2021-10-28 03:55 (목)
정보 보안 초보자가 바라보는 CBK
상태바
정보 보안 초보자가 바라보는 CBK
  • 박수영
  • 승인 2011.08.02 09:18
이 기사를 공유합니다

아프니까 청춘이다

한 동안 김난도 교수님의 ‘아프니까 청춘이다’라는 책은 젊은이들뿐만 아니라 많은 이들에게 큰 인기를 누렸다. 많은 젊은이들이 이 책을 읽고 공감했다는 것은 많은 이들이 아픔 그리고 인생과 진로에 대해 고민하고 있다는 반증일 것이다. 하지만 독자들에게 묻고 싶다. 당신은 ‘청춘이니까 당연히 아픈 거구나’라고 생각하는 수동적인 청춘인가? 아니면 ‘청춘은 왜 아파야하지?’라고 물음표를 띄우며 돌파구를 찾는 능동적인 청춘인가?

필자도 청춘 안에 서있는 사람으로 이 글을 읽고 있는 이들과 돌파구를 함께 찾는 친구가 되고자 한다.

정보보안 전문가 되는 첫 걸음
현대 캐피탈 개인 정보 유출 사건, 농협 전산 마비 사건 그리고 9월에 개정되는 개인정보보호법까지 정보 보안이 화두가 되고 있는 시기이다. 정보 보안 전문가의 길을 걷고자 하지만 막연함 속에 있다면 먼저 세계 최대의 비영리 정보보안전문가 단체이자 CISSP의 관리자인 (ISC)2(International Information Systems Security Certification consortium)에서 만든 정보보안의 기본서 CBK(Common Body of Knowledge: 정보보안 지식체계)에 대해 함께 알아보도록 하자. 또한 CBK를 기초로 하는 CISSP(Certified Information System Security Professional: 국제공인 정보시스템 보안 전문가)자격증에도 관심을 가졌으면 한다.  
 

정보 보안과 위험관리(Information Security and Risk Management)
CBK에서는 기업 및 공공기관의 정보 보안에 대해 10가지의 도메인으로 소개하고 있다이 글에서 첫 번째 도메인 정보보안과 위험관리(Information Security and Risk Management)의 정보보안에 대해 이야기 하려한다.

1. 정보보안 관리 개념
아이돌 그룹이 속해있는 엔터테인먼트 회사를 생각해 보자. 엔터테인먼트 회사의 중심 즉 자산은 아이돌 그룹이다. 아이돌 그룹의 매니저라면 매니저 자신의 노하우와 생각만으로 아이돌 그룹을 관리 할 수 있을까? 정답은 No!이다. 경영진은 매니저에게 보고 받은 아이돌 그룹의 성향 및 가능성 등의 정보를 통해 아이돌 그룹에 대한 수익목표와 투자금액을 결정할 것이고, 매니저는 엔터테인먼트 회사의 목표에 맞게 아이돌을 관리해야 할 것이다.
 

 

다시 정보 보안으로 돌아와서 기업 및 공공기관의 수익창출 및 비즈니스 전략의 원천은 정보(아이돌)이다. 정보가 해커에 의해 또는 직원의 실수로 노출되거나 도난 된다면 막대한 손해를 입을 것이다. 그러므로 정보를 관리해야 하며 전문적으로 정보를 관리하는 사람이 정보 보안 관리자(매니저)이다. 정보 보안 관리자가 IT에 국한되지 않고 기업의 전사적인 전략을 따라 정보를 관리하는 것이 정보보호 거버넌스이고 매니저가 엔터테인먼트 회사의 전략에 맞춰 아이돌을 관리하는 개념과 일치한다. 정보를 체계적이고 효과적으로 관리 하기위해서는 정보 보안의 핵심 원칙 및 정보 보안 정책이 필요하다. 
 

2. 정보 보안의 핵심 원칙
 정보 보안의 핵심 원칙은 기밀성(Confidentiality), 무결성(Integrity), 가용성(Availability) 세 가지이다.

(1) 기밀성
기밀성이란 오직 인가된 사람, 인가된 프로세스, 인가된 시스템만이 알 필요성에 근거하여 시스템에 접근해야 하다는 원칙이다. 예를 들어, 공인인증서의 경우 본인만이 접근하는 것과 같다.


