자산 보호 수준의 결정

자산 보호 수준의 결정

 

자산 보호를 위한 기초적인 업무로는 인벤토리 관리, 형상 관리, 자산 관리가 있다. 인벤토리 관리는 조직이 보유한 자산의 목록을 작성하고 유지하는 활동에 기초한다. 형상 관리는 자산의 버전에 따른 구성 및 특성에 대한 정보를 관리하는 것이다. 자산 관리는 자산을 획득할 때의 투자 타당성 분석, 운영 및 유지할 때의 유지 관리 실무, 폐기할 때의 폐기 실무 등을 포함한다. 자산 보안이 비용 대비 편익을 일정 수준 이상으로 유지될 수 있도록 등급별 보안 기준선을 수립하고 적용하는 것이 바람직하다. 자산 보호 대책은 목적 및 특성에 따라 유형을 분류할 수 있다.

 

1. 자산 보안의 기초 실무

자산 보안 실무의 출발은 인벤토리 관리인데 인벤토리는 일종의 자산 목록으로 이해할 수 있다. 하드웨어 및 소프트웨어의 형상이란 버전(또는 기준선)별 자산의 구성과 특성에 관한 기록이다. 인벤토리 관리는 각 자산을 빠짐 없이 식별하여 목록화하고 각 자산의 관리 주체 및 존재 위치 등을 기록하는 데 초점을 둔다. 이에 비해 형상 관리는 각 자산의 버전 정보 관리에 초점을 맞춘다. 동일한 유형의 자산이라도 버전에 따라 구성, 기능, 특성, 보안 요구사항이 다를 수 있기 때문이다. 한편, 협의의 자산 관리는 자산 획득과 관련한 비용 대비 편익을 고려하는 투자 결정에 초점을 맞춘다. 이에 비해 광의의 자산 관리는 자산의 획득, 운용, 유지보수, 폐기 등 전체 수명주기 관리를 포괄한다.

① 자산 보안의 기초는 인벤토리 관리, 형상 관리, 자산 관리다.
② 이러한 행정적(administrative) 통제가 자산의 수명 주기 전체에 걸쳐 기본으로 적용되는 토대 위에 적절한 보안 대책이 적용되어야 자산 보안의 효과가 극대화된다.

인벤토리 관리
① 인벤토리(Inventory): 조직이 보유한 자산 항목 전체 또는 자산 항목을 열거한 목록
② 인벤토리 관리: 조직이 보유한 정보 자산을 빠짐 없이 식별하고 각 자산 항목의 일련번호, 명칭, 존재 위치 등의 정보를 체계적으로 관리하는 것으로서 자산 보안의 기초다.

형상 관리
① 형상(Configuration, 구성): 정보 자산의 구조, 배치(layout), 부품 구성 등을 통칭한다.
② 하드웨어 및 소프트웨어에 대한 일반적인 형상 관리 절차는 다음과 같다.

형상 항목 식별(Identify)
• 형상 관리 대상 자산 및 각 자산의 형상 항목을 선정한다.
• 형상 및 변경 관리의 기준을 제시하고 관리 책임을 수립한다.

형상 상태 기록·보고(Record & Report)
• 주기적으로 형상 기준선의 최신 상태를 추적한다.
• 주기적으로 형상 상태 보고서를 작성하여 제출한다.

형상 항목 검증·감사(Verification & Audit)
• 형상 관리 절차의 적정성과 기준선의 무결성을 검증한다.
• 형상 기록이 완전하고 정확한지 지속적으로 검토한다.

IT 자산 관리
① 협의: 자산의 획득과 관련된 재무적 타당성, 계약 절차, 라이선스 등을 관리하는 활동
② 광의: 수명 주기 전체에 걸쳐 IT 자산을 물리적 및 기술적으로 관리하는 활동까지 포함
③ 전사적으로 형상 관리 데이터베이스를 구축하여 자산의 인벤토리, 형상 정보(버전, 릴리즈 포함), 사고 및 오류 이력 등을 유지하면 IT 자산을 효과적으로 관리할 수 있다.

