정보 보안 실무 03 정보 자산 식별과 평가 분석 방안

정보 보안 실무 03 정보 자산 식별과 평가 분석 방안

정보 자산의 식별

1. 정보 자산 관리의 개요

정보자산의 식별

정보자산을 식별하고 자산목록 작성을 위하여 사용되는 몇 가지 주요 용어에 대해 알아보겠습니다. 먼저 자산은 기업의 정보, 소프트웨어, 물리적 자산, 서비스, 인력 등 조직에서 보유한 가치 있는 모든 것을 말합니다. 사용자는 정보처리 설비 및 시스템을 활용하여 자산을 실질적으로 사용하는 사람, 혹은 기관을 말합니다. 소유자는 자산의 소유 권한과 관리에 대한 최종 책임을 지며, 자산의 취득, 사용 허가, 처분 또는 폐기 등의 관리 권한을 가진 사람을 뜻합니다. 마지막으로 관리자는 자산의 소유자로부터 관리 위임을 받은 자로서 자산의 보관 및 운영 관리의 책임을 가진 사람을 뜻합니다.

자산 관리를 위한 자산 관리 절차에 대해 알아보겠습니다. 조직에서 보유하고 있는 다양하고 방대한 자산을 체계적이고 효율적으로 관리하기 위해서는 자산의 도입, 변경, 폐기되는 과정, 즉 자산의 생명 주기에 따라 관리되어야 합니다. 자산을 관리하기 위해 방침을 세우고 일련의 절차를 거치는데, 각 절차에서의 주요 활동을 위한 일정 기준과 원칙을 정하는 것이 요구됩니다. 일반적으로 자산 관리 프로세스에는 자산의 관리 정책 수립, 자산의 조사 및 식별, 자산의 분류 및 등록, 자산의 가치 평가, 자산의 변경 관리 등 5개의

단계가 있는데, 각 단계마다 다양한 활동과 업무 수행이 요구됩니다.

2. 자산의 관리 정책 수립

그럼 자산 관리 프로세스에 대해 구체적으로 알아보겠습니다. 먼저, 자산을 체계적이고 효율적으로 관리하기 위해 정책을 수립합니다. 구체적으로 살펴보면, 첫째, 보호해야 할 대상을 선별하는 것이 중요한데, 이를 위해서는 자산을 어떠한 유형으로 어떻게 분류해야 하는지를 우선적으로 정의하고, 각 자산에 대한 취급 및 관리기준을 수립해야 합니다. 또한 지침에 의거하여 자산의 관리 계획을 수립하고 시행해야 합니다. 둘째, 자산의 관리를 위해 자산의 책임이 있는 소유자는 자산 관리자의 책임과 역할을 정의하여야 하며,

자산 관리자와 담당자를 지정하여 자산에 대한 관리 권한을 위임할 수 있습니다. 그리고 자산의 등록, 변경, 폐기 등 생명 주기에 따라 자산이 관리될 수 있도록 절차와 방법을 수립하여야 합니다. 셋째, 자산을 체계적으로 관리하기 위해서는 자산을 유형별로 구분하기 위해 일관된 자산분류 기준을 마련하고, 역시 자산의 신규 도입, 변경, 폐기 등 자산의 생명주기에 따라 자산을 취급하기 위한 절차와 방법을 정의해야 합니다. 마지막으로 식별된 자산의 중요도 평가를 위해 평가 요소를 도출하고 평가 원칙과 절차를 정의해야 하며, 자산의 가치에 따라 관리하기 위한 자산의 가치 등급 부여 기준을 수립합니다.

3. 자산의 조사 및 식별

자산 식별에 대해 알아볼까요? 수 많은 기업들이 보안활동을 하는 가장 큰 목적은 자사가 보유한 중요자산을 보호하는 것입니다. 이를 위해서 자산의 식별과 평가가 필요한 것이며 위험을 분석하기 위해서는 먼저 무엇을 보호해야 할지 식별하기 위해 자산목록을 작성해야 합니다. 자산은 그 수나 종류가 다양하기 때문에, 적절한 분류기준을 정의하고 이에 따라 구분하여 파악하여 자산의 중복이나 누락 문제를 최소화해서 자산을 식별하여 자산목록을 작성해야 합니다.

