정보 보안 실무 06 정보보호 보호대책 및 보안 전략 수립

정보 보안 실무 06 정보보호 보호대책 및 보안 전략 수립

정보 보호 전략

1. 위험 처리 전략

정보보호 전략

지난 시간까지 위험을 식별하고 이를 평가하는 방법을 배웠습니다. 이렇게 도출된 위험에 대해 조직은 다양한 방법을 통해 조직에 악영향을 주는 위험을 관리할 수 있습니다. 이를 위험 처리 전략이라 하며, 위험 감소, 위험 수용, 위험 회피, 위험 전가의 네 가지 방법이 있습니다. 식별된 고 위험군 들을 관리하기 위한, 보다 자세한 위 험처리 전략에 대해 살펴보겠습니다.

먼저 위험 감소는 위험을 줄일 수 있는 보호대책을 수립하여 적용하는 방법입니다. 바로 각 위험에 맞는 적절한 통제항목을 선택하고 이를 이행하여 DoA 이하로 위험 수치를 감소시키는 것입니다. DoA는 수용 가능한 위험을 말하는데, 앞서 배운 위험분석 및 평가를 통해 도출된 위험을 조직에서는 관리하게 됩니다. 앞서 배운 위험관리의 핵심이 되는 부분입니다. 조직에서 결정한 DoA 수치 이하로 위험을 낮추기 위해 다양한 보안통제를 적용하게 됩니다.

또한 위험으로 조직이 입을 수 있는 손실 처리 비용이 적용되는 보안통제의 방법에 투자되는 비용보다 더 큰 경우 위험 감소를 적용할 것입니다.

예를 들어보면, 회사에 월 1회 주기적으로 발생하는 시스템 장애가 있음을 발견했습니다. 장애의 원인을 분석해보니, 시스템을 운영하기 위해 필요한 장비의 일부가 노후화되어 일정 기간 이상 가동이 되지 않는 부분을 확인하였습니다. 이 회사는 이 장애로 인해 월 1억 원 이상의 손실을 보고 있었습니다. 장비 교체에 필요한 비용은 약 5억 원이 발생하는 것을 확인하였습니다.

이 조직은 어떠한 선택을 하는 것이 바람직할까요? 그렇습니다. 매월 1억 원 이상의 손실이 발생한다면, 5개월 이상 방치될 경우 장비 교체에 필요한 투자 비용을 넘어서게 됩니다. 사업의 연속성을 위해 반드시 교체해야 하는 요소가 될 것입니다. 이러한 선택을 하는 것이 바로 위험 감소 전략입니다.

보다 명확한 정의를 내려보면 위험 감소 전략은 고 위험에 대해 보안 대책을 적용함으로써 그 수치를 낮추는 방법입니다. 크게 기술적인 통제와 관리적인 통제로 나눌 수 있으며, 기술적인 통제는 시스템의 암호 정책 적용과 같은, 사용자의 의지와는 관계없이 시스템의 설정을 통해 강제화 할 수 있을 경우를 말합니다. 이와 같은 기술적인 통제는 반드시 지켜질 수 밖에 없는 특성이 존재합니다. 따라서 이러한 통제를 적용하면 위험이 0으로 감소하는 경향이 있습니다. 관리적인 통제는 보안 인식 제고를 통한 보안 사고 위협 확률 감소와 정보 보호 관리 체계를 수립, 이행하여 일련의 보안 활동을 통해 조직이 보안 활동을 함으로서 위험 수치를 낮추는 방법이 있습니다. 그러나 이는 사람이 수행하는 일이기 때문에 반드시 지켜질 수 밖에 없는 통제는 사실상 불가능합니다. 그러므로 기술적 통제와는 달리 위험이 다소 감소하지만 0으로 감소하지는 않습니다.

이와 관련된 내용은 뒤쪽의 보호 대책 수립에서 다시 언급될 것입니다.

