[네트워크 보안] Chapter 09. GRC(Governance, Risk Management & Compliance)
9.1 IT GRC
거버넌스(Governace)
- 관리, 행정 통치, 지배구조를 의미하는 말
- 이해당사자들간 소통과 협력, 토론과 절차적 협의 과정
- 기업 거버넌스 : 기업 조직 내 경영진 이사회, 지배주주, 소액주주 등의 권리, 역할, 책임에 관한 내부통제 및 절차 체계
- IT 거버넌스
- IT를 사용하는 데 바람직한 행동을 장려하는 의사결정과 책임을 위한 프레임워크를 명확히 하는 것
- 핵심 IT 업무와 관련한 의사결정 권한을 규정하고 IT 투자 성과를 모니터링하기 위한 회사의 전반적인 프로세스
- 기업 거버넌스의 통합적 부분이며 조직의 전략과 목표 달성을 뒷받침하는 조직구조와 프로세스
GRC
- 기업/조직의 위험 및 규제에 대응하는 전사적이고 통합적인 체계
- 거버넌스 : 위험 및 규제 관리를 위한 모니터링에 기반하는 의사결정 및 통제 구조
- 위험관리 : 주요 위험을 식별하고 평가하는 프로세스
- 컴플라이언스 : 규제에 대응하여 위험을 최소화하기 위한 규정 및 절차. 법규 준수 / 준법 감시 / 내부 통제 등
- 기업발 금융 위기가 확산되던 2000년대 초반 거버넌스 중심에서 위험관리, 법규 준수의 중요성이 대두
- 비즈니스 결과가 개선되고 재무적인 손실이 절감
- IR-GRC는 IT가 비즈니스 목표에 맞춰 방향성을 설정하고, 발생 가능한 리스크를 효율적으로 관리하며, 규제 요구를 충족하도록 해주는 구조적 접근법으로서 기능한다
9.2 정보보안 거버넌스
1. 기업 거버넌스, IT 거버넌스와 정보보안 거버넌스
- 정보보안 거버넌스와 IT 거버넌스는 한쪽이 다른 한쪽을 포함하는 관계가 아니라, 일부 중복되지만 명확히 다른 관계가 된다
1. 개요
-
정보보안 거버넌스는 정보보안에 대한 투자 성과를 기반으로 의사 결정에 대한 권한과 책임을 정의하고, 정보보안 활동이 조직의 전략과 목표를 유지하고 향상시킬 수 있게하는 조직 구조, 프로세스, 기술이라 말할 수 있다
-
①조직 구조(Organization)
- 인적 자원, 자산, 프로세스 기술 등이 유기적으로 관계를 맺고 있다. 정보보호를 위한 조직의 전략이 기업의 목적을 달성하기 위해 고안 되어야 한다
-
②프로세스(Process)
- 프로세스는 조직의 정책과 전략에 연계되어야 하며 조직의 요구사항에 유연해야 한다
-
③기술(Technology)
- 프로세스를 보다 효율적으로 수행하기 위해서는 기술이 필요하다. 틀이나 응용 프로그램, 인프라 등으로 구성된 것이 기술이다
2. 정보보안 거버넌스 표준화
- 정보보안 거버넌스 국제 표준(ISO/IEC27014: Governance of Information security)은 정보보안 거버넌스의 개념, 원칙, 프로세스 등 전반적인 프레임워크를 제시한다
3. 정보보안 거버넌스의 주요 원칙
- 원칙 1 : 조직 전반에 걸친 정보보안을 수집한다
- 원칙 2 : 위험 기반 접근방법을 채택한다
- 원칙 3 : 투자 의사결정의 방향을 설정한다
- 원칙 4 : 내·외부 요구사항의 준수를 입증한다
- 원칙 5 : 보안에 긍정적인 환경을 조성한다
- 원칙 6 : 업무 측면에서의 결과를 고려하여 정보보안 성과를 검토한다
4. 정보보안 거버넌스 프레임워크
-
정보보안 거버넌스 프로세스의 특징
-
①지시 : 경영전략을 바탕으로 자원 투입 수준, 자원 할당, 행위의 우선 순위, 정책의 승인, 위험의 허용 및 위험 관리 계획 등을 제시
-
②모니터링 : 거버넌스 주체가 전략적 목표의 성취 여부를 확인하는 프로세스로 적절한 평가지표를 설정하여 필요한 정보를 수집
-
③평가 : 지시한 방침과 정보보안 목적 및 목표가 실현되었는지 평가하는 활동
-