자산을 식별할 때 그 대상이 되는 것들에는 무엇이 있을까요?  일반적으로 정보자산과 관련 있는 모든 것을 대상이라고 할 수 있는데요. 전자정보, 문서, 소프트웨어, 시설, 하드웨어, 지원설비, 인력 등이 있습니다. 기관 혹은 기업에서 식별되어야 하는 자산의 유형과 종류는 다소 차이가 있을 수 있습니다. 예를 들어, 조직이IT자산에 의존하여 사업을 진행하고 있다면 회사에서 중점으로 식별되어야 할 자산은 서버나 네트워크장비, 애플리케이션 등으로 집중될 것입니다. 하지만 설계도면 등 문서화되어 있는 자산이 훨씬 중요한 제조업이나 엔지니어링 분야의 경우 IT자산보다는 출력물이나 PC 등에 저장되어 있는 문서파일 등이 더 중요한 자산이 될 것입니다. 그렇다면 지식 기반의 사업을 영위하는 교육기관이나 로펌, 컨설팅펌 등은 어떤 유형의 자산이 중점으로 식별될까요? 바로 전문가들, 인력이 되겠지요. 대부분의 조직이 유사한 형태의 정보자산을 보유하고 있으나, 위에서 언급한 것처럼 중점으로 식별되고 관리되어야 할 자산의 유형은 다소 차이가 있을 수 있음을 분명히 인지하셔야 합니다.

4. 자산의 분류 및 등록

자산의 분류 기준에 대해 알아봅시다. 자산은 크게 유형 자산과 무형 자산으로 나누어 볼 수 있습니다. 유형의 자산으로는 시스템 자산과 인력, 물리적 자산이 있으며, 무형의 자산으로는 데이터와 소프트웨어로 일반적으로 분류합니다. 하지만 정보자산 중에서 문서, 시설, 지원설비, 인력의 경우 조직의 업무상 이들의 중요도가 낮아 보안상 큰 영향을 미치지 않거나 위험분석을 IT 시스템 중심으로 수행하는 경우에는 세부 목록을 작성하지 않을 수도 있습니다.

자산 분류 기준에 대해 자세히 알아보겠습니다. 전자정보는 전자적 형태로 저장되는 데이터로 문서 파일, 데이터 파일, 데이터 베이스 내 데이터가 있습니다. 문서는 종이 매체로 된 정보자산으로 업무에 사용하거나 산출되는 문서나 기록물을 말합니다. 보고서, 계약서, 매뉴얼, 각종 대장 등이 있습니다. 소프트웨어는 상용 또는 자체 개발된 소프트카피나 하드카피로 보관 중인 각종 소프트웨어 자산을

말하며 네트워크 장비, 통신 회선 등이 있습니다. 시설은 시스템을 설치, 운영하는 장소를 의미하며, 물리적 공간 및 각종 부대시설을 말합니다. 건물, 사무실, 데이터 센터 등이 있습니다.

지원설비는 전력공급, 환기시설, 방재 시설 등 정보 시스템 운영을 지원하기 위한 설비를 말하는 것으로 항온·항습기, UPS, 공조장비 등이 있습니다. 인력은 소유자, 사용자, 운영자, 개발자 등 시스템 운영 및 업무 수행 중인 모든 인력을 말합니다. 내부직원,협력업체가 있습니다. 하드웨어에는 서버, 개인용 컴퓨터, 네트워크 장비가 있습니다. 서버는 대내외 서비스 및 업무를 위해 사용되는 서버 자산으로 유닉스 서버, 윈도우 서버 등이 있습니다. 개인용 컴퓨터는 임직원이 사용하는 개인 컴퓨터로 PC, 노트북, 이동형

단말기 등이 있습니다. 네트워크 장비는 네트워크와 관련된 장비로  라우터, 스위치, 허브 등을 말합니다.

분류 기준을 표로 다시 한번 정리해 보았으니 참고하세요.

