여기저기서 보안보안 한다고 하면서 기술적인 면에서만 접근하고 이해하는 경우가 많습니다. 그래서 종합적인 측면에서도 보안에 대한 것을 알 필요가 있다고 생각되어 글을 올립니다. 출처는 기억이 나질 않네요..

위험관리란 불확실한 사건의 피해를 식별, 통제, 최소화하는 전반적인 절차에 관계된 경영과학의 한 분야로서, 정보시스템의 위험관리는 측정/평가된 위험에 대한 보안대책을 일정 수준까지 유지/관리하는 것이다.

위험분석이란 정보시스템과 그 자산의 비밀성(confidentiality), 무결성(integrity), 가용성(avalability), 기록성(accountability)에 영향을 미칠 수 있는 다양한 위협에 대해서 정보시스템의 취약성을 인식하고, 이로 인해서 예상되는 손실을 분석하는 것으로서, 위험분석의 3대 요소는 다음과 같은 자산, 위협, 취약성이다.

(1)자산(asset)

보호해야 할 전산자원들을 식별하고 체계적으로 분류하여, 소유하고 있는 자산들의 가치를 평가하는 기본적인 단계이다. 여기서 자산이란 하드웨어, 소프트웨어, 데이터/데이타베이스, 사용자/전산요원, 시스템 관련문서, 전산자료, 저장매체, 통신망 및 관련장비, 등을 말한다.

(2)위협(threat)

위협은 자산에 해를 줄 수 있는 위험의 원천이다. 이와 같은 위협을 식별하고 분류해서, 발생빈도와 손실크기(혹은 강도(severity))를 측정하는 것을 말한다.

Loch와 Carr Warkentin(1992)는 위협을 원천(source)의 위치에 따라서 내부 및 외부(internal & external) 위협으로, 가해자(perpetator)가 누구인가에 따라서 인간 및 비인간(human & non-human) 위협으로, 또한 의도(intent)의 유무에 따라서 우연적 및 의도적(accidental & international) 위협으로 구분했다.

그리고 이와 같은 위협의 결과를 폭로, 수정, 파고, 사용거부 등 네가지로 분류했다. 위협에는 위협원천에 따라, 자연재해로 인한 위협들(화재,수재, 정전, 등), 사람에 의한 의도적 위협들(단말기, 디스켓 등의 파괴 및 절취와 같은 물리적 공격, 그리고 시스템, 자원의 불법사용, 허가되지 않은 자원의 불법접근, 타인으로 위장하여 허가되지 않은 권한사용, 바이러스, 벌레 등 유해프로그램 삽입과 같은 기술적 공격), 사람에 의한 비의도적 위협들(명령어 혹은 프로그램의 조작미숙 및 조작실수), 정보시스템의 결함(운용체제 결함, 응용프로그램의 결함, 통신 프로토콜의 결함, 통신 소프트웨어의 결함)이 있다.

(3)취약성(vulnerability)

취약성이란 정보시스템에 손해를 끼치는 원인이 될 수 있는 조직, 절차, 인력관리, 행정, 하드웨어와 소프트웨어의 약점을 뜻한다. 이와 같은 약점을 확인하고 분류하여 위협을 감소시키는 것이 취약성을 분석하는 목적이다.

취약성에는 경영적 혹은 관리적 취약성(보안관리, 인원관리, 절차상관리, 사고대책관리, 등에 대한 취약성), 논리적 혹은 기술적 취약성(하드웨어, 응용소프트웨어, 운영체계, 데이터베이스, 네트워크, 등에 대한 취약성), 물리적 취약성(출입통제, 환경관리, 등에 대한 취약성)이 있다.

1996년에 국제표준화기구(ISO : International Oraganization for Standardization) 의 ISO/IEC : (International Electrotechnical Commission) JTC1/SC27에서 '정보기술보안관리지침(GMITS : Guidelines for the Management of IT Security)'으로 위험관리에 관한 표준화를 진행시키고 있다. 위험관리는 보안관리내에 한 영역이고, 위험관리는 보안관리에서 가장 핵심적인 영역이다.

관리란 일반적으로 계획, 실행, 평가의 주기를 가지므로, 보안관리 역시 계획단계에서 보안정책의 수립 및 위험관리에 의해서 시스템에 대한 보안계획이 작성되고, 실행단계에서 보안대책을 설치하고, 평가단계에서 보안감사 및 사후관리를 하고, 다시 계획단계로 피드 백 된다. 정보시스템의 보안관리에 대한 구체적인 과정은 다음과 같이 요약 할 수 있다.

1)보안정책

조직의 전체 수준에서 운영수준까지 계층구조별로 달성해야 할 보안 목적, 목적을 달성하기 위한 방법으로서 전략, 그리고 목적을 달성하기 위한 규칙으로서 정책을 정해야 한다.

이와 같은 보안정책에는 보안에 대한 요구사항(비밀성, 무결성, 가용성 등), 조직적 하부구조와 책임부여, 명령계통 및 절차, 정보분류를 위한 등급의 정의, 위험관리전략, 비상사태계획, 보안의식 및 훈련, 법적인 규제, 사고기록 등에 관한 사항들이 포함되어야 한다.

2)보안조직의 역할과 책임

보안에 관한 명령체계와 표준을 승인하는 보안위원회(security forum)와 조직 내에 보안문제를 관리하는 보안관리자(security officer)의 책임과 의무가 명확해야 한다. 이와 같은 보안위원회의역할은 보안정책을 세우고, 이를 보안프로그램으로 실행해서, 그 효과를 검토하며, 이에 필요한 인적/물적 자원을 마련하는 것이다.