가령 예를 들어 네트워크 시스템의 패스워드가 약해 쉽게 탈취될 위험이 존재한다고 가정하겠습니다. 이러한 경우 기술적인 통제를 통해 패스워드를 복잡하게 설정할 수 있도록 패스워드 길이 및 만료 일자 지정 등의 정책을 지정함으로써 위험 수치를 0으로 낮출 수 있습니다. 그러나 이 시스템이 패스워드 복잡성을 설정할 수 있는 기능을 지원하지 않는다면 어떻게 해야 할까요? 이러한 경우는 관리자가 패스워드 설정 시 조직의 정책 지침을 준수하여 8자리 이상의 특수 문자를 혼합하여 설정하는 방법과, 주기적으로 이를 변경해주는 등 관리적인 차원으로 통제를 수행할 수 있습니다. 이토록 관리적인 통제를 적용하느냐, 기술적인 통제를 적용하느냐는 조직이 나아가려는 방향이나, 또는 처해있는 환경에 따라 적절히 분배하는 것이 좋습니다.

위험 수용은 위험이 발생될 경우 손실에 대해 감수하고 위험을 관리하는 방법입니다. 예를 들어 조직에 1만원의 가치를 지닌 3등급 자산이 보관 창고에 있다고 가정하겠습니다. 위험 평가 결과 이 자산은 손실되더라도 큰 피해를 끼치지 못하는 저위험으로 나타났습니다. 그러나 이 자산을 지키기 위해 인가받은 자만 접근할 수 있도록 출입 통제 솔루션을 설치하여 위험도를 낮출 경우

어떤 일이 발생할까요?

이 출입 통제 솔루션은 자산의 가치인 만 원보다 훨씬 값비싼 비용 투자를 필요로 합니다. ‘자산의 가치보다 훨씬 고비용의 투자를 할 필요가 있느냐’라는 질문에는 생각을 한번 해 봐야 할 문제죠. 왜냐하면 경영층은 투자 대비 효율이 낮은 경우에 지지하지 않을 것이기 때문입니다. 우선은 내가 담당자라고 할지라도 쉽게 납득하긴 어려운 방법입니다.

이렇듯 보호 대책의 비용이 손실 처리 비용보다 더 큰 경우 위험 수용이라는 전략을 택할 수 있습니다.

위험 회피 전략은 위험을 발생시키는 요인인 자체를 제거함으로써 위험을 피할 수 있습니다. 예를 들어 우리 조직이 온·오프라인으로 쇼핑몰을 서비스하는 것으로 가정하겠습니다. 온라인 쇼핑몰을 운영하며 해킹 피해로 인해 수십억의 손실을 감당해야 하는 상황이발생할 수 있습니다. 하지만 온라인 쇼핑몰이 없더라도 오프라인을 통해 충분한 수익을 얻고 있으며, 온라인 쇼핑몰을 운영치 않더라도 커다란 수익의 손실이 없다고 한다면, 오히려 쇼핑몰을 포기하는 편이 손실을 줄이는 방법이 될 수 있습니다. 이런 경우 위험의 회피 전략을 세울 수 있습니다. 그러나 위험 회피 전략은 이처럼 핵심 프로세스나 정보 자산이 아닌 경우에만 적용할 수 있습니다. 여기서 핵심 서비스인 오프라인 서비스를, 여러 가지 보안 위험 요소로 인해 포기라는 회피 전략을 세우기는 어렵기 때문입니다.

마지막으로 위험 전가는 위험 발생 요소를 제3자에게 넘기는 방법입니다. 예를 들면 해킹이나 도난 사고를 대비해 보험에 가입하는 것입니다. 이런 경우 사고가 발생하더라도 그 비용이 보험사를 통해 지급되기 때문에 위험 발생에 대한 처리 비용이 낮아지게 됩니다. 또는 사무실에 중요한 등급의 서버가 존재한다고 하겠습니다.

자체적인 물리 통제 구역을 별도로 세우기에는 많은 투자가 필요할 것입니다. 그래서 IDC, 즉 인터넷 데이터 센터와 코로케이션 협의를 맺어 안전한 위치를 제공 받아 서비스를 지속할 수 있습니다.

이런 경우 물리적인 보안 위험을 인터넷 데이터 센터에서 어느 정도 차단해 줄 것입니다. 이를 위험 전가 라고 합니다.

이것은 전가 비용보다 손실 처리 비용이 더 클 경우 위험 전가 라는 전략을 택할 수 있습니다.