자산 식별 및 자산 목록 작성 시 유의 사항에 대해 알아보겠습니다. 첫째, 위험 관리단계에서 분류하는 자산 목록은 조직 전체적으로 관리하는 자산 목록과 별도로 구분할 필요는 없습니다. 둘째, 자산의 목록을 작성할 때 반드시 명시해야 할 것들이 있습니다. 자산 유형, 자산 또는 자산 그룹을 식별하기 위한 식별 번호, 자산명, 자산의 설명, 소유자, 중요도 산정들입니다. 마지막으로 분석이나 진단 시

활용하기 위한 서버, 응용 프로그램, OS명 등과 같은 추가 정보를 포함해야 합니다. 이렇게 작성된 자산목록은 조직에서 자산을 효과적으로 운용하고 효율적으로 관리하기 위해 활용됩니다. 큰 조직일수록 관리 되어지는 자산의 수, 유형이 상당히 많습니다. 쉽게 생각하면, 항상 사용 되어지고 육안으로 식별 가능한 자산을 굳이 목록화 하여 관리할 필요가 있을까 싶기도 한데요. 이렇게 생각해볼 수 있습니다. 하나의 정보자산을 관리하던 담당자가 있었는데, 돌연 개인사정으로 퇴사를 하게 되었습니다. 자산목록이 관리되고

있지 않았다면, 퇴사한 직원이 담당하고 있던 자산은 관리되지 않고 방치될 위험에 놓이게 됩니다. 따라서, 자산목록에 반드시 포함되어야 할 항목들을 충분히 기록하고, 주기적으로 갱신되어 최신 데이터로 유지되어야만 합니다.

이번에는 자산 목록표를 한번 살펴볼까요? 해당 자산목록은 예시로서, 자산목록에 구성되어 있는 각 항목은 조직의 규모와 환경, 그리고 상황에 따라 차이가 있습니다. 조직의 필요에 의하여 추가적인 항목을 구성하여 자산정보를 수집할 수 있으니 꼭 예시로 든 자산목록 구성에 맞추지 않도록 합니다. 자산목록 작성은 위험 분석의 첫 단계이며, 가장 기본적인 단계이므로, 각 자산에 대하여 누락된 정보 없이 많은 정보를 담아야 합니다.

정보 자산의 평가 분석

1. 자산의 가치 평가

정보자산의 평가분석

정보자산의 평가분석에 대해 알아보겠습니다. 먼저 자산 중요도를 평가하기 위한 등급 선정 기준에는 어떤 것들이 있는지 살펴볼까요? 식별된 자산의 중요도를 산정하고 등급을 선정하는 기준에는 기밀성, 무결성, 가용성, 위험 발생 가능성, 침해 사고 발생 시 피해 규모 그리고 장애 복구를 위한 목표 시간이 있습니다.

식별된 자산에 대해 침해 사고가 발생한 경우, 그 영향을 기밀성, 무결성, 가용성 측면에서 파악하여 자산의 중요도를 산정합니다.

추가적으로 조직의 특성에 따라 비즈니스와 서비스에 영향을 주는 정도를 고려하여 장애복구 목표 시간, 법적 준거성 등의 가치 평가 항목을 포함할 수 있습니다.

자산 중요도 평가 기준의 세부 사항을 알아보겠습니다. 먼저 기밀성이란 인가된 사람만이 정보자산에 접근할 수 있도록 보장해야 하는 특성을 말합니다. 중요도는 높음, 중간, 낮음의 세 등급으로 나눌 수 있으며 조직의 내/외부 공개 범위에 따라 사업 진행에 미치는 영향의 정도로 중요도가 평가됩니다. 높음으로 평가되는 경우는 조직 내 허가 받은 사람만 열람 가능하며 외부에 공개되면 사업에 피해를 주는 정도를 말하며, 중간은 조직 내에서는 공개 가능하나 외부에 공개하면 문제를 발생시키는 정도를 말하며, 낮음은 외부에

공개되어도 사업 진행에 미치는 영향이 줄어드는 정도를 나타냅니다.

