정보 보안 실무 09 KISA-ISMS를 기준으로 한 관리보안 개요 및 대책-1

정보 보안 실무 09 KISA-ISMS를 기준으로 한 관리보안 개요 및 대책-1

Today’s Hot Issue! 정보 보안 Issue 사항들을 알아볼까요?

2015년 이슈로 떠오르는 5대 보안 위협과 이슈들을 각각 살펴 볼까요?

우선 안랩이 예상했던 5대 보안 위협입니다. 첫 번째로 모바일/PC에서 강력한 금융 보안위협 등장이 있습니다. 모바일 금융 서비스는 단순 뱅킹에서 모바일 결제 서비스로 그 영역과 규모가 크게 확장되고 있습니다. 이러한 성장을 반영한 악성코드들이 지속적으로 발견되고 있습니다. 두 번째, 공격 대상 별 맞춤 악성코드 유포와 동작 방식의 진화가 있습니다. 과거와는 달리, 특정 목표만을 공략하는

타겟형 악성코드의 증가와 그에 걸맞게 유포 및 동작방식도 진화하고 있습니다.

세 번째로, POS 시스템 보안 문제가 대두되고 있습니다. 작년 미국에서는 대형유통업체의 POS 시스템 해킹이 발생해 천문학적인 숫자의 개인 금융정보가 유출된 사례가 있습니다.

앞으로 보다 강력한 방식의 공격이 계속될 것으로 예상됩니다. 네 번째로, 오픈소스 취약점 및 정보 유출 악화가 있습니다. 2014년에는하트블리드나 쉘쇼크와 같은 오픈소스 취약점이 연이어 공개되었는데요, 이 취약점들은 새롭게 발견된 것이라기 보다는 오랜 기간 잠재된 문제점이 구체적으로 악용되기 시작한 사례라 볼 수 있습니다. 올해도 이러한 추세가 계속 될 것으로 예상 됩니다.

그리고 마지막으로, IoT보안 위협에 대한 사회적 관심도 증가를 들 수 있습니다. IoT 관련 기기의 다양한 종류와 성능으로 인해 기존 보안 기술을 동일하게 적용하기 어려워질 수 있고, 따라서 새로운 공격을 대비해야 합니다.

그럼, 5대 보안 이슈는 어떤 것이 있을까요?

첫 번째로 이스트 소프트에서도 안랩과 마찬가지로 사물인터넷(IoT) 관련 산업의 발전에 따른 공격대상과 공격방법의 다양화를 주요 이슈로 예상했습니다. 두 번째로 랜섬웨어의 고도화 및 피해 확산이 있습니다. 랜섬웨어는 최근 동양권을 공략하는 공격이 등장하는 등 점점 다양화 되고 있습니다. 이에 따른 대비책이 중요해지는 시점입니다.

세 번째는 악성코드 제작 효율성의 극대화입니다. 공격자가 원하는 형태로 맞춤형 악성코드 제작이 가능한 악성코드 제작도구의 수요가 증가하고 있습니다. 따라서 다양한 형태의 공격시도가 다양한 곳에서부터 생겨 날 수 있습니다. 네 번째는 윈도우XP 취약점을 악용하는 공격의 지속이 예상됩니다. XP 지원이 중단 된지 8개월이 됐지만 여전히 호환성과 비용 등의 문제로 XP를 사용하고 있는 곳이 많습니다. 따라서 알려진 취약점 공격에여전히 무방비한 곳이 많습니다.

그리고, 마지막 다섯 번째로는 모바일 금융결제 시장의 확대와 새로운 위협의 출현, 앞서 안랩의 5대 보안 위협에서도 보았듯이, 새로운 모바일 금융결제 서비스가 활성화되면 해당 서비스 사용자들을 노린 공격 또한 함께 발생할 가능성이 높습니다. 이런 보안 위협과 보안 이슈 등과 관련해, KISA의 ISMS를 기준으로 한 관리적 보안 방법을 살펴봅시다.

정보보호 관리 과정 요구 사항

1. 개요

정보보호 관리과정 요구사항

정보보호 관리과정은 정보보호 관리체계 인증 심사 시 요구되는 필수항목으로서, 조직 내·외부 위협 요소의 변화 또는 새로운 취약성 발견 등에 대응하기 위하여 지속적으로 유지·관리되는 순환 주기의 형태를 가집니다. 즉, 정보보호 정책 수립 및 범위설정, 경영진 책임 및 조직구성, 위험관리, 정보보호 대책 구현, 사후관리의 순으로 순환됩니다. 버튼을 클릭하여 정보보호 관리과정의 구체적인 요구사항 개요를 확인해 보세요.

2. 정보보호 정책 수립 및 범위 설정

정보보호 관리체계 구축은 수행조직의 단일 업무가 아닌 전사 차원의 업무이기 때문에 정보보호 관리체계 구축을 위해서는 전담 수행조직이 필요합니다. 수행조직은 타 부서와의 협업이 필요하며, 정보보호 관리체계의 범위에는 사업과 관련된 임직원, 정보 시스템,정보, 시설 등 유·무형의 핵심자산이 누락 없이 포함되어야 합니다. 이때 주요 내용을 포함하여 명확한 문서화가 필요합니다.

