- 출처 : 그림으로 배우는 보안 구조
3. 정보보안 감사제도에 의한 보안 수준의 향상
실무 기준이 되는 정보보안 관리기준
- 정보보안 수준을 향상시키기 위헤서는 국제 표준을 준수하는 것뿐만 아니라 보안감사를 실시하는 것도 효과가 있다.
- 감사를 통해 제3자 시각에서 자기 조직의 관리가 어느정도 수준을 충족하는지 확인할 수 있다.
- 그러나 감사를 하기 위해서라도 기준이 필요하다.
- 그레서 "정보보안 관리기준", "정보보안 감사기준"을 만듬
- 정보보안 관리기준
- 관리자가 실무에서 수행하는 실천적인 규범
- 조직의 정보자산 보호와 관련하여 우수한 사례들을 모아놓았으며, 관리기준과 관리 대책기준으로 구성
- 관리기준
- 정보보안을 실시함에 있어서 어떤 점을 주의하여 관리하면 좋은 것인지, 그 실행과 관련된 사항을 정리한 것으로 원칙적으로는 해당하는 모든 것을 실시해야 한다.
- 관리대책기준
- 정보보안 관리를 확립하는 단계에서 어떤 관리대책을 수립하면 좋은 것인지, 그 선택의 기준이 되는 것.
- 조직의 상황에 맞게 최적의 기준을 검토하게 된다.
감사의 기준이 되는 "정보보안 감사기준"
- 정보보안 감사기준은 감사를 하는 사람이 해야 하는 내용을 정리한 것으로, 정보보안 감사를 수행할 떄 사용된다.
- 그 목적은 "감사 업무의 품질을 확보하는 것"과 "효과적이고 효율적으로 감사를 실시하는 것"이다.
- 이 기준에 따라 감사를 실시함으로써, 2가지 효과를 기대할 수 있다.
- 즉 적절성을 보장하는 것(보증형 감사)과 개선에 도움이 되는 정확한 조언을 주는 것(조언형 감사)이다.
- 정보보안 감사의 흐름
- 감사계획 수립
- 감사 절차 실시(감사 증거의 입수와 평가)
- 감사 조서 작성 및 저장
- 적절한 감사 업무 체제의 정비
- 감사업무 관리
- 다른 전문직의 이용
- 감사 보고서 작성
- 보증 전망
- 조언 의견
- 감사 결과 후속처리(Follow up)
Point
- 조직의 정보보안 성숙도에 따라 관리 방법 관련 기준을 선택하고 감사를 실시하고 있다.
- 정보보안 감사 기준에 의해 감사 품질의 확보와 효율적인 감사를 할 수 있다.
4. 최후의 보루는 '사람'
정보보안 교육의 필요성과 SNS시대에 요구되는 내용
- 정보보안에 대해서 암호화나 인증, 방화벽 설치 등 기술적인 대책을 실시하여도, 그것을 사용하는 사람이 올바른 행동을 취하지 않으면 안전을 지킬 수 없다.
- 대응 하는 방법을 몰라서 문제가 발생할 수도 있지만, 단순한 분실이나 중요사항을 잊고 있거나, 메일을 잘못 보내는 등 휴먼 에러(Human error)를 줄일 수 있는 대책도 요구되고 있다.
- 또한 스마트폰의 보급과 SNS의 등장으로 최신 정보를 신속하게 입수할 수 있을 뿐만 아니라, 많은 사람들이 쉽게 정보를 발신할 수도 있게 되었다.
- 이러한 현상은 유용한 반면, 정보의 유출이나 저작권 침해 등의 위험이 증가하고 있다는 사실을 이해하고 있어야 한다.
- 그래서 직원들에 대한 정보보안 교육으 필수가 되었다.
- 새로운 공격 기법이 속속 등장하고 있으므로 회사에 입사할 때 실시하는 교육뿐만 아니라 정기적으로 정보 보안 교육을 실시할 필요가 있다.