기밀성의 정의와 기밀성을 고려한 중요도 산정기준에 대해 알아보았는데요. 실제로는 여러 가치평가 기준에 의해 평가되어야 보다 객관적인 평가결과가 나오겠지만, 기밀성 기준의 평가방법을 알아보기 위해 간단하게 기밀성만을 생각하여 자산을 평가해보도록 할까요? 앞서 배운 정보자산의 분류 기준에서 기밀성의 영향을

가장 많이 받는 자산이 무엇일까요? 실질적인 정보를 담고 있는 문서나 전자정보와 같은 자산이 될 것입니다. 회사의 중요한 경영내역이 담긴 회계장부의 경우 조직 내 특별히 허가된 사람만이 열람이 가능하고, 외부에 공개될 경우 조직 사업에 큰 피해를 줄 수 있으므로 '회계장부'는 기밀성에 따라 중요도가 높은 자산으로 평가 될 수 있습니다.

다음은 무결성에 대해 알아봅시다. 무결성이란 정보자산 내의 정보 및 처리 방법의 정확성, 안전성을 보호해야 하는 특성을 의미합니다.

중요도는 고의적으로 또는 우연히 변경되는 경우 개인 프라이버시나 조직의 사업 진행에 미치는 영향에 따라 중요도가 평가됩니다.  

세 등급으로 나타내며 높음 등급으로 평가되는 경우는 자산에 변경이 있는 경우 개인 프라이버시나 조직의 사업 진행에 치명적인 영향을 줄 수 있는 수준이며 아래로 갈수록 그 영향이 줄어듭니다. 그럼 이번에는 무결성을 기준으로 하여 자산을 평가해보도록 할까요? 이번에는 조직이 무결성 침해로 많은 피해를 입는 자산을 기준으로 해보겠습니다. 대표적인 자산이 바로 '홈페이지'입니다. 해킹기술이 발달하면서 외부로 노출되어 있는 홈페이지를 공격하여 정보를 탈취하거나, 홈페이지 내 기재되어 있는 정보를 변조하여

기업의 이미지를 실추시키고, 영업활동을 방해하기도 합니다. 다음의 경우를 생각해보면, 온라인 쇼핑몰을 중심으로 사업을 영위하는 기업의 쇼핑몰 홈페이지는 무결성 기준으로 중요도를 평가해보면 어떻게 될까요? 고의적인 해킹 공격 등으로 온라인 쇼핑몰이 변조되어, 다른 상품이 배송되거나 비정상적인 금액으로 결제가 이루어진다면 조직의 사업 진행에 치명적인 영향을 줄 수 있을 것입니다. 이러한 경우, 홈페이지는 중요도가 높은 자산으로 평가될 수 있겠습니다.

가용성이란 인가된 사용자가 필요한 경우 정보자산이나 관련 정보에 접근하는 것을 보장해야 하는 특성을 말합니다. 중요도를 평가할 때 서비스가 중단되는 경우 운영과 사업 진행에 미치는 영향의 정도가 산정 기준이 됩니다. 중요도는 세 등급으로 평가 되며 높음 등급으로 평가되는 경우 서비스가 중단되면 조직의 운영과 사업 진행에 치명적인 피해를 줄 수 있는 수준을 말하며 아래로 내려갈 수록 그 영향이 줄어듭니다. 이번에는 가용성을 기준으로 평가하는 방법을 예시를 통해 알아보겠습니다. 한 공장에서 동작이

멈추면 수 십억 원의 손실을 입는 제품을 생산한다고 생각해봅시다. 대표적으로 '제철소의 용광로' 등을 들 수 있겠는데요. 해당 공장의 특정 부문의 동작이 멈추게 되면 조직의 운영과 사업진행 자체에 치명적인 피해를 줄 수 있게 됩니다. 이 공장에서 동작중인 해당 장비는 가용성 측면에서 중요도가 매우 높은 자산이 됩니다.

