로세스의 반복되는 성질은 ISO27001의 핵심으로 구체적으로 ISO27005에 있는 보안 위험 관리 프로세스에 적용된다.
· 계획(plan): 보안 정책, 목적 프로세스 및 절차의 수립
· 실행(do): 위험 처리 계획의 이행
· 점검(check): 위험 처리 계획을 모니터링하고 유지 보수
· 처리(act): 사건, 검토 또는 인지된 변화에 대응하여 정보 보안 위험 관리를 유지보수하고 개선
ISO 27001
ISO 27001은 영국의 BSI에서 제정한 BS 7799를 기반으로 구성되어 있는 일종의 보안 인증이자 보안 프레임워크이다.
어떤 조직이 ISO 27001 인증을 획득했다고 하면 이는 ISO 27001에서 제시한 프레임워크에 따라 회사의 위험을 관리하고 이를 개선해나가는 체계를 갖추었다는 의미이다.
ISO 27001:2013은 조직의 상황, 리더십, 기획, 지원, 운영, 성과평가, 개선의 7개 관리과정으로 구성되어 있으며, 정보보호 통제 요구사항은 14개 영역 114개 통제 항목으로 구성되어 있다. (최신 버전이 ISO 27001:2022인데 이 버전은 통제 요구사항이 11개 영역, 133개 통제 항목으로 구성되어 있다. 다만 검색을 해보니 Amazon사, MS사 등에서는 ISO 27001:2013 인증을 증명하고 있다. 2013 버전이 좀 더 보편적이거나 최신 버전을 함부로 적용하지 않는 관습이거나..)
체계적인 Process Approach로 Plan->Do->Check->Act 접근 방법을 적용한다.
- ISO 27001의 평가 항목
ISO 27001:2013에서는 평가 항목을 14가지로 정의하고 있다. 14가지 조항에는 보안과 관련하여 관심을 가져야 할 대부분의 내용이 담겨 있다.
| 요구사항 | 통제 항목수 |
내용 |
| 정보보호 정책 (Information security policies) |
2 | 정보보호에 대한 경영방침과 지원사항을 제공하기 위함 |
| 정보보호 조직 (Organization of information security) |
7 | 조직 내에서 보호를 효과적으로 관리하기 위해서 보호에 대한 책임을 배정 |
| 인적 자원 보안 (Human resource security) |
6 | 사람에 의한 실수, 절도, 부정수단이나 설비의 잘못된 사용으로 인한 위험을 감소 |
| 자산 관리(Asset management) | 10 | 조직의 자산에 대한 적절한 보호책 유지 |
| 접근 통제(Access Control) | 14 | 정보에 대한 접근통제를 하기 위함 |
| 암호화(Cryptography) | 2 | 기밀성, 인증 또는 정보의 무결성을 보호하기 위해 적절하고 효과적인 암호화 사용을 보장 |
| 물리적 환경적 보안 (Physical & enviromental security) |
15 | 비인가된 접근, 손상과 사업장과 정보에 대한 영향을 방지하기 위함 |
| 운영 보안(Operations security) | 14 | 정보 처리 설비의 정확하고 안전한 운영을 보장하기 위함 |
| 통신 보안(Communications security) | 7 | 네트워크 및 지원 정보 처리 시설의 안전한 통신을 보장하기 위함 |
| 정보 시스템 개발 유지보수 (System acquisition development & maintenance) |
13 | 정보시스템 내에 보안이 수립되었음을 보장하기 위함 |
| 공급자 관계(Supplier relationship) | 5 | 협력업체(공급자)에서 접근가능한 조직 내 정보보호의 보장과 협력업체와의 계약에 따라 정보 보안 및 서비스 제공에 합의된 수준을 유지하기 위함 |
| 정보보안 사고 관리 (Information security incident management) |
7 | 보안사고에 대한 대응 절차의 수립 및 이행을 보장함 |
| 정보보호 측면 업무 연속성 관리 (Information security aspects of business continuity management) |
4 | 사업활동의 방해요소를 완화시키며 주요 실패 및 재해의 영향으로부터 주요 사업 활동을 보호하기 위함 |
| 컴플라이언스/준거성(Compliance) | 8 | 범죄 및 민사상의 법률, 법규, 규정 또는 계약 의무사항 및 보호요구사항의 불일치를 방지하기 위함 |
정보보호 정책, 절차, 표준, 지침, 기준선
정보보호 정책
조직의 내·외부 환경과 업무성격에 맞는 효과적인 정보보호를 위하여 기본적으로 무엇이 수행되어야 하는가를 일목요연하게 기술한 지침과 규약으로써 정보자산을 어떻게 관리하고 보호할 것인가에 대하여 문서로 기술해 놓은 것이다.