정보보호 정책 수립의 관리 과정 상세내용을 보면, ‘조직이 수행하는 모든 정보보호 활동의 근거를 포함할 수

있도록 정보보호 정책을수립하고 동 정책은 국가나 관련 산업에서 정하는 정보보호 관련 법, 규제를 만족하여야 한다’고 명시되어 있습니다. 점검항목으로, ‘조직이 수행하는 모든 정보보호 활동의 근거가 될 수 있는 최상위 수준의 정보보호 정책이 있는가’와 ‘정보보호 정책은 조직이

제공하고 있는 사업 등에 관련된 정보보호 관련 법적 요구사항을 반영하여 수립하고 있는가’가 있습니다.

그럼, 범위는 어떻게 설정해야 할까요? 조직에 미치는 영향을 고려하여 중요한 업무, 서비스, 조직, 자산 등을 포함할 수 있도록 정보보호 관리체계 범위를 설정하고 범위 내 모든 자산을 식별하여 문서화하여야 합니다. 점검항목은 ‘조직의 사업에 영향을 줄 수 있는 핵심자산을 포함하도록 범위를 선정하고 있는가’와, ‘정보보호 관리체계 범위를 설명하기 위하여 주요 내용이 포함된 문서를 작성하고 있는가’가 있습니다.

3. 경영진 책임 및 조직 구성

정보보호 관리체계 수립 및 운영을 위한 정보보호 정책의 제·개정 승인 및 공표, 위험관리, 내부감사 등과 같은 중요한 사안에 대해 경영진이 참여하여 의사결정을 할 수 있도록 해야 합니다. 그러기 위해서는 경영진의 책임과 역할을 정보보호 정책에 명시해야 하고, 최고경영자는 정보보호 관리체계의 지속적인 운영이 가능하도록 조직의 규모와 업무의 중요도 등에 따라 요구되는 정보보호 조직을 구성해야 합니다.

그럼 좀 더 상세히 알아볼까요?

정보보호 관리체계 수립 및 운영 등 조직이 수행하는 정보보호 활동 전반에 경영진의

참여가 이루어질 수 있도록 보고 및 의사결정 체계를 수립해야 합니다. 점검항목은 경영진의 참여가 이루어질 수 있도록 보고 및 의사결정 등의 책임과 역할을 문서화하고 있는가와, 경영진 또는 경영진의 권한을 위임 받은 자가 정보보호 관리체계 내 중요한 활동 내용을 보고 받고 의사결정에 참여하고 있는지 여부입니다.

또한, 최고경영자는 조직의 규모, 업무 중요도 분석을 통해 정보보호 관리체계의 지속적인 운영이 가능하도록 정보보호 최고책임자, 실무조직 등 정보보호 조직을 구성하고 정보보호 관리체계 운영 활동을수행하는 데 필요한 자원을 확보해야 합니다. 점검항목을 살펴보면, 조직의 규모, 업무 중요도 등의 특성을 고려하여 정보보호 관리체계 구축·운영 활동을 지속적으로 수행할 수 있는 정보보호 조직을 구성하고 있는지, 최고경영자가 정보보호 관리체계 구축·운영에 소요되는 자원을 평가하여 필요한 예산과 인력을 승인하고 있는지 여부입니다.

4. 위험 관리

전 영역에 대한 위험식별 및 평가를 위해서는 다음의 세 가지 사항이 이루어져야 합니다. 위험관리를 위해 관리적, 기술적, 물리적, 법적 분야 등 조직 전 영역에 대한 위험식별 및 평가가 가능하도록  각 영역별 특성을 반영한 위험관리 방법을 선정하여야 하며 그 방법과 절차를 지침으로 규정해야 합니다. 또한, 위험관리 방법 및 절차에 따라 매년 일정 주기별로 위험관리계획을 보완해야 하며 정보보호 관리체계 범위 전체를 대상으로 위험식별과 평가를 수행하여 기 적용된 정보보호 대책의 실효성 검토도 함께 이루어져야 합니다.

그럼, 위험 관리는 어떻게 세워야 할까요? 조직의 정보보호 전 영역에 대한 위험식별 및 평가가 가능하도록 위험관리 방법을 선정하고 위험관리의 전문성을 보장할 수 있도록 수행인원, 기간, 대상, 방법 등을 구체적으로 포함한 위험관리계획을 사전에 수립합니다. 점검항목을 살펴보면, ‘정보보호 및 개인정보보호를 위한 관리적, 물리적, 기술적, 법적 분야 등 다양한 측면에서 발생할 수 있는 위험을 식별하고 평가할 수 있는 방법을 정의하여 문서화하고 있는가’와, ‘매년 위험관리를 수행하기 위하여 전문인력 구성, 기간, 대상, 방법, 예산 등을 구체화한 위험관리계획을 수립·이행하고 있는가’가 있습니다.