 

2. 등급별 보안 대책의 수립

보안 기준선은 특정 보안 레벨 또는 등급에 요구되는 최소한의 보안 수준 및 이를 달성하기 위한 보안 대책의 집합이다. 예를 들어, 국방부에 납품하는 네트워크 장비가 보안 1등급이 요구된다면 이는 일종의 보안 기준선이 될 수 있다. 보안 기준선은 분야별(공공, 민간, 공공 등) 및 산업별 보안 전문기관에서 수립하는 것이 일반적이다. 따라서 전문기관별로 보안 기준선의 분류 체계와 기준선 별 보안 요구사항이 각각 다를 수 있다. 그러므로 보안 관리자는 어떤 보안 기준선을 준수해야 하는지를 엄밀히 판단하고 이에 따라 적정한 보안 수준을 유지해야 한다.

보안 기준선의 활용
① 보안 기준선(Security Baseline): 특정한 보안 레벨에 요구되는 일련의 보안 목적 또는 그러한 목적들을 달성하는 데 필요한 최소한의(일반적인) 보안 대책
예) 이미지 적용(Imaging): 이미지는 일종의 기준선으로서 시스템 보안을 위해 제안된 설정값(configuration setting)을 가리킨다. 시스템 관리자는 이미지를 시스템에 이미지를 적용하므로써 일정 수준의 시스템 성능과 보안을 동시에 달성할 수 있다.
② 전문 기관에서 발표한 보안 기준선을 참조하면 보안 대책 결정 과정이 빨라진다.
예) NIST SP 800-53은 미연방 정부기관이 적용할 수 있는 보안 기준선을 제시한다.
③ 범위 조정 및 맞춤화: 보안 기준선에 제시된 모든 보안 통제를 적용하는 것이 현실적이지 않다면, 실정을 감안하여 적용 범위를 결정하고(scoping) 맞춤화하는 것이 필요하다.
예) 다국적 기업의 본사에서 제시한 보안 기준선을 각국 지사에서 적용할 때 현지 기술 환경 및 법규 현황과 맞지 않는 부분은 제외하거나 수정한다.
④ 관련 표준 준수: 보안 기준선에 포함된 보안 통제를 적용할 때는 관련 표준을 준수해야 한다.
예) 신용카드 회사라면 PCI-DSS나 프라이버시 보호 관련법 등을 준수해야 할 수 있다.

보안 대책의 선정
① 보안 관리자는 경영진의 지원을 받아 각 보안 등급에 요구되는 보안 대책을 결정한다.
☞ 보안 등급이 높을 수록 해당 정보 자산의 가치와 리스크도 높아지므로 더 강력하고 더 많은 투자가 필요한 보안 대책을 적용한다.
② 각각의 보안 목적에 부합하는 보안 대책을 선정하되 특정한 목적이 간과되거나 지나치게 강조되지 않도록 균형을 유지해야 한다.
예) 기밀성: 암호화 기법, VPN(가상사설망), 사용자 인증, 접근 통제 절차, 보안 인식 교육
     무결성: 접근 통제 절차, 직무 분리, 확인 및 편집, 타임 스탬프 비교, 해시값 비교, 
     가용성: 시스템 이중화, 데이터 백업, 비즈니스 연속성 및 재해 복구 계획(BCP/DRP)
③ 행정적 통제, 기술적 통제, 물리적 통제를 결합하는 것이 효과적이다.
예) 행정적 통제: 직무 분리, 보안 인식 교육, 백업 및 복구 절차, 주기적 검토
     기술적 통제: 암호화, 생체 인식 인증, 접근 통제 소프트웨어, 방화벽, IDS/IPS
     물리적 통제: 담장, 바리케이드, 자물쇠, 조명, CCTV, 경비원, 경비견, 스프링클러
④ 정보 자산의 수명 주기 전체에 걸쳐 보안 대책이 적용되도록 유의한다.
⑤ 보안 대책이 상호 보완하거나 중복되면서 발생하는 종합적인 효과를 감안한다.