보안 정책은 조직 안에서 보안이 어떤 종류의 역할을 수행하는지 규정하기 위해 최고경영진(또는 선임된 정책 회의 또는 위원회)에 의해 마련된 일반적인 선언이다.
- 정보보호 정책의 역할
정책은 임직원에게 책임 할당 및 책임추적성을 제공하고 기업의 비밀 및 지적재산권을 보호하며 기업의 컴퓨팅 자원 낭비를 방지하게 한다.
임직원의 가치판단 기준이 되고 경영진의 목표를 직원들이 공유할 수 있도록 해준다.
- 정보보호 정책의 수정
보안 정책은 위험분석 등 보안 관리의 과정을 통하여 얻어진 결과를 바탕으로 수정될 수 있다. 물론 수정 절차는 보안 정책에 기술되어 있는 보안 정책 변경 규정에 의해 수행되어야 한다.
보안 정책을 수정하는 이유는 새로운 시스템이 추가되어 기존의 보안 정책이 본래의 기능을 수행하지 못하거나 보안사고 등으로 인하여 기존 대응책에 문제점이 발생할 수 있기 때문이다.
- 정보보호 정책을 구현하기 위한 조건
정책은 주로 정보보호 관리자가 개발한다.
정책은 모든 임직원이 이해 가능한 수준으로 작성되고 의사소통이 되어야 한다.
정책이 경영진에 의해 승인되어야 기업과 조직의 직원들 사이의 의사소통이 수월해진다.
정책은 포괄적, 일반적, 개괄적으로 기술되어야 한다.
정책은 문서화되어야 하고, 임직원에 대한 교육을 충분히 행한 상태여야 법적 보호를 받게 된다.
- 정보보호 정책을 구현하기 위한 요소
아무래도 정책이다 보니 요소들의 견해가 조금 갈리는 면은 있다. 그림과 달리 이 수험서에서는 프로시저를 최저수준으로 설정함
-> 표준(Standards)
정책이 기업과 조직의 정책이 가야할 미션과 비전을 제시하는 무엇(what)을 정의한다면, 표준은 요구사항을 정의한 것이다.
의무적 활동, 행위 또는 규칙이다. 표준은 정책을 지원하고 방향성을 강화한다.
특정한 기술, 응용프로그램, 매개변수 그리고 절차가 조직 전체에 걸쳐서 통일적인 방식으로 구현되는 것을 보장하는 수단을 제공한다.
-> 기준선(기준, Baseline)
미래의 변경에 대한 비교로 사용되는 현재 시점을 나타낸다. 기준은 일관되게 참조할 포인트이다.
필요한 최소 보호 수준을 정의하기 위해 사용된다. 보안에서는 시스템 유형마다 필요한 설정과 제공되는 보호 수준을 지시하는 고유한 기준이 정의될 수 있다.
-> 지침(Guidelines)
사용자, IT 직원, 운영 직원 그리고 특정한 표준이 적용되지 않는 사람들에 대한 권장 행동과 운영적 안내사항이다.
기술, 인적 혹은 물리적 보안의 방법론을 다룰 수 있다. 판단을 명확하게 내릴 수 없는 경우가 항상 존재하며 이러한 경우에 지침이 참조될 수 있다.
표준이 특정한 강제적 규칙인 반면에 지침은 예측할 수 없는 상황에 유연성을 제공하는 일반적인 접근이다.
-> 절차(Procedure)
특정한 목표를 성취하기 위해 수행되는 단계적인 작업을 자세하게 설명한다. 이러한 단계들은 사용자, IT 직원, 운영 직원, 보안 직원 그리고 특정한 작업을 수행하는 사람들에게 적용될 수 있다.
많은 조직들이 운영시스템의 설치, 보안 메커니즘의 설정, 접근 통제 목록의 구현, 새 사용자 계정의 생성, 컴퓨터 권한 부여, 감사 활동, 물품의 폐기, 사고보고 등에 대한 방법을 설명하는 문서화된 절차를 가지고 있다.
정책 사슬의 최저수준으로 고려되며 이는 절차가 컴퓨터와 사용자들에게 가장 근접하고 설정과 설치 논점에 대한 상세한 단계들을 제공하기 때문이다.