④의사소통 : 경영진은 주주, 고객, 종업원, 사회 전체를 포함한 이해관계자에 대해 정보보안과 관련한 위험관리의 상황에 대해 보고
-
⑤보증 : 앞의 네 프로세스들이 적절하게 수행되고 있음을 확인하고 필요에 따라 문제의 개선을 위한 감사 활동을 수행
-
5. 구현 목표
- 비즈니스 목표달성을 지원하는 가치 전달, 정보보안과 비즈니스 전략적 연계, 정보 위험에 대한 책임성 있는 처리
6. 구축 효과
- 기업은 정보보안 거버넌스 구축을 통해 다양한 효과를 얻을 수 있을 것으로 기대
9.3 정보보안 위험 관리
1. 정보보안 위험
1. 위험(Risk)
- 위험이란 원하지 않는 사건이 발생하여 손실 또는 부정적인 영향을 미칠 가능성
위험 = f(자산, 위협, 취약점)
2. 위험의 구성 요소
가. 자산(Assets)
- 조직이 보호해야 할 대상으로서 정보, 하드웨어, 소프트웨어, 시설 등을 말하며 관련 인력, 기업 이미지 등의 무형자산을 포함
- 위험 분석을 위해 자산에 관해 파악해야 할 것은 침해사고 발생 시 나타나게 될 손실
나. 위협(Threats)
- 위협은 자산에 손실을 초래할 수 있는 원치 않는 사건의 잠재적 원인이나 행위자로 정의
- 위협에 관련하여 파악해야할 속성은 발생 가능성
- 자연재해나 장비 고장 등의 환경적 요인과 인간에 의한 위협
다. 취약점(Vulnerability)
- 자산의 잠재적 속성으로서 위협의 이용 대상으로 정의하나, 때로는 보호대책의 미비로 정의
- 자산에 취약점이 없다면 위협이 발생해도 손실이 나타나지 않는다는 점에서 취약점은 자산과 위협 사이의 관계를 맺어 주는 특정으로 파악
- 직원 부재, 인력 부족, 부적절한 유지보수 계획 등
2. 정보보안 위험 관리(Information Security Risk Management)
1. 위험 관리 개념
- 조직의 정보자산에 대한 위험을 수용할 수 있는 수준으로 유지하기 위하여 정보자산에 대한 위험을 분석하고 이러한 위험으로부터 정보자산을 보호하기 위해 비용대비 효과적인 보호대책을 마련하는 일련의 과정으로 정의하고 있다
- 정보보안 관리의 핵심은 위험 관리이며 위험 관리의 핵심은 위험 분석 및 평가이다
2. 위험 관리 절차
- 위험 관리 과정은 첫째로 전략과 계획을 수립하고, 둘째로 위험을 구성하는 요소들을 식별 및 분석하고, 셋째로 이러한 분석에 기초하여 위험을 평가하여, 넷째로 필요한 정보보호대책을 선정 및 이행계획을 수립하는 세부과정
3. 위험 분석
1. 위험 분석(Risk Analysis) 개념
- 정보보안 위험을 확인하고 그것들의 중요도를 결정하여 보호 수단을 요하는 부분을 확인하는 것
- 정보자산에 대한 위험 요소를 식별·평가하여 그러한 위험 요소를 적절하게 통제하 수 있는 수단을 체계적으로 구현하고 운영하는 전반적인 행위 및 절차
2. 자산 식별 및 평가
가. 자산 식별 및 분류
- 자산은 그 수나 종류가 다양하기 때문에, 적절한 분류 기준을 정의하고 이에 따라 구하여 파악하게 함으로써, 자산의 중복이나 누락 등의 문제를 최소화
- 보호해야 할 정보자산을 목록을 작성하고 정보자산 관리 책임자를 정함
나. 자산 그룹핑
- 각 자산의 중요도, 유사성, 위치, 소유자 및 용도 등이 유사하여 위협 및 취약점 분석을 실시하여 동일한 위험이 도출될 수 있는 정보자산들을 동일 자산으로 그룹을 만들 수 있는데 이것을 그룹핑이라 한다
-
번호 그룹 코드 그룹 이름 소속 자산 자산 번호 자산 수 1 GP-SV-001 DB 서버 DB 1 SVR-001 2 1 GP-SV-001 DB 서버 DB 2 SVR-002 2 2 GP-SV-002 LMS 및 웹서버 WWW1 SVR-003 5 2 GP-SV-002 LMS 및 웹서버 LMS1 SVR-005 5 2 GP-SV-002 LMS 및 웹서버 LMS2 SVR-006 5 3 GP-SV-003 콘텐츠 서버 CONTENTS1 SVR-008 3 3 GP-SV-003 콘텐츠 서버 CONTENTS2 SVR-009 3 3 GP-SV-003 콘텐츠 서버 CONTENTS3 SVR-010 3