보안관리자의 책임은 보안프로그램의 실행을 감독하고, 보안에 관한 정책 및 명령체계, 보안의식 프로그램 등을 유지관리하고, 보안사고를 조사하고, 보안위원회에 제반사항을 보고하는 것이다.

3)위험분석전략의 선택

위험분석에 대한 접근방법에는 다음과 같이 네 가지 접근방법으로 구분할 수 있다.

첫째, 기본적인 접근방법(baseline approach)은 모든 조직에 대해서 기본적인 보안요구사항을 충족시키는 표준적인 보안대책의 집합을 구축하는 것이다. 기본적인 통제의 장점은 시간과 비용을 많이 들이지 않고 모든 조직에서 기본적으로 필요한 보안대책을 선택할 수 있다는 것이다. 단점은 조직의 특성을 고려하지 않았기 때문에, 조직 내에 부서별로 적정 보안수준보다도 높게 혹은 낮게, 보안 통제가 적용된다는 것이다.

둘째, 비공식적인 접근방법(informal approach)은 조직 내부에 보안전문가가 없을 때, 외부 전문가의 지식과 경험을 이용하는 것이다. 장점은 별도의 기술을 습득할 필요가 없기 때문에, 작은 조직인 경우에는 비효과적이라는 것이다. 단점은 구조화된 접근방법이 없기 때문에, 위험을 제대로 평가하기 어렵고 보안대책의 선택 및 소요비용을 합리적으로 도출하기 어렵다. 또한, 계속적으로 반복되는 보안관리의 보안감사 및 사후관리가 어렵다는 것이다.

셋째, 세밀한 위험분석(detailed risk analysis)은 자산의 식별 및 평가, 자산에 대한 위협 및 취약성 평가를 근거로 위험의 발생확률과 손실크기를 곱해서 기대손실을 가능하면 계량적으로 계산하는 것이다. 손실크기를 화폐가치로 계산할 수 없으면, 정성적인 위험분석법을 이용한다. 장점은 조직 내에 부서별로 적절한 보안수준을 마련할 수 있다는 것이다. 단점은 전문적인 지식과 시간과 노력이 많이 소요된다는 것이다.

넷째, 복합적인 접근방법(combined approach)은 기본적인 접근방법과 세밀한 위험분석의 장점을 이용하는 것이다. 즉 조직 내에 특정 부서가 높은 위험에 직면해 있거나 매우 중요한 부서인 경우에는 세밀한 위험분석을 하고, 그렇지 않은 경우에는 기본적인 접근방법을 이용한다. 장점은 보안전략을 빠르게 구축할 수 있고, 상대적으로 시간과 노력을 효율적으로 활용할 수 있다는 것이다. 단점은 두 가지 방법의 적용대상을 명확하게 설정하지 못함으로써, 자원의 낭비가 발생될 수도 있다는 것이다.

4)보안위험평가

위험관리 방법에 따라서 위험통제(위험회피, 손실방지, 손실감소) 혹은 위험재무(위험인수와 위험이전)를 하게 된다. 보안관리자는 위험통제비용과 위험재무비용을 고려해서 적절한 조합을 구해야 한다. 위험재무는 경영학적 측면으로서 위험통제로도 통제가 불가능할 때 선택하는 방법이며, 비용이 너무 많이 드는 방법이다.

위험통제는 손실을 사전에 이루어져야 한다. 여기에는 위험평가과정에서 의사결정자의 위험인식태도에 따라서 비용효과적으로 여러 가지 보안대책 중에서 최적 보안대책(safeguard)을 선택하는 단계이며, 여기서 선택해서 추진하는 비용까지 계산해야 한다.

5)시스템보안의 정책 및 계획

정보시스템의 구성을 보여주는 구성계획, 보안대책의 설치를 위한 설치계획, 시스템의 변경시 필요한 변경계획, 비상시를 대비한 비상계획 등을 작성한다. 여기서 구성계획에서는 시스템의 구성요소와 구성요소들간의 관계, 그리고 기존 보안대책의 설치현황 등이 작성되고, 설치계획에서는 새로운 보안대책의 설치에 필요한 자원, 일정 등이 작성된다. 또한, 변경계획에서는 시스템에 대한 확장, 새로운 시스템의 추가 등의 변경에 대한 계획이 작성되고, 비상계획에서는 비상사태를 대비한 계획이 작성된다

6)보안대책의 설치 및 보안의식

보안대책은 안전대책, 혹은 통제, 혹은 대응책(safeguard, or control, or countermeasure)이라고도 불리고 있다. 보안대책은 위험을 감소시키기 위한 보호조치를 의미하며, 여기에는 장치, 절차, 기법, 행위 등이 포함된다. 새로운 보안대책을 기존 시스템에 설치하고, 효과적으로 운영하기 위해서 사용자와 관리자에 대한 보안교육을 실행하여 보안의식을 제고시킨다

7)보안감사 및 사후관리

보안감사는 구축된 시스템이 효과적으로 운영되고 있는지 점검하는 활동이다. 기존 시스템의 운영상태를 파악하여 문제점을 조사해서 감사지침서를 작성하며, 이를 보안방침의 수립이나 위험관리에 반영되도록 한다

신고

댓글을 달아 주세요

  1. 2008.05.30 14:42  Comment Address  Edit/Delete  Comment Write

    비밀댓글입니다