이렇게 해서 4가지 위험 처리 전략에 대해 알아보았습니다. 결과적으로 이야기하고자 하는 것은 식별된 모든 위험 군을 조치하기에는 인력과 비용 그리고 시간이 많이 들어가기 때문에 보다 효과적으로 적은 투자에 적절한 결과를 얻을 수 있도록 각각의 위험 별로 적합한 전략을 세워야 한다는 것입니다. 보안 활동 또한 경영의 일부입니다. 따라서 경영진의 관심과 투자를 이끌기 위해서는 투자 대비 효과가 좋은 정보보호 전략을 세울 수 있어야 함이 다시금 강조됩니다.

2. 보호 대책 수립

위험관리 전략을 결정하면 다음으로 보호대책을 수립하게 됩니다. 보호대책은 위험별로 각기 다른 대책이 나올 수 있으며 이를 위해 보호대책의 도출방법과 속성에 대해 알아보겠습니다.

보호 대책은 도출된 위험 분석 결과를 바탕으로 가상의 시나리오를 작성하고 그 결과를 관찰하여 가장 적합한 보호대책을 도출합니다. 그 후 도출된 보호대책을 실제로 적용하기 위한 기간을 단기, 중장기로 산정하여 구분하고 이 중 기간이 오래 걸리는 중장기에 대한 정보보호 계획을 별도로 모아, 보안 마스터 플랜을 세우고 더욱 체계적인 위험관리를 하게 됩니다.

위험을 분석하고, 이러한 위험을 해결하기 위한 보호대책을 도출하는 과정을 일반적으로 ‘과제도출’ 이라는 용어를 함께 사용합니다.

말 그대로 위험을 해결하기 위한 과제를 도출하는 것입니다.  우리가 식별해 낸 위험은 즉각적으로 해결할 수 있는 것들일 수도 있고, 상당한 기간을 들여 단계적으로 해결해야 하는 위험일 수도 있습니다. 이렇게 도출된 위험을 해결하기 위한 과제들이라고 생각하시면 접근하기 보다 용이해집니다. 보호대책은 3가지 속성이 있습니다. 자산과 위협과의 관계, 취약성과의 관계, 위협과의 관계입니다.

하나씩 살펴볼까요?

첫째로 보호대책을 수립하는데 있어 자산과 위협과의 관계를 살펴보는 이유는 간단합니다. 이 속성은 보호 대책은 자산을 현존하는 위협으로부터 보호한다는 의미입니다. 자산의 가치와 위협의 빈도, 취약점의 영향 등을 고려하여 위험을 평가한 것을 알 수 있는데요. 자산 자체에 통제를 적용할 수 있는 요소들을 고려해야 합니다. 예를 들어, 자산의 안정적인 운영을 보장하기 위해 동일한 기능을

수행하는 자산을 추가 구성함으로써, 만약에 발생할 수 있는 위험에 즉각 대응할 수 있는 보호 대책이 될 수 있습니다.

두 번째로 취약성과의 관계입니다. 취약성과의 관계는 보호 대책이 증가할수록 취약성은 감소하지만 대응책 자체도 취약성을 가지기 때문에 취약성은 결코 ‘0’이 될 수 없다는 것입니다. 그렇다면 왜 ‘0’이 될 수 없을까요? 그것은 두 가지 관점에서 볼 수 있습니다.

보안 대응책을 수립하고 관리하는 것은 사람이기 때문입니다. 컴퓨터와 기계라면 항상 똑같은 값이 들어가면 같은 결과를 불러옵니다. 그러나 사람은 때에 따라선 같은 일에 대해서 전혀 다른 결과를 가져올 수도 있습니다. 또한 보호 대책 그 자체가 완전무결하기는 쉽지 않습니다. 그래서 취약성이 ‘0’이 될 수가 없습니다.

마지막으로 위협과의 관계입니다. 보호 대책은 위협의 발생으로 인한 피해를 감소 시키기도 하지만 유형에 따라선 위협의 주기도 감소 시킬 수 있습니다. 가령 예를 들어 내부 직원의 실수로 인한 정보 노출 사고를 방지하기 위한 대책으로서 지속적인 정보보호 교육을 통해 인식을 제고 시킵니다. 이는 교육을 통해 의도치 않거나 실수할 수 있는 정보노출 행위를 감소시킬 수 있기 때문입니다.

보호대책의 선정 시에는 다음과 같은 사항들을 고려해야 합니다.