이번에는 3개의 추가 평가 기준에서 2개를 살펴보겠습니다. 침해 사고 발생 시 피해 규모에 따라 그 중요도가 세 등급으로 평가됩니다. 중요도 산정은 핵심 정보서비스의 포함 여부와 개인정보의 노출, 경제적 손실의 정도에 따라 산정됩니다. 높음 등급으로 평가되는 경우는 핵심 정보 서비스가 중단되고 개인정보의 노출이 심한 경우이며 경제적 손실 역시 치명적인 수준을 말합니다. 중간 등급의 경우 핵심 정보 서비스가 일부 중단되고 개인정보의 노출이 있으며 경제적 손실이 일부 치명적인 수준이며 낮음 등급은 핵심 정보 서비스가 포함되지 않으며 경제적 손실 역시 경미한 수준입니다.

장애 복구를 위한 목표 시 간 역시 자산 중요도 평가 기준 중 하나로 중요도는 목표 시간에 따라 세 등급으로 평가됩니다. 목표시간이  2시간 이내일 경우 높음, 2시간에서 24시간 이내는 중간, 24시간 이상이 소요되는 경우 중요도가 낮은 것으로 분류됩니다.

장애 복구를 위해 목표시간 설정을 짧게 설정하여 운영한다는 것 자체가 곧 빠르게 장애가 처리되어야만 회사의 연속성에 문제가되지 않는다는 것을 의미합니다. 여러분이 조직의 자산을 평가하는데 무엇보다 우선시 생각해야 하는 것은 바로 ‘해당 조직이 무슨 사업을 하고 있는가?’, ‘사업의 목적은 무엇인가?’를 반드시 생각하셔야 합니다. 조직이 추구하는 목표가 곧 서비스의 중요도를, 그리고 그 서비스를 구현하고 운영하기 위한 각종 정보자산들의 가치를 반영하게 됨을 꼭 기억하시기 바랍니다.

2. 자산의 변경 관리

다음으로 자산의 변경 관리에 대해 알아보겠습니다. 자산의 변경 관리는 조직에서 수립된 자산의 관리 절차에 따라 자산의 상태를 주기적으로 모니터링하고 변경 사항에 대한 점검이 이루어져야 합니다. 이를 위해 자산 관리자는 자산 조사계획을 토대로 정기적으로 자산의 용도, 상태 등 현황을 점검하고 유지하여야 합니다. 자산의 변경 사항이 있을 경우, 해당 자산에 대해 재평가를 실시하고 자산 목록 관리대장에 변경내역을 갱신합니다. 자산이 신규로 도입되거나 정보 데이터가 생성되는 경우, 자산의 식별, 자산의 분류 및 등록, 자산의 중요도 평가, 가치 등급 부여 등의 과정을 시행하고 자산 목록 관리대장을 갱신하여 관리합니다.

자산 관리 부서는 사용하지 않는 자산에 대해서는 자산 상태를 조사하고, 운영부서 또는 관련 부서와 협의하여 처분하거나 재사용하도록 해야 합니다. 마지막으로 조직에서 수립한 자산의 관리 정책의 개선을 위해 새로운 이슈를 지속적으로 확인하고 보고가 이루어져야 합니다.

3. 자산의 중요도 산정 방법

자산의 중요도를 평가하는 구체적인 방법에 대해 알아보겠습니다. 업무용 pc자산을 기밀성, 무결성, 가용성의 기준으로 평가하고 보안 등급을 산정해 봅시다. 기밀성, 무결성, 가용성은 세 등급으로 ‘높음, 중간, 낮음’의 세 등급으로 평가합니다. 세 등급에 따라 각각 3점, 2점, 1점을 부여합니다. 세 가지 기준에 대해 점수를 부여한 다음 합산한 점수에 따라 보안 등급이 부여되는데, 가 등급은 합이 8에서 9점인 경우, 나 등급은 합이 6에서 7점인 경우 부여되며 합이 5점 이하일 때는 다 등급이 부여됩니다. 만일 가pc에 대해 기밀성 3점, 무결성 2점, 가용성 2점을 주었다면 합이 7점이므로 보안 등급은 나 등급이 부여됩니다.

자산의 중요도 평가는 3등급으로만 평가할 수 있는 것은 아닙니다. 보통 3등급 체계를 가지고 자산가치를 평가하지만 좀 더 세분화된 가치를 평가하고자 한다면 5등급 체계를 이용하여 자산의 중요도 평가를 진행해도 됩니다.