안녕하세요, 보안맨 입니다.
날씨가 많이 쌀쌀해졌네요. 감기/코로나 항상 조심하시고요.
이번에 제가 공유드리고 싶은 주제는 "IT 위험 분석 및 평가"입니다.
일반적으로 정보보안을 중요하게 생각하는 회사에서는 안전한 회사 업무 환경 운영을 위해 많은 시간과 비용을 투자하는데요. 대표적으로 정보보안 담당자 채용, 정보보호 및 개인정보보호 관리 체계 (이하 "ISMS-P") 인증 추진, 정보 보안 솔루션 구축 등 이 있습니다.
하지만, 어떤 기업에서는 예산 문제 등으로 정보 보안에 대한 투자가 미뤄지거나 투자 예산이 삭감되는 경우도 있는데요. 보안 담당자 입장에서 손 놓고 있으면 될까요? 아닙니다. 바로 적절한 IT 위험 분석과 평가가 필요합니다.
정보보호 관리체계 (K-ISMS, 2019년) 인증 기준에서는 위험관리에 대해 아래와 같이 안내하고 있습니다.
조직의 대내외 환경 분석을 통해 유형별 위협 정보를 수집하고, 조직에 적합한 위험 평가 방법을 선정하여 관리체계 전 영역에 대한 연 1회 이상 위험을 평가하며, 수용할 수 있는 위험은 경영진의 승인을 받아 관리하여야 한다.
필자가 외국계 회사에서 여러 업무를 처리하면서 그중 제일 까다롭게 생각했던 부분이 "위험 분석/평가" 업무입니다. 앞서 말씀드린 것처럼 회사마다 위험 분석/평가 방법론이 상이할 수 있으므로 업무에 참고하는 수준으로 살펴봐 주시기 바랍니다.
아래와 같이 크게 4가지 단계로 살펴보겠습니다.
1) 어떤 위험 방법론을 적용해야 하는가?
필자의 경우, 비교적 규모가 큰 외국계 회사의 한국 지사에서 근무해 본사에서 제정한 "IT Risk Management Policy" 규정이 별도 존재했습니다. 해당 본사 규정은 NIST, COBIT, ISO27001, 현지법 등 을 고려해 수립되었던 것으로 기억합니다. 이때, 국내 지사에서는 현지 환경, 국내 규제/법, 현실성 등 을 고려해 지침을 개정 했습니다.
앞서 서두가 길었습니다만, 규정 안에 있었던 핵심 방법론을 Keyword base로 정리하면 "IT compliance based risk assessment"입니다. 즉, 회사 내 규정, 국내 법령, 내부 감사 등에 따른 충족되지 않은 findings (결함)을 list-up 하고 이에 대한 적절한 보완대책을 수립했습니다.
IT Compliance based risk assessment는 크게 아래와 같은 형태로 이해하시면 좋을 것 같습니다.
> 조직 내부 이슈 수집/리스트, 영향도 1차 파악 등
> 위험 식별: 언제, 어디서, 어떻게, 왜 발생할 수 있는가 등
> 위험 분석: 취약점이 존재하는가, 발생 빈도는 어떠한가, 어느 정도 치명적인가?
> 위험 평가: 어떤 리스크부터 관리해야 하는가? 어떤 대응책을 수립해야 하는가? 위험을 감소하기 위해 누가, 언제까지 처리할 수 있는가? 어떤 위험 처리 전략을 수립할 것인가? (위험 감소, 위험 회피, 위험 전가, 위험 수용)
※ 위 4가지 위험 처리 전략에 대한 세부 내용(예시)은 KISA에서 발간한 "ISMS-P 인증기준 안내서" 1.2.4. 보호대책 선정 참고
2) 실무에서 주로 어떤 위험이 식별, 관리되는가? (구체적인 사례 제시)
필자 회사의 경우 크게 2가지 types의 위험이 식별/관리되었습니다. 첫 번째는 국내 전자금융 감독규정에 따라 필수적으로 수행해야 하는 "전자금융기반 시설 분석/평가" 결과에 따른 취약점(미흡사항)이었으며, 두 번째는 내부 IT 감사에 따른 findings (결함) 사항이었습니다.