다. 자산 중요도 산정 및 평가
- 작성한 자산 목록 표를 바탕으로 중요도(자산가치)를 산정하여 분류
- 다음 표는 정보자산 중요도 산정 예시
-
번호 자산번호 장비명 관련시스템 보관형태 합계 중요도
(등급)1 Server-001 DB서버 학원정보 DB 45 1등급 2 Server-002 DB서버 계정서버 DB 45 1등급 3 Server-003 영업서버1 영업1 파일 45 1등급 4 Server-004 영업서버2 영업1 파일 30 2등급 5 Server-005 영업서버3 영업1 파일 30 2등급 6 Server-006 웹서버 홈페이지 파일 30 3등급
3. 위협 식별 및 평가
가. 위협 식별
식별방법 | 내용 |
---|---|
자산에 대한 행위자 | ·인간 : 내부자, 외부자, 제3자 ·비인간 : 기술, 환경(사회적 문제), 자연(자연재해) |
자산 접근 경로 | ·네트워크 : 네트워크를 통해 접근(원격) ·물리 : 물리적으로 직접접근(로컬) |
자산 접근 동기 | ·우연 : 목적 없이 우연히 접근 ·고의 : 어떤 목적을 달성하기 위해 접근 |
위협이 자산에 미치는 결과 | ·변경 : 자산의 내용이 수정되거나 변경된 상태 ·노출 : 자산의 내용이 공개 ·손실/파괴 : 자산이 손실되거나 파괴 ·방해 : 자산이 다른 방향으로 방해받는 경우 |
나. 위협 평가
평가 | 위협에 의한 영향 | 발생가능성 |
---|---|---|
낮음(L) | 위협으로 인한 손실이 매우 경미한 정도 | 자신의 라이프 사이클(Life Cycle)동안 거의 발생하지 않음 |
중간(M) | 위험으로 인한 손실이 있으나 업무에 심각하게 영향을 끼치지 않는 정도 | 시스템 자신의 라이프 사이클 동안 두세 차례 손해를 입을 수 있는 상태(1년 이내) |
높음(H) | 손실이 매우 커서 업무가 장시간 중단되는 정도 | 시스템의 라이프 사이클 동안 매우 자주 발생함(3개월 이내) |
4. 취약점 식별 및 평가
- 취약점 식별은 자산에 영향을 줄 수 있는 취약점들을 찾아내고 그 정도를 평가하는 과정
- 취약점 분석·평가는 정보자산의 취약점과 조직의 관리적, 제도적 취약점 점검을 모두 실시하는데 이는 취약점을 통해 위험 요소들을 도출
-
구분 분석 대상 점검 방법 서버 웹 메일, DB, 서비스 지원, 기타 업무용 서버, 운영 및 개발 지원 서버 등 네트워크 및 시스템 기반 취약점 점검 네트워크 장비 네트워크 환경 및 장비
(라우터, 스위치)시스템 기반 취약점 점검
(설정파일 점검)정보보호시스템 침입차단 시스템, 침입탐지 시스템, 통합보안관리 시스템 시스템 기반 취약점 점검
(보안정책 및 기능 점검)PC 개인 사용자 PC 네트워크 기반 취약점 점검 응용프로그램 DNS, Mail, Appache, IIS, DB 등 시스템 기반 취약점 점검
(응용 프로그램 버전/설정 점검)
5. 위협 및 취약점 통합적 평가(우려사항)
가. 우려사항(Concern) 개념
- 조직의 성격에 따라 위협과 취약점을 구분하지 않고 하나로 나타내어 위험도를 도출할 수 있는데 이를 우려사항이라고 정의하고, 우려되는 정도를 나타내는 값을 우려도(Concern Value)라고 한다
나. 우려사항 평가
- 우려사항 평가 기준 및 평가 방법 예시
-
발생가능성
(위협 및 취약점)평가 기준 높음(H) 취약점을 이용해 위협이 실현될 가능성이 크며, 이에 대한 대책이 없거나 또는 적용된 대책이 효과성이 없음 중간(M) 취약점을 이용해 위협이 실현될 가능성이 있으나, 이에 대한 대응할 수 있는 기본적인 대책은 있음 낮음(L) 취약점을 이용해 위협이 실현될 가능성이 거의 없거나, 또는 대책이 있어 이에 대해 충분히 대응할 수 있음 -
