인프라 7기/정보보안거버넌스

보안 관리

킹버거 2023. 4. 25. 16:11

정보 보안에 대한 이해 

정보 보안이 하는 모든 행위는 '위험'을 '완화'시키는 것이다. 이를 '통제'라고 한다.

 

우리나라는 '보안 책임자'를 법률로 강제하지 않음.

 

정보 보호에 관한 모든 활동 및 결정은 기업의 경영진이 한다.

보안 사고가 발생한다면, 책임은 CEO에게 있다.

책임을 면피하기 위해서는 정보보안을 해야 한다. 

* CEO는 주주로부터 책임을 위임받은 사람

 

기업에서 보안 사고가 발생했을 때 경영진을 보호하기 위해 정보 보안 책임자를 고용한다.

정보 보안 책임자가 반드시 '전임'으로 있어야 한다.

겸임할 수 있는 직책: CCO (Compliance Officer, 준법감시인)

* 정보 보안 책임자 존재를 입증하는 방법: 직급이 C-Level인 사람이 정보 보안 담당자로 등록되어 있어야 한다.

정보 보안 책임자 직책에 아무나 이름만 등록해두는 것을 방지하기 위함이다.

** 이사진 급여의 최소 80% 이상을 받는 직급이 C-Level이다. 

*** 위는 법률 규정이 아닌 판례법에 의한 것이다. 

 

정보 보호 거버넌스(governance)의 5가지 성과

1) 전략 연계: 목표를 위해 사업 전략과 정보 보안은 연계되어야 함.

2) 위험 관리: 위험의 완화와 잠재적 영향의 감소를 위해 적합한 측정이 필요

3) 가치 제공: 비용 효과적인 보안 투자의 최적화

4) 자원 관리 

5) 성과 관리

6) 프로세스 통합

엥? 5가지라며 ....

 

정보 보호의 세 가지 요소

1) 기밀성 Confidentiality

2) 무결성 Integrity

3) 가용성 Availability

* 세 요소 간의 균형이 중요하다. 

* trade-off 관계(반비례 관계) : 어느 한 요소를 강하게 하면 다른 한 요소가 약해짐. 

 

접근 제어 단계

1) 식별 Identification : 자신이 누구인지 밝히는 것

                                    주장에 근거한다.

ex) 나 전지현이야. 혹은 전지현이 인스타그램 ID를 입력한다.

2) 인증 Authentication : 자신의 신원이 올바른지 증명하는 활동 또는 과정

                                      주장을 확인하는 행위 > 증명을 요구한다.

* 식별과 인증은 함께 다닌다. 

* 인증은 지식, 소유, 존재, 행위 기반의 네 가지 방식이 있으며 보통 두 가지 이상의 수단을 결합하여 사용한다.

ex) 소유 기반 인증: 전지현 주민등록증을 내민다.

      지식 기반 인증: 패스워드를 입력한다.

3) 인가/허가 Authorization : 사용자의 특정 객체에 대한 접근을 허용하는 과정 

 

위험, 위협, 취약성

위험

: 어떤 위협이 자산의 취약성을 이용하여 손실이나 손상을 야기할 수 있는 잠재성을 말한다. 

: 위협이 실제로 일어나면 위험이다.

위협

: 고의적이거나 우발적인 사건으로 발생 시에 시스템의 손상을 일으켜 기밀성, 가용성, 무결성에 손상을 가져올 수 있다.

취약성 

: 위협이 이용 가능한 시스템 상의 약점

 

표준과 가이드라인

  • 표준 Standard: 목표
  • 가이드라인 Guideline: 방법

표준과 가이드라인은 항상 같이 제공된다. 가이드라인을 따르면 표준이 지켜졌다고 본다. 

 

보안 정책

1. 보안 정책 (조직의 보안 전략)

2. 조직별 보안 정책 (부서별 보안 정책)

3. 기능별 보안 정책 (업무별 보안 정책)

BPR이 가능해야 한다. 업무를 개별적으로 분석한다. 

* BPR(business process reengineering)은 쉽게 말해 기업 내에서 이루어지는 활동과 업무 흐름 등을 분석하고 불필요한 반복 과정들을 제거하여 효율성을 높이기 위해 이를 최적화 시키는 기법

4. 표준 Standard

5. 가이드라인 Guideline

6. 절차 Procedure

 

위험 관리 프로세스

자산 식별 - 위험 분석 - 통제 개발 - 통제 적용 - 통제 평가

1. 정보 자산 식별과 가치 산정

: 정략적으로 측정한다.

: 업무 분석도 포함한다.

2. 위험 분석(RA: Risk Analysis)

3. 세이프가드(Safeguard)

: 통제 개발/적용/평가


위험에 대한 조직의 선택

1. 회피

2. 완화 : 경영자가 수용할 수 있는 수준만큼 위험을 완화

3. 전가: 통제 적용 후 남아 있는 '잔여 위험'을 인정

잔여 위험을 인정하지 않는다면, 보안 사고 발생 가능성이 없다고 보는 것이기 때문에 만약 그럼에도 보안 사고가 발생한다면 경영자가 민형사적 책임을 져야 한다.

잔여 위험을 인정한다면, 앞으로 발생할 우려가 있는 보안 사고에 대해 책임을 면피할 수 있다.

4. 수용: 통제할 수 없는 위험을 수용 ex) 자연재해

5. 제거: 위험의 원인을 제거

하지만 사실상 불가능하다. 감당할 수 없는 비용이 발생하기 때문이다. 

 

강사님 모범 답안 

 

1. 정보보호 거버넌스의 근본적인 성과에 대해서 자세히 기술하세요. 
 정보보안의 전략에서 전략적 연계는 정보보호 거버넌스의 근본적인 성과이다. 전략적 연계는 정보보호 활동이 단지 목적 없는 보호에 그치는 것이 아니라 조직의 목표에 부합하게 계획되고 구현되고 운영되고 있음을 보증한다. 

2. 보안 통제에서 표준과 가이드라인에 대해서 설명하세요
표준은 단지 보안 전략에 의해 도출된 상세화된 목표만을 의미하는 것이 아니라 구체적인 보안 통제의 목표를 의미한다. 이러한 목표는 반드시 달성돼 할 여러 시스템상의 구현 대상을 의미한다. 
가이드라인은 표준의 구현을 할수있는 구체적인 제품, 프로세서, 프레임워크를 의미하는데, 가이드라인을 사용했다는 것은 별다른 보증 절차 없이 표준이 달성되었음을 의미한다. 만일 가이드라인을 이용하지 않은 경우, 표준이 구현되었음을 별도의 보증 절차를 통해 입증해야 한다.