NCS) 관리적 보안 운영

관리적 보안 운영

 기업이나 회사에서 정보는 하나의 자산으로, 변형이 되거나 외부로 유출이 되지 않아야 한다. 특히 정보에는 회사의 프로젝트 같은 운영에 직결되는 정보뿐만 아니라 회사의 서비스를 사용하는 사용자들의 개인 정보도 포함되어 있기에, 회사나 기업에서는 정보를 보호할 수 있는 계획을 수립하고 체계를 마련해야 한다.

 

• 정보 보안의 3요소
  1. 기밀성 : 인가된 사용자만 사용하도록 하는 특성 (ID/PW,권한을 통한 관리)
  2. 무결성 : 데이터의 위변조를 방지하는 특성 (Hash코드를 통한 관리)
  3. 가용성 : 시스템이 일정시간 또는 지속적으로 운영할 수 있도록 하는 특성

정보 보호 관리 체계

정보 보호 관리 체계(ISMS)란 조직의 주요 정보 자산을 보호하기 위해 정보 보호 관리 절차와 과정을 만들어서 지속적으로 관리하고 운영하기 위한 종합체계로, 기업과 조직에서 주요 정보 자산을 지속적으로 관리하고 보호하기 위해서 사용한다.

 

• 정보 보호 관리 체계 구축 과정
  1. 정보보호 정책 수립 및 범위 설정 :  정보 보호를 하기위한 정책을 만들고 보호할 정보의 범위를 결정
  2. 경영진 책임 및 조직 구성 : 정보보호의 책임을 위한 담당자, 관리자 결정 
  3. 위험 관리 : 담당자와 관리자가 정보보호에 대한 취약점과 문제점 파악 
  4. 정보보호 대책 구현 : 위험에 대한 대책 마련
  5. 사후관리 : 구현한 대책이 정확하게 이행되는지 확인 

 

정보 보호 문서 체계

 정보 보호는 회사 개인이 결정하는 것이 아닌, 나라에서 법률(정책)을 발표하면 해당 법률에 따라 회사에 맞는 지침을 만들게 된다. 그리고 해당 지침을 바탕으로 실무자들은 점검 세부 계획을 업무에 맞게 메뉴얼(절차)로 문서화하게 된다. 즉 정보 보호 문서 체계는 법률과 깊은 관련이 있으며, 정책 → 지침 → 절차 순으로 진행 된다.  

 이때, 정보보호 및 개인정보보호 관련 법률 및 규정, 가이드라인은 한국 인터넷 진흥원(KISA)을 통해 확인 할 수 있으며, 정보보안에서 기술적인 취약점들이 기제되어 있는 가이드인 주요정보통신기반시설 기술적 취약점 분석평가방법 상세 가이드를 기준으로 보안진단을 이행한다.

KISA 한국인터넷진흥원

 

정보 보호 사전 점검

 새로운 서비스나 정보통신을 구축하거나 기존의 서비스를 제공하는 경우, 해당 기업이나 회사의 요구에 맞는 정보 보호를 사전에 준비하고 시험 함으로써 수정 발생할 수 있는 보안의 위험으로부터 안전한 서비스를 구축하고 제공하기 위한 과정이다.

 

• 정보 보호 사전 사항
  1. 요구사항 정의 : 회사나 기업에서 요구하는 정보 보호 점검 내용 정의  
  2. 설계 : 요구사항에 맞춰 정보 보호 점검 설계
  3. 구현 : 설계에 따라 정보 보호 점검 구현
  4. 시험 : 구현한 정보 보호 점검을 일정한 기간동안 시험, 수정
  5. 운영 : 시험운영이 끝난 정보 보호 운영

 

침해 사고

 조직이 보유하고 있는 정보 시스템이 비인가 사용자에 의해 손상되어 기업이나 회사의 정상적인 운영 방해하거나 주요 정보가 외부로 유출되는 위험있는 사고로, 지능적으로 지속해서 다른 공격방식으로 바꿔가면서 취약점을 찾아가는 방식인 복합 구성 공격(APT)으로 인해 침해사고가 나타난다.  

 

• 침해 사고 공격유형
  1. 악성코드 공격 : 사용자의 동의없이 컴퓨터에 설치되어 사용자의 정보를 탈취하거나 컴퓨터를 오작동시키는 행위 → 프로그램 및 웹에 해당 코드를 심어 공격
  2. 서비스 거부 공격 : 시스템에 과도한 부하를 유발시켜 성능을 저하시키거나 정상적인 서비스를 차단하는 행위 → 과도한 요구 데이터를 전송해서 공격
  3. 비 인가 접근 공격 : 비 인가 사용자가 기반 시스템 및 응용 프로그램, 데이터에 논리적, 물리적으로 불법 접근하는 행위 → 관리자 권한을 습득시 사용하는 공격
  4. 복합 구성 공격(APT) : 복합적으로 공격 방식을 바꿔가면서 취약점을 찾아 공격하는 지능형 지속 위협 공격 행위로, 공격기법이 다양하지만 많은 시간이 소모된다. 