위협 및 취약점 L(1) M(2) H(3) 자산 L(1) 1 2 3 자산 M(2) 2 4 6 자산 H(3) 3 6 9
6. 위험도 도출(Risk Value)
①자산분석, 위협분석, 취약점 분석 결과를 기반으로 주요 자산에 대한 위험 수준을 평가하고 위험을 산정
②위험 시나리오(자산-위협-취약점 매핑) 작성 및 분석, 자산/위협/취약점 매트릭스 작성
③기 분석 결과를 기반으로 주요자산 위험도 수준 결정
4. 위험 평가
1. 위험 평가 개념
- 위험을 평가하는 데는 정량적(Quantitative)인 방법과 정성적(Qualitative)인 방법
-
비교 정량적 분석법 정성적 분석법 개념 위험 발생확률과 손실 크기를 곱해서 계산하는 기대가치분석인 경우 계산이 복잡하고 시간, 노력이 많이 들지만, 신뢰도가 있고 화폐로 표시되며 객관적임 손실크기를 화폐가치로 측정할 수 없어 위험을 기술변수로 표현하는 경우 주관적이며, 근거가 제공되지 않지만 시간, 노력, 비용이 적게 듦 유형 수학공식 접근법, 확률분포 추정법, 연간예상손실(ALE), 점수법, 과거자료 접근법 등 델파이법, 시나리오법, 순위결정법, 질문서법, 브레인스토밍, 스토리보딩 등 장점 ·위험 분석결과가 금전적 가치로 표시하여 비용/가치분석이 수행될 수 있고, 예산 계획에 활용 용이
·정보보호대책의 비용을 정당화
·위험 분석의 결과 이해 용이
·자동화된 과정을 거쳐 일정한 객관적 결과를 산출·금액으로 평가하기 어려운 정보의 평가에 용이
·분석 시간이 상대적으로 짧고 이해가 쉽다
·쉽게 위험 분석을 수행 가능하며 위험의 우선순위를 파악이 용이단점 ·많은 데이터의 입력이 필요하며 복잡한 계산 필요
·완전한 정량적인 위험 분석은 불가능
·복잡한 계산으로 인한 분석시간 및 노력 소요
·실제 자산의 가치를 정확히 반영하였다고 할 수 없음·산정된 위험의 객관적 검증이 어려움
·위험 분석을 수행하는 사람에 따라 결과가 달라질 수 있음(주관적)
·비용 효과적인 분석의 근거를 제공할 수 있음
2. 정량적 위험 평가
- 정량적 방법은 손실 및 위험의 크기를 손실액과 같은 숫자 값으로 표현한다
ALE(t) = SLE(t) x ARO(t)
가. 과거자료 분석법
- 과거자료 분석을 통해 미래 사건의 발생 가능성을 예측하는 방법
- 과거자료가 많을수록 분석 결과의 정확도는 높아짐
나. 수학공식 접근법
- 위협의 발생 빈도를 계산하는 식을 이용하여 위험을 계랑하는 방법
- 과거자료의 획득이 어려울 때 유용함
다. 확률분포법
- 미지의 사건을 추정하는데 사용
- 확률적 편차를 이용하여 최저, 보통, 최고의 위험을 예측
- 정확성이 낮다
라. 점수법
- 위험 발생 요인에 가중치를 두어 위험을 추정하는 방법
- 위험 평가에 소요되는 시간이 적으나 정확도가 떨어진다
3. 정성적 위험 평가
- 정성적 방법은 손실이나 위험을 개략적인 크기로 비교
- 등급 값을 이용하여 위험도를 결정한다
가. 델파이법
- 시스템에 관한 전문적인 지식을 가진 전문가의 집단을 구성하고 위험을 분석 및 평가하여 정보시스템이 직면한 다양한 위협과 취약성을 토론을 통해 분석하는 방법이다
나. 시나리오법
- 어떤 사건도 기대대로 발생하지 않는다는 사실에 근거하여 일정 조건 하에서 위협에 대한 발생 가능한 결과물을 추정하는 방법이다
다. 순위 결정법
- 순위결정법은 각각의 위협을 상호비교하여 위협 요인들의 우선 순위를 결정하는 방법이다
5. 위험 처리
1. 위험 처리 개념
- 위험 평가에서는 추정된 위험을 조직의 위험 기준과 비교한다. 자산가치와 위협, 취약점에 따른 자산의 위험을 원천 위험이라 하며, 이 원천 위험을 감소시키기 위해 정보보안대책을 구현한다
2. 수용 가능한 위험 수준 결정(DOA, Degree of Assurance)
- 허용하지 않는 위험과 발생을 허용하는 위험의 경계선이며, 안전과 불안전의 경계선
3. 위험 처리 절차