IT 보안 계획
일련의 다양한 통제를 식별했다면 IT 보안 계획이 만들어져야 한다.
이것은 무엇이 이루어질 것인지, 어떤 자원이 필요한지, 누가 책임을 질 것인지에 관하여 자세히 기술한 문서이다.
목표는 조직의 위험 프로파일에서 식별된 결점을 적절한 방법으로 개선하는데 필요한 행동들을 자세히 기술하는 것이다.
정보보안 계획은 전략적 계획에서 출발한다. 현업의 전략 및 정보기술 목표와 연계되어야 한다.
장기적 관점에서 수립되어야 하며 향후 몇 년간 회사가 처하게 될 기술적 환경에 대한 이해가 필요하다.
주기적으로 최소 1년에 한 번씩 검토되어야 하고 추가적으로 인수합병, 아웃소싱 등 변화가 발생할 때마다 검토되어야 한다.
정보 보안전문가의 역할
조직 내 정보보호를 위한 촉진자로서 역할을 수행해야 한다.
활용할 수 있는 자원이 제한되어 있고, 업무수행을 위해 조직 내 다른 부서/직원에게 의존해야 하는 것이 현실이다.
· 정보보안 활동을 위한 예산 확보
정보보안 예산에는 헬프 데스크, 개발, 인프라 예산 등이 포함
응용프로그램 구축 후 보안기능 추가 시에는 보통 10배 이상의 비용이 소요됨을 인지
· 타 부서와 협력하여 정책, 절차, 기준선, 표준, 지침을 개발
· 보안인식 프로그램 개발 및 제공
보안인식 프로그램이 적절한 대상 인원에게 의미 있고 이해할 만한 방식으로 전달되도록 해야 한다.
· 비즈니스 목적에 대한 이해
기업과 조직의 목표, 조직이 직면한 환경(강점,약점,위협,기회 등)에 대해 이해
· 최신의 위협/취약점에 대한 인지
· 정부의 법/규정에 대한 컴플라이언스 여부 점검
· 최신 기술 습득
정보보호조직 구성원의 역할과 책임
· 최고 경영자: 정보보호를 위한 총괄책임이 있다.
· 정보시스템 정보보호 관리자: 조직의 정보보호 정책, 표준, 대책, 실무 절차를 설계, 구현, 관리, 조사할 책임이 있다.
· 데이터 관리자: 정보시스템에 저장된 데이터의 정확성과 무결성을 유지하고 데이터의 중요성 및 분류를 결정할 책임이 있다.
· 프로세스 관리자: 해당 정보시스템에 대한 조직의 정보보호 정책에 따라 적절한 보안을 보증할 책임이 있다.
· 기술지원 인력: 보안대책의 구현에 대하여 조언할 책임이 있다.
· 사용자: 조직의 정보보호 정책에 따라 수립된 절차를 준수할 책임이 있다.
· 정보시스템 감시자: 보안 목적이 적절하며 정보보호 정책, 표준, 대책, 실무 및 절차가 조직의 보안 목적에 따라 적절하게 이루어지고 있음을 독립적인 입장에서 관리자에게 보증할 책임이 있다.
전사적 보안감독 위원회
전사적 보안 감독 위원회는 보통 Security Council이라고도 하며, 이 위원회가 다루는 주제영역으로는 비전 선언문과 미션 선언문이 있다.
비전 선언문은 비즈니스 목표를 지원하기 위해 기밀성, 무결성, 가용성에 대한 요구사항을 도출하는 것으로 이해관계자들의 지속적인 참여를 유도해야 한다.(간략, 간명, 성취가능한 상위수준의 선언문)
미션 선언문은 비전 달성을 위한 목표, 즉 로드맵이다. 미션 선언문에 포함될 수 있는 주요 내용에는 보안 프로그램 감독, 정보보호 정책 검토 및 권고, 정보보호 프로젝트의 우선순위 결정 등이 있다.
보안감독 위원회는 정책을 지원하는데 필요한 여러 부서 내 대표인 중간관리자급으로 구성된다.
보안활동을 지속적으로 조직전체에 인식시키는 역할을 수행하고, 회의주기는 조직문화에 따라 달라질 수 있다.
인적 자원 보안
고용과정에서의 보안
ISO 27002에서는 고용 과정의 보안 목적을 다음과 같이 열거한다.
직원, 계약 직원 및 제3사용자들이 그들의 책임을 이해하고, 그들에게 적합한 역할을 고려하며 절도, 사기 또는 시설물의 오용 위험성을 줄이도록 보장하기 위함이다.