첫 번째로 시간적인 제약입니다. 관리를 위하여 허용하는 기간 내에 이루어질 수 있도록 수립해야 합니다. 즉, 주요 자산이 장기간 위험에 노출되지 않도록 적절한 시간 내 이루어져야 합니다. 위험에 노출되는 시간이 길어질수록 위험이 발생할 가능성이 높아지기 때문입니다.

두 번째로 재정적인 제약입니다. 보호 대책의 구현에 필요한 비용이 자산의 가치보다 높아서는 안 된다는 제약입니다. 이는 앞서 설명했던 위험 관리 전략과 동일합니다.

세 번째로 기술적인 제약입니다. 프로그램 및 H/W의 호환성 기술구현 용이성과 같은 기술적인 문제를 고려해야 합니다. 이 역시 고려되지 않을 경우 비용의 증가와 관련이 있습니다.

네 번째로 사회적 제약입니다.

조직의 목표와 업무 특성 등 조직의 사회적 환경을 고려한 보호대책이 나와야 합니다. 보호대책의 실현과 관리는 조직의 임직원이 이행합니다. 직원들의 이해가 없이는 성공적인 보호대책을 적용하기는 어렵습니다. 모든 대책은 이론으로 그칠게 아니라 현실적으로 실현 가능하도록 세울 필요가 있습니다.

다섯째로 법적인 제약입니다. 관련 법규는 사회적 책임을 지는 최소한의 이행 규범입니다.

갈수록 많은 사고가 발생할수록 그에 맞게 정보보호에 관련된 법률이 강화되고 있으며, 이를 어길 경우에 대한 책임 소재가 강해지고 있습니다. 따라서 법규에 대한 제약을 만족하는 정보 보호 대책을 마련해야 합니다.

3. 위험 요소 점검 및 개선 대책 마련

위험 요소 점검 및 개선 대책 마련은 다음의 방법으로 합니다. 그럼 각각의 카드를 클릭해 뒤집어 보세요.

먼저, 위험 요소를 제거하거나 최소화할 수 있는 대처 방안을 마련합니다. 조직에 발생 가능한 위험이 반드시 통제를 적용해야 하는 요소를 위험 처리 전략에서 충분히 고민한 후, 가능한 발생 가능성이 낮은 수준의 위험까지 대응할 수 있도록 계획하는 것이 좋습니다.

물론 앞서 언급된 다양한 제약 사항이 존재함을 인식하고, 점진적으로 위험 수준을 더욱 낮추고 관리해 나가는 자세가 필요합니다.

그리고 위험 요소 해결을 위해 유사 사례에 대한 벤치 마킹 등을 수행합니다. 이미 동일한 위험을 가지고 있는 조직에서 충분히 고민하고 성공적으로 위험을 해결하고 관리한 사례가 존재한다면, 해당 사례를 충분히 분석하여 조직에 도입할 수가 있습니다. 이미 검증된

위험 요소 해결 방법은 또 다른 위험 부담을 줄일 수 있는 효과적인 방법입니다. 충분한 사전 조사와 벤치 마킹으로 보다 효율적으로 정보보호 활동을 할 수 있도록 노력해야 합니다. 또한, 정보보호 담당자, 보안 담당자 등 각 담당자들이 취약 사항을 시정하기 위해 취해야 할 조치 사항과 책임 사항은 물론, 위험 조치 계획을 세웠으나, 해당 계획을 실행할 명확한 주체가 존재하지 않는다면 그 계획은 원활하게 수행되기 어렵습니다. 취약요소를 시정하기 위한 명확한 방법을 숙지하고, 책임성 있게 수행할 수 있는 수행주체를 지정하는 것도 매우 중요한 요소입니다.

위험 요소 점검 및 개선을 위한 총괄 계획표를 마련합니다. 위험을 해결하기 위해서 다양한 대책이 고려되어야 하고, 또 적용되어야 합니다. 이러한 개선대책은 철저한 계획하에 우선순위를 선정하여 수행 되어져야 합니다. 당장 언제든지 발생 가능한 위험을 제쳐주고, 2~3년내 한 두번 발생 가능성이 있는 위험을 조치하는 것은 무의미하기 때문입니다.