- 각 조직은 자기 조직의 위험에 대한 태도에 따라 서로 다른 처리 전략을 가질 수 있다
6. 주요 해외 위험 관리 모델
1. FISMA RMF(Risk Management Framework)
- 연방정보보호현대화법(FISMA, Federal Information Security Modernization Act 2014, 이하 FISMA)는 미국 공공정보보안분야의 대표적인 법률로서 모든 연방 정부기관은 FISMA를 준수
- 매년 1회 관리체계의 유효성 및 개선계획에 관해서 행정관리예산국(OMB, Office of Management and Budget)와 미국 의회에 보고
2. NIST CyberSecurity Framework
-
미국 국가표준기술원(NIST)이 개발한 사이버보안 프레인워크이다
-
①표준의 구성
Framework core, Framework Implementation Tiers, Framework Profile -
②Framework core 활동 정의
Identify(인지), Protect(보호), Detect(탐지), Respond(대응), Recover(복구)
3. 위험관리 국제 표준 모델
- ISO/IEC 27001:2013에서는 위험분석 방법론으로 ISO/IEC2700519, ISO/IEC 3100020 표준 방법론을 활용
- 국내 정보보호관리체계(ISMS) 인증 제도
- 기업이 주요 정보자산을 보호하기 위해 수립·관리·운영하는 정보 보호 관리체계가 인증기준에 적합한지를 심사하여 인증을 부여하는 제도
- 정보보호 위험관리를 통한 비즈니스 안정성 제고
- 윤리 및 투명 경영을 위한 정보보호 법적 준거성 확보
- 침해사고, 집단소송 등에 따른 사회·경제적 피해 최소화
- 인증 취득시 정보보호 대외 이미지 및 신뢰도 향상
9.4 정보보안 컴플라이언스
1. 컴플라이언스(Compliance) 개념
- 1960년대 미국에서 독점금지법 위반, 주식의 내부자 거래 사건 등 발생했을 때 사용된 법무 관련 용어로서 우리나라에서는 일반적으로 ‘법규 준수’라고 표현하기도 하고, 2000년 이후 금융권에서는 ‘준법 감시’
- 외부 규제나 표준을 준수하고 지속적인 관찰을 통해 준수 여부를 확인하며, 발견된 문제를 개선하고 발전시켜 나가는 활동
- 기업들이 비즈니스 연속성과 경영 투명성을 확보하기 위해 강제적 또는 자율적으로 여러 가지 규제들을 준수하는 것을 의미
- 2001년 미국의 엔론의 회계 부정 사건은 전 세계에 큰 파장을 일으킴 → 컴플라이언스가 주목받게 된 원인
- 최근에는 기업윤리 및 사회적 책임을 준수하는 것까지의 광의의 컴플라이언스로 확대
2. 정보보안 컴플라이언스(Information Seucurity Compliance)
- 기업 내 모든 임직원들이 정보보안 관련 법률, 규정 등을 보다 철저하게 준수하도록 사전 또는 상시적으로 통제·감독하는 것
- 최근 개인정보 유출 사건, 금융전산망 마비 사건 등으로 기업에 대한 정보보안 관련 규제가 강화되어 중요성이 더욱 부각
- 비즈니스 프로세스에 대한 효과적인 내부 통제가 필요
- 주어진 작업을 누가, 언제 수행했으며 그 결과는 무엇이고 그것이 허가된 작업인지 여부 등을 명확히 파악하여 관리해야 함
3. 정보보안 컴플라이언스 필요성
- 정보보안 관련 법률, 규정 등을 위반하여 발생되는 준법 위험에 적극적으로 대처하지 못할 경우 기업의 생존과 직결되는 중대한 결과를 초래할 수 있음
- 업무 수행과정에서 발생할 가능성이 있는 준법 리스크를 사전에 식별하고 일정 기준에 따라 평가하여 발생 가능성과 영향을 최소화하기 위한 개선안을 수립하고 실행하여야 함
- 정보보안의 일부분임을 명심해야 한다. 또한 기업은 법·제도에 매몰되어 창의적인 정보보안 활동을 소홀히 해서는 안 되며, 기업 환경에 최적화된 정보보안체계를 구현하는 것이 필요
댓글남기기