• 침해 사고 대응 절차
  1. 침해사고 대응 체계 구축 : 침해 사고 발생시, 공격 유형에 따라 침해 사고를 분류하고 분류에 따라 대응 방안 작성, 침해 사고에 대해 대응하는 조직 구성, 침해 사고에 대한 보고 방식 결정, 비상연락체계 구축 등 해당 침해사고에 대해서 대응 체계를 구축한다.
  2. 정보 침해 사고 보고 : 침해사고의 발생을 경영층에게 보고하며, 법률과 규정에 따라 관계기관에 신고한다. 만약 개인 정보 관련 침해사고일 경우, 이용자에게 반드시 신속하게 통지해야 한다. 
  3. 정보 침해 사고 복구 : 침해사고로 인해 피해받은 부분을 복구해야 한다. 
  4. 재발 방지 방안 마련 : 침해사고를 분석(포렌식)해서 해당 내용을 보고서로 작성해야 하며, 해당 침해사고에 대한 방지 대책을 마련해야 한다. 

침해사고 관계기관 종류
http://www.krcert.or.kr (한국정보보호진흥원)	민간이나 회사에서 발생한 보안 사고를 접수, 처리하는 기관
http://www.ncsc.go.kr (국가사이버안전센터)	정부 기관이나 공공 기관에서 발생한 보안 사고를 접수, 처리하는 기관

 

정보 보호 교육

 정보 보호 관련 법 준수를 위한 규정과 정책에 기반하여 교육을 설립, 수행하는 경우, 해당 정보 보호 교육은 교수체계설계모형을 바탕으로 체계적으로 구성된다. 그래서 정보 보호 정책 교육에 필요한 교육 방법을 적용시키기 위해서는 교수체계 설계 모형을 알고 있어야 한다.

 

• 교수체계설계모형(ADDIE 모형)
  • 분석(analysis) : 교육의 목적 결정
  • 설계(design) : 학습 목표, 내용 영역 설정
  • 개발(development) : 수업계획 및 학습자료 개발
  • 실행(implementation) : 실제 과정, 교육 운영
  • 평가(evaluation) : 평가 실행 및 결과보고서 작성

 

• 정보 보호 교육 수행 절차
  1. 정보 보호 교육 계획 수립 : 교육 내용과 교육 방법을 결정함으로써, 연간 정보 보호 계획을 수립한다.
  2. 정보 계획 보고 : 정보 보호 교육 계획을 보고하고 공지한다. 
  3. 정보 보호 교육 수행 : 교육 교재 작성하고 강사를 배정해서 교육을 수행한다.
  4. 평가 및 개선 대책 마련 : 교육에 대한 평가를 이행하고 교육 수행에 대한 개선 대책을 마련한다.

 

• 교육 방식 
  1. 집체 교육 : 정해진 시기, 정해진 장소에서 교육 수행
     • 장점 : 교육의 효과가 높음
     • 단점 : 시간 및 공간의 제약이 있음
  2. 온라인 교육 : 인터넷을 통한 동영상 교육 수행
     • 장점 : 시간 및 공간의 제약이 없음
     • 단점 : 교육의 효과가 낮고, 사전에 동영상 촬영이 필요
  3. 실습 교육 : 현장에서 업무를 기반으로 교육을 수행
     • 장점 : 다양한 현장 체험으로 교육의 효과가 극대화됨
     • 단점 : 많은 시간이 필요하고 교육 수행 인원에 제약이 많음

 

외부자 보안 식별

 회사나 기업을 운영하게 되면서 외부자를 통해 문제를 해결하는 경우가 많다. 그래서 외부조직의 서비스를 이용하는 경우, 외부자를 통제하기 위해서 IT 외주 용역 유형을 정의하고, 보안에 대한 요구 사항을 식별할 수 있어야 한다.

 

• IT 외주 용역 유형
  • 운영 용역 : 업무망의 네트워크 및 보안 장비를 운영, 보안
  • 유지보수용역 : 서비스나 지원 시스템을 유지, 보수
  • SI 용역 : 서비스나 지원 시스템을 개발, 구축
  • 데이터 처리 용역 : 헬프 데스크 운영 
  • 오프라인 지원 용역 : 오프라인으로 출력되는 기밀 문서나 정보를 관리, 처리
•  외부자 보안관리절차
  
  • 외부자 보안 관리 요구사항 식별 : 보안 요구 사항 항목, 정보 보호 정책, 정보 보호 실행 계획, 정보 보호 지침 등을 분석해서 외부자 보안 통제 영역을 구분해서 설정한다.
    
    • 외부자 보안통제영역
      1. 물리적 보안영역 : 접근 통제, 출입 관리 , 매체 반출입 → 출입대장, CCTV 사용, 출입 관련
      2. 기술적 보안영역 : 인증 접근 관리 , 출력물 보안 관리, 네트워크 제한 , 데이터 반출입 → 시스템 관련
      3. 관리적 보안영역 : 작업 내역(인력 배치, 인력 감사)관리 , 시스템 접근 권한 및 정보 시스템 관리에 대한 정책 수립 → 인적 관련
  • 외부자 보안관리 요구사항 승인 : 식별된 외부자 보안 요구 사항을 정리하여 외부자 보안 기준을 작성하고 해당 사항을 공지한다. 
  • 외부자 보안 요구사항 관리 : 외부자 보안 기준에 따라 외부자 출입시, 외부자에게 외부자 보안 요구 사항 수행시키고 관리한다. 
    
    • 외부자 보안 요구사항
      1. 수행 외부자에게 보안관련 서류(보안 서약서) 징구
      2. 출입증 발급
      3. 보안 교육 수행 
      4. 장비 반입시, 해당 장비에게 기술적 접근 통제 수행
  • 외부자 보안관리 내역 감사 : 외부자 보안 관리 내역의 문제점을 조사하고 해당 문제점에 대한 개선사항을 작성한다.