(2) 무결성
무결성이란 정보가 고의적이거나, 비인가 된, 우연한 변경으로부터 보호되어야 한다는 원칙이다. 또한 완전하고 정확해야 한다. 예를 들어, 급여부서 담당자는 고의적이거나 실수로 인해 다른 직원의 월급을 변경해서는 안 되고, 직원의 급여정보 또한 중복되거나 누락 되면 안 된다.


(3) 가용성
가용성이란 사용자가 정보를 필요로 하는 시점에 접근 가능해야 한다는 원칙을 말한다. 예를 들어, 화재 발생 시 데이터 관리자가 당일의 데이터를 다른 곳에 위치한 데이터 센터로 긴급히 백업 할 수 있는 것이다.

하지만, 기밀성, 무결성, 가용성이 별 개의 원칙은 아니라 서로 유기적으로 연관되어있다.
 

3. 정보 보안 정책

보안 정책이 세워진 목적은 기업의 기밀 정보 및 자산을 보호하기 위함이다. 보안 정책은 정보 보안 관리자가 개발하지만 경영진의 역할이 더 중요하다고 할 수 있다. 이유는 경영진의 승인으로 시작하여 비즈니스 요구사항을 포함하고 직원들에게 공표하는 전반적인 책임 및 리더십을 요구하기 때문이다.

보안 정책은 IT분야의 직원들만의 문제가 아니라는 것을 인식해야 한다. 모든 직원들이 이해 할 수 있도록 쉬워야하며 법적 책임을 다루어야 하기 때문에 명확해야 한다. 변화하는 위기 상황에 따라 주기적 검토와 업데이트가 필요하다.

경영진의 참여와 리더십으로 정보 보안 정책이 올바르게 세워졌다면 그 다음은 정보 보안의 조직화 단계이다.
 

4. 정보보안의 조직 구조


 


그 동안 정보보안을 IT 문제로만 인식하고 관리 해왔다. 또한 회사의 경영목표 달성에 중점을 두는 측면이 강한 CIO에게 정보 보안 관련사항을 보고 했다. 하지만 최근 현대 캐피탈 고객 정보 유출 사건 및 농협 전산망 마비 사건으로 정보 보안의 중요성이 인식되고 있다.

정보 보안 부서를 위험관리 부서로 신설하고 기업 전체적 문제로 인식되고 있는 것이다. 또한 보안 투자에 중심에 두는 CISO와 기존 CIO의 역할을 분리하는 추세를 보이고 있다.

기억해야 할 부분은 경영진이 정보시스템 관련 위험을 이해하고 정보 자산 보호에 대한 전반적인 책임을 진다는 부분이다. 하지만 일반 직원들도 정책 및 절차를 이해하고 자신의 직무에 적용해야 한다.

탄탄한 조직구조를 바탕으로 전사적 정보 보안을 시행하려면 무엇이 필요 할까? 정보 보안 원칙 및 정책이 효과를 보기 위해서는 모든 직원들의 학습과 훈련이 필요하다.
 

5. 보안 인식 교육

보안 인식 교육 또한 경영진의 참여가 필요하다. 회사의 자산을 보호하는 것은 모든 직원의 책임임으로 모든 직원이 보안 인식 교육에 임해야 한다. 보안 인식 교육도 다른 분야 교육과 다르지 않다. 정보 보안이 무엇인지에 대해 인지하는 것부터 시작하여 나아가 어떻게 대처 할 것이며 왜 해야 하는지 통찰력을 갖게 되기까지 지속적으로 교육하며 이해도를 퀴즈를 통해 확인한다.

CBK의 첫 번째 도메인 ‘정보 보안과 위험관리’에서 정보 보안에 대해서 알아보았다. 정보 보안 관리는 기업의 가장 중요한 자산인 정보를 관리하는 것이고 정보 보안의 핵심은 원칙은 기밀성, 무결성, 가용성이며, 기업 전체적이고 전사적으로 경영진의 적극적 참여 아래 정보 보안 관리가 되어야 함을 기억하자.

다음 회에는 한정된 자원을 가지고 기업이 정보 보안을 하기위하여 위험을 어떻게 식별하여 대비하고 관리하는지에 대한 위험관리에 대해 알아보도록 하자.