보안 전략 수립

1. 마스터 플랜

보안전략 수립

정보보호 전략을 수립하였다면 수립된 전략을 어떻게 성공적으로 이행할 것인지를 고민해야 합니다. 마스터 플랜이란 조직의 정보보호 전략을 효과적으로 지원하기 위한 보안전략 및 비전을 정의하고 비즈니스 및 정보기술에 대한 현황과 요구사항을 분석하여 과제 도출 및 로드맵(Road-map)을 수립하는 활동을 의미합니다. 따라서 마스터 플랜은 운영전략을 수립 후 이행이 가능한 수준까지 기능적/기술적 요건을 상세히 기술하고, 구축 전략 및 이행 계획을 포함해야 합니다.

각 단계를 하나씩 살펴볼까요?

먼저 운영전략 수립 단계에서는 조직의 정보보호 수준 향상을 위한 전반적인 운영전략을 수립하게 됩니다.

예를 들어 정보보호 관리 체계를 처음 도입하는 조직인 경우로 하여 단기, 중기, 장기로 나누어 보겠습니다. 단기로는 정보보호 정책 지침의 수립 및 재개정과 정보보호 조직의 구성, 교육 훈련, 취약점 조치 등을 수행하는 정보보호 관리 체계의 수립 또는 재정립단계와 중기로는 수립 및 재정립된 관리 체계에 대한 이행을 위해 정책 지침을 실제 이행하고, 정보보호 프로세스를 확립하는 정보보호 관리 활동 이행 단계, 장기로는 이행 후 발견된 문제점 등을 발견하고 조치하여 더욱 높은 단계의 적용을 위한 정보보호 관리 체계 고도화 단계로, 총 3단계의 운영 전략을 수립할 수가 있습니다.

이러한 정보보호 운영 전략을 수립하고 각 단계를 진행하여 최종적으로는 정보보호 수준을 높이고, 대외 신뢰도를 강화하는 등의 효과를 기대할 수 있습니다.

운영전략을 수립하였다면 위험평가를 통해 식별된 관리대상 위험들을 대상으로 하여 유사한 위험이거나, 동일한 대책을 적용하여 해결이 가능한 위험들을 그룹화하여 과제를 도출합니다. 그 후 영역 별로 분리하여 정보보호 이슈를 개선하기 위한 추진 과제들을 도출하게 됩니다. 간단한 예를 들어 서버 시스템의 패스워드가 쉬운 패스워드로 설정된 취약점과 서버 시스템에 패스워드 정책 설정이 되어 있지 않은 취약점이 있다고 한다면 모두 쉬운 패스워드를 사용하고 있거나, 사용할 가능성이 있어 비인가자가 패스워드를 유추하여 시스템에 접근이 가능한 위험이 발생할 수 있습니다. 이처럼 비슷한 위험은 그에 대한 대책도 비슷하게

적용할 수 있습니다. 취약한 패스워드를 사용할 수 없도록 강력한 패스워드 정책을 적용시키는 대책을 적용시킬 수 있기 때문이죠.

따라서 중복되는 위험 또는 위험 시나리오들에 대해 그룹화를 하게 되면 중복되는 위험들에 대해 더욱 쉽게 관리할 수 있습니다.

추진과제 도출이 완료되면 과제 중에서도 우선적으로 수행이 되어야 할 과제를 선별하게 됩니다. 어떠한 기준으로 평가하느냐에 따라 과제들에 대한 우선순위는 달라지며, 이는 조직의 특성에 영향을 받을 수 있습니다.

보시는 것처럼 긴급성과 중요도, 타 Task 간의 관계를 고려해 우선순위를 도출하며 긴급하고 중요도가 높을수록 타 Task 간의 의존성이 클수록 우선순위가 높게 할당되어 가장 먼저 대책을 적용시킬 과제가 되게 됩니다. 따라서 의존성은 낮아야 합니다.

즉, 독립성이 강할수록 타 Task에 대한 고려사항이 단순해지기 때문에 조치하기도 편리하기 때문입니다.

과제의 우선순위 도출이 되었다면 이 순서에 따라 과제를 어떻게 이행할 건지, 보다 상세한 계획을 세워야 합니다. 이 단계를 이행방안 수립 단계라 합니다. 이행방안 수립 단계에서는 과제에 대한 설명과 세부내용, 선행관계, 예상 기간, 예상 투입 인원과 기대효과 등을 자세히 그리게 됩니다.

업무와 일정을 정리한 차트인 WBS가 좋은 예라 볼 수 있습니다.