2021-09-28 04:25 (화)
ISMS 인증과 취약점 관리...효율적인 방안 없을까
상태바
ISMS 인증과 취약점 관리...효율적인 방안 없을까
  • 길민권
  • 승인 2014.03.28 04:15
이 기사를 공유합니다

지니온 “퀄리스가드 구축, ISMS 인증 점검 모두 지원 가능해”
최근 보안 시장의 가장 큰 화두는 역시 개인정보유출이다. 그렇다면 최근 정보보안 사고의 유형은 어떤 형태일까?
 
기술적 대응의 미흡 보다 사람, 프로세스 관리의 부재로 인한 사고가 큰 비중을 차지하고 있다. 그래서 많은 기업들이 ISMS(정보보호관리체계)를 구축하고자 한다.
 
ISMS는 2013년 2월 18일에 폐지된 정보보호안전진단 대상 업체와 정보통신서비스 매출 100억 이상 규모의 정보통신서비스업체의 경우 정보통신망법에 의해 구축을 강제하고 있다.
 
또 단편적인 보안 기술을 요구하는 것이 아니라 12개 영역 104개 통제항목에 대해 조직구성, 운영 및 대응에 대해 시스템화 하기 위한 인증 기준을 제시하고 있다. 인증 준비에는 위험평가를 하기 위한 취약점 평가가 필수적으로 포함되며 주기적인 기술적 취약점 점검과 모의해킹 등이 요구된다.
 
최근 인증 대상 업체들은 취약점 점검 솔루션이 있음에도 불구하고 ISMS 인증 기준을 충족하기 위한 별도의 취약점 점검 서비스를 컨설팅 업체를 통해 받고 있어 비용 투자에 있어 합리적이지 못하다는 지적이 나오고 있다.

 
보안컨설팅 및 취약점관리체계 구축 전문가 그룹 지니온(대표 최진규 www.zinion.co.kr) 보안 사업부 박관순 부장은 “전 세계 6700개 업체 및 포브스 글로벌 100대 기업 중 60개 이상의 기업이 사용하고 있는 ‘QualysGuard’(퀄리스가드) 취약점관리 솔루션을 이용해 국내 ISMS 인증대상 기업들이 합리적인 비용으로 인증 점검 이슈를 손쉽게 해결하고 있다”고 말했다.
 
ISMS 인증에 필요한 취약점 점검은 △시스템 구성 점검 △해킹 가능 여부를 확인할 수 있는 취약점 점검 △OWASP Top 10, 안행부 43개, 국정원 8대 항목 등의 웹 애플리케이션 취약점 점검 및 모의해킹 △DB 취약점 점검, Web서버 취약점 점검 △멀웨어 점검 등이 필수다.
 
박관순 부장은 “퀄리스가드를 통해서 취약점관리 시스템을 구축하면 인증에 필요한 점검을 모두 지원받을 수 있다”며 “또한 자동화 된 시스템은 기존 점검비용과 컨설팅비용을 줄이면서 컨설턴트가 제공하는 1회성 점검이 아닌 주기적 또는 필요 시 점검이 가능하며 이력관리가 가능한 취약점 관리 체계를 갖출 수 있다”고 강조했다.
 
또 하나의 인증 이슈인 PCI-DSS(Payment Card Industry Data Security Standard) 인증을 받아야 되는 신용카드 결제서비스 관련 업체들은 규모에 따라서 QSA(Qualified Security Assessor) 감사와 매분기 마다 ASV(Approved Scanning Vendor) 취약점 점검을 받아야 하며, 특히 ASV 점검의 경우 발견 된 취약점에 대해 모두 제거를 해야지만 인증을 받을 수 있다.
 
퀄리스가드 PCI 서비스는 ASV 뿐만 아니라 전체 PCI DSS 보고서를 관리할 수 있는 솔루션을 제공하고 해당 보고서를 요청한 은행과 연동하여 플랫폼 안에서 자동으로 보고서가 송부 될 수 있도록 하고 있다. 최근 PCI DSS 인증 시장에서 Qualys와 경쟁을 하던 맥아피의 Path defender ASV 서비스는 Qualys 사와 파트너십 계약을 통해 앞으로 자사 서비스를 퀄리스가드 PCI 서비스로 대체하기로 했다. 더 이상 PCI DSS ASV 시장에 경쟁자가 없는 구조가 된 것이다. 현재 퀄리스가드 PCI 서비스 시장 점유율은 80% 이상이며 퀄리스가드 PCI 제품은 지니온이 다수 업체에 대해 해당 업무를 지원하고 있다.
 
지니온은 국내 퀄리스가드 파트너로서 취약점 점검 및 모의해킹 전문 그룹이다. 9명의 QCS(취약점 점검 전문가)를 보유하고 있으며 다수의 대형 엔터프라이즈 취약점 관리 시스템 구축을 수행한 업체이다. 주요 사업 분야는 ISMS, ISO27001, PIMS 인증 컨설팅을 지원하며 현재 국내외 글로벌 회사에 컨설팅 프로젝트를 수행하고 있다. 또한 한국 실정에 맞는 취약점 점검 방법론을 개발하고 있으며 익스플로잇 제작 및 리버스 엔지니어링 서비스도 활발하게 고객사에 제공하고 있다.

퀄리스가드에 대한 보안 자세한 사항은 아래 링크를 통해 알 수 있다.
-www.zinion.co.kr/promotion/qualysguard.html

데일리시큐 길민권 기자 mkgil@dailysecu.com