- 배경 검사 및 심사
보안 측면에서 고용은 관리에 많은 변화를 요구한다. 많은 사람들은 지원자가 이력서에 근거 없는 주장으로 내용을 부풀리는 경우가 증가함을 지적한다.
배경조사를 함으로써 위험을 완화하고 충분한 능력을 갖춘 직원이 고용되었다는 확신을 제공할 수 있다.
- 레퍼런스 체크(Reference check)
지원자의 경력, 능력, 팀워크, 리더십 등을 조사하는 것은 일반적으로 지원자가 제공한 정보 및 인터뷰할 때의 관찰을 기반으로 한다.
- 고용협정
계약서에는 기밀 및 비누설 동의가 포함되어야 한다.
직원과 맺은 기밀유지협약(NDA)은 조직의 영업비밀, 지적재산권 보호의 내용을 담고 있다.
고용기간 동안
고용기간 동안 직원 보안의 두 가지 핵심적 요소는 이해하기 쉬운 보안 정책 문서와 모든 피고용인을 위한 지속적인 인식 및 훈련 프로그램이다.
보안 정책이 공정하고 일관되게 집행하는 것에 추가하여 직원 보안을 지키기 위해 따라야 할 원칙이 있다.
· least privilege: 각 사람에게 작업을 수행하는데 필요한 최소한의 접근을 부여한다.
· duty separation: 부적절한 사용을 검사하는 사람들의 임무 또한 그러한 부적절한 사용을 하지 못하도록 주도면밀하게 직무 분할하는 것이다. 동일한 사람에게 모든 보안 기능과 책임이 머무르게 하는 것은 위험하다.
· 핵심 직원에 대한 제한된 의존: 조직 내에서 어느 누구도 대체 불가해서는 안 된다. 조직이 어떤 핵심 직원의 지속적인 능력에 의존한다면 그 조직은 위험하다.
- 직무순환(Job Rotation)
직무순환은 한 직원이 오랫동안 같은 직무를 수행함으로써 발생할 수 있는 부정의 가능성을 예방하고, 전임 직원의 부정이나 실수를 후임 직원이 발견할 수 있도록 하는 예방과 탐지 목적의 인적 통제를 말한다.
직무분리를 하는 이유는 한 사람이 특정 프로세스의 모든 단계를 수행할 권한이나 시스템 보안 전반에 절대적인 권한을 가지지 않게 하기 위함이다.
인원부족으로 직무분리가 어려운 소규모 조직의 경우는 부서장의 감독과 제3자의 감사 추적 검토를 통해 위험을 감소시킬 수 있다.
- 강제휴가(Mandatory Vacation)
직무순환과 유사한 효과를 가진다. 1~2주 정도의 기간동안 직원을 강제 휴가 보낸 후 해당 직원의 업무에 대해 감사 또는 검증을 수행한다.
직원의 직무수행 결과를 검토하여 부정을 발견하기 위한 탐지통제이다.
고용종료
ISO 27002에서는 고용의 종료에 관하여 다음과 같은 보안 목적을 나열한다. 피고용인, 계약 직원 및 제3사용자들은 질서 있게 조직을 나가거나 고용상태를 변경시켜야 하며, 모든 장비의 반납과 모든 접근 권리의 제거가 완료되는 것을 보장해야 한다.
종료 절차는 복잡하여 조직의 성질, 조직에서의 피고용인 상태, 떠나는 이유에 의존한다.
· 모든 허가된 접근 목록에서 고용 종료된 사람의 이름을 제거하기
· 후임 피고용인에 대한 특별 허가 없이는 전직 피고용인이 건물 안으로 들어오는 것이 허용되지 않음을 경비원에게 명시적으로 알리기
· 모든 개인적 접근 코드를 제거하기
· 적절하다면 잠금 장치 조합을 바꾸고 접근 카드 시스템을 재프로그래밍하고 물리적인 잠금 장치를 새로 바꾸기
- 퇴직
우호적인 퇴직: 회사와 직원 모두 퇴직에 동의한 경우이며 HR 부서에서는 퇴직 직원이 회사의 자원을 모두 반납했는지, 퇴직 직원의 회사에 모든 접근권한이 제거되었는지를 확인한다.
적대적인 퇴직: 해고당한 경우로서 시스템의 특수권한을 보유한 직원이 퇴직하는 경우 회사는 큰 위험을 안게 된다. 해고 직원에게 해고 사실을 알리기 전에 접근권한을 즉시 삭제해야 한다.