사람이 문제가 되는 보안 위험
- 사회공학
- 엘리베이터에서 대화, 뒤에서 훔쳐듣기
- 휴지통에서 정보 유출 등
- 분실, 도난
- 지하철 선반에 물건을 두었다가 잃어 버리는 등
- 잘못된 조작
- 메일을 잘못 보냄, 파일의 공유 설정을 잘 못하는 등
- SNS에 게시
- 부적절한 내용물의 게시 등
정보보안 교육의 실시 방법
- 기업에서 주로 이용하는 정보보안 교육방법은 e-러닝과 집합교육이다.
- e-러닝
- PC등으로 교육 콘텐츠를 제공하는 방식으로 업무시간에 국한되지 않고 직원 개개인이 비어있는 시간에 교육을 받을 수 있다.
- 온라인으로 테스트를 실시하기 때문에 테스트 결과를 쉽게 관리할 수 있지만, 다른 사람을 사칭한 수강이나, 시험결과를 부정하게 입수할 가능성이 있고, 수강생의 이해도를 제대로 파악할 수 없다는 문제점도 있다.
- 집합교육
- 수강생들에게 적합한 다양항 교육 방법을 사용할 수 있으며, 출석 상황을 바로 확인할 수 있어 특정인을 사칭한 수강이 어렵다.
- 그러나 업무 중에 전원을 동시에 집합시키는 것은 쉽지 않으며, 강사를 확보해야 하므로 교육 관련 비용이 발생한다.
Point
- 사람이 문제가 되는 경우 기술적인 대책으로는 막을 수 없으므로 정보보안 교육을 정기적으로 실시하는 노력이 필요하다.
- 정보보안 교육을 실시하는 방법에는 e-러닝 이나 집합교육 방법이 있으며, 각각의 장점과 단점을 고려해서 실시해야 한다.
5. 인시던트에 대한 초기 대응(CSIRT, SOC)
인시던트에 대응하는 조직 체제
- 아직까지도 보안은 비용이라는 인식이 경영자들에게는 많으며, 보안 담당자 역할은 본연의 업무를 수행하면서 겸임하는 경우가 적지 않았다.
- 본연의 업무를 수행하면서 틈틈히 작업을 하기 때문에 보안 관련 업무는 후 순위로 쳐지는 경우도 있다.
- 그러나 인시던트(Incident, 보안 관련 사건)에 의해 기업이 받게 되는 영향이 커지게 되면서, 기업에서도 감시 체제를 강화하고 원인을 분석하여 영향이 미치는 범위를 특정하는 등의 역할을 수행하는 전문 부서를 두게 되었다.
- 컴퓨터 보안 관련 조직으로는 CSIRT(Computer Security Incident Response Team)라는 명칭이 자주 사용되고 있다.
- 또한 로그를 모니터링하고 문제를 발견하는 조직으로 SOC(Security Operation Center)가 설치되는 경우도 있다.
CSIRT와 SOC의 구성 및 대응 내용
- CSIRT는 Computer Security Incident Response Team의 약자로 컴퓨터보안사건 대응팀이라는 뜻으로 의역가능
- CSIRT는 전담 부서를 둘 필요는 없으며, 각 부서에 포함된 인원으로 구성하는 사례도 흔히 볼 수 있다.
- 자사 내 구성할 수 없는 경우는 외부에 위탁하기도 한다.
- CSIRT는 사건이 발생했을 때 신속한 의사 결정이 필요하다.
- 유사시 신속한 대응을 하려면 사전 대책으로 공격 여부를 찾기 위한 준비가 필요하며, 사건이 발생했을 떄 신속한 대응을 위한 훈련도 필요하다.
- 예를 들어, 정보 유출 사건이 발생했을 때 초기 대응 지연으로 정보공개 타이밍을 잃게되면 기업이 받게 되는 피해(Damage)는 크게 달라진다.
- 이와 같이 인시던트 관리는 사건이 발생했을 경우 뿐만 아니라 사전 대책과 사건이 마무리된 후의 사후 대응도 필요
- 조직에서 CSIRT를 구축하는 것은 사내의 정보공유뿐만 아니라 다른 업체와의 정보연계를 원할하게 하는 중요한 역할을 담당하기 때문
Point
- 사건에 대응하기 위해 CSIRT를 구성하는 기업이 늘어나고 있다.
개발 글 싸개