이러한 과정을 통해 세워진, 위험관리

방법 및 계획에 따라 정보보호 전 영역에 대한 위험 식별 및 평가를 연 1회 이상 수행하고 그 결과에 따라 조직에서 수용 가능한 위험수준을 설정하여 관리해야 합니다. 점검항목을 살펴보면, ‘정보보호 관리체계 범위 전 영역에 대한 위험식별 및 평가를 연 1회 이상 수행하고 있는가?’, ‘정보보호 및 개인정보보호 관련 법적 준거성 위험을 식별하고 있는가?’, ‘정보보호 관리체계 인증범위 내의

정보시스템 자산에 대해 취약점 점검을 통한 기술적 위험을 식별하고 있는가?’가 있습니다.

이어서 ‘식별된 위험에 대한 위험도를 산정하고 있는가?’, ‘조직에서 수용 가능한 목표 위험수준을 정하고 그 수준을 초과하는 위험을 식별하고 있는가?’, ‘위험 식별 및

평가 결과를 정보보호 최고책임자 등 경영진이 이해하기 쉽게 작성하여 보고하고 있는가?’가 있습니다.

다음으로 위험을 수용 가능한수준으로 감소시키기 위해 정보보호 대책을 선정하고 그 보호대책의 구현 우선순위, 일정, 담당부서 및 담당자 지정, 예산 등을 포함한 이행계획을 수립하여 경영진의 승인을 받아야 합니다.

점검항목을 살펴보면, ‘식별된 위험에 대한 처리 전략을 수립하고 위험처리를 위한 정보보호 대책을 선정하고 있는가’와, ‘정보보호 대책 구현의 우선순위를 정한 후에 일정, 담당부서 및 담당자, 예산 등의 항목을 포함한 정보보호 대책 이행계획을 수립하고 정보보호 최고책임자 등 경영진의 승인을 받고 있는가’가 있습니다.

5. 정보보호 대책 구현

정보보호 대책의 구현을 위해서는 식별된 위험에 대한 위험수준 감소를 보장해야 합니다. 그러기 위해서는 정보보호 최고 책임자 등 경영진은 정보보호 대책 이행계획에 따라 빠짐없이 효과적으로 이행되었는지 여부를 검토 및 확인하고 해당 내용을 공표하고 교육해야 합니다.

하나씩 살펴보겠습니다. 정보보호 대책의 효과적인 구현을 위해서는 정보보호 대책 이행계획에 따른 정보보호 대책을

구현하고 경영진은 이행결과의 정확성 및 효과성 여부를 확인해야 합니다. 점검항목을 살펴보면, ‘정보보호 대책 이행계획에 따라 정보보호 대책을 구현하고 그 이행결과를 정보보호 최고책임자 등 경영진에게 보고하고 있는가’와, ‘정보보호 관리체계 인증기준 통제항목별로 정보보호 대책 구현 및 운영 현황을 기록한 '정보보호 대책명세서'를 작성하고 있는가’가 있습니다.

정보보호 대책을 구현하기 위해서는 내부 공유 및 교육도 필요합니다. 구현된 정보보호 대책을 실제 운영 또는 시행할 부서 및 담당자를 파악하고

관련 내용을 공유하고 교육해야 합니다. 점검항목은 구현된 정보보호 대책 운영 및 시행부서 담당자를 대상으로 관련내용 공유 및 교육을 수행하고 있는지 여부입니다.

6. 사후 관리

이번에는 사후관리로 법적 요구사항 준수 검토에 대해 알아보겠습니다. 조직이 준수해야 할 정보보호 관련 법적 요구사항을 지속적으로파악하여 최신성을 유지하고 준수여부를 지속적으로 검토해야 합니다. 점검항목은 조직이 준수해야 하는 개인정보 및 정보보호 관련 법적 요구사항의 준수여부를 최소 연 1회 이상 주기적으로 검토하고 있는지와, 조직이 준수해야 할 법적 요구사항은 최신성을

유지하고 있는지 여부입니다.

사후관리에는 정보보호 관리체계 운영현황 관리 또한 중요합니다. 정보보호 관리체계 범위 내에서 주기적 또는 상시적으로 수행해야 하는 활동을 문서화하고 그 운영현황을 지속적으로 관리해야 합니다. 점검항목은 정보보호 관리체계 운영을 위한 정보보호 활동의 수행 주기를 손쉽게 확인할 수 있도록 문서화하고 최신성 여부를 주기적으로 검토하고 있는지 여부입니다.

사후관리를 위해서는 내부감사도 중요합니다. 내부감사는 연 1회 이상 실시하며, 감사 기준, 범위, 주기, 방법 등의 구체화가 필요합니다. 내부감사를 통해 발견된 문제점에 대한 보완조치를 완료하고, 책임자 보고가 진행되어야 합니다. 또한감사인력에 대한 자격요건 정의가 필요합니다. 점검항목으로 감사기준, 범위, 주기, 감사인력 자격요건 등을 정의하고 있는지, 연 1회이상의 내부감사 계획을 수립하고 계획에 따라 내부감사를 수행하고 있는지, 보완조치 여부를 확인하여 경영진에 보고하고 있는지가

있습니다.