위 방법론에 따른 한 가지 위험을 예를 들어 아래와 같이 표현해 보았습니다.
- 위험원 (출처): IT Audit 2019 결과
- 결함: 관리자 권한 관리 미흡; 장기 퇴사자 ID 계정이 DBMS에 미 삭제
- 요구 사항: 퇴사자 계정은 지체 없이 (월 1회) 삭제되어야 함
- 보완대책: 단기적으로 현재 확인된 퇴사자 ID 계정 일괄 삭제, 장기적으로 SSO (Single-Sign-on) 형태 통합 계정 관리 시스템 도입 고려
- 위험도: 상
- 위험전략: 위험 감소
- 그 외 (조치 완료일 등) 다수
IT Risk Treatment Mgmt. | ||||||||
Risk ID | 위험원 | 요구사항 | 이슈 사항 | 위험도 | 위험 전략 | 보완 대책 | 위험 소유부서/책임자 | 상태 |
UX-001 | IT Audit 2019 | 퇴사자 계정은 지체 없이 삭제 처리 | 장기 퇴사자 ID 계정이DB서버(hostname: vsdf0293) 내 다수 존재 | 상 | 위험 감소 | a) 단기: 현재 확인된 퇴사자 ID 전수 조사 후, 일괄 삭제b) 장기: 퇴사자 식별 후, SSO 형태 통합 계정 관리 시스템 구축에 따른 자동 삭제 처리(batch)되도록 구현 / 관련 프로세스 수립 | IT / 홍길동 | In Progress |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Figure1. IT compliance based risk assessment 결과(예시)
3) IT 위험 분석 및 평가에 대한 수행 절차는 어떻게 되는가?
사전에 "IT 위험 관리 지침"과 "정보보호 위원회 절차서" 각 규정간에 sync 및 위험평가 관련 내용을 상호 보완할 수 있도록 정책/지침을 개정했습니다. 이에 대한 사유는 아래 내용에서 자세히 설명 드리겠습니다.
이후 아래와 같은 단계를 고려했습니다.
가. 정보보안 담당자는 월 1회 위험 현황 식별
나. 식별된 위험을 바탕으로 위 "위험 관리 방법론"을 고려한 보안 대책 등 수립
# 필요 시, 관련 실무진과 협의
다. 정보보호 위원회 심의/의결
라. 경영진 보고
마. 본사 Chief Information Security Officer (이하 'CISO') 현황 공유
Figure2. 경영진 보고 결과(예시)
4) IT 위험 분석/평가 업무를 진행하면서 느낀 애로사항, 한계점은 무엇인가?
네, 바로 위 정보보안 절차서/관리지침을 sync 한 사유이기도 한 "본사 IT 위험 관리 Policy"에 대한 실효성 이슈 때문이었습니다. 사실 본사에서 너무나 세세한 Risk Treatment Plans 및 BackData 를 요청했습니다. ROI (Return on Investment) 수치 등 정량적인 위험 평가 산식에 따른 결과 수치를 제공해야 했는데요.
본사에는 IT Risk 전담 부서가 별도 존재해 가능한 일이었겠지만, 국내 지사는 별도 담담 부서/담당자가 존재하지 않았고, 그 외 여러 여건 상 본사 요건을 충족할 수 없었습니다. 따라서, 절박한 excuses 를 통해, 결론적으로 위 위험평가에 준하는 수준인 "정보보호 위원회 심의/의결"을 따르는 것으로 정리 했었습니다.
위 내용이 IT 위험 분석/평가 업무를 수행하시면서 도움이 되셨으면 좋겠습니다.
궁금하신 사항은 댓글을 남겨 주세요.
감사합니다.
8개의 댓글이 있습니다.
위험분석평가 중요하죠
Reply그러나 윗선들은 문제 없음 된거지
별 신경 안쓰죠
좋은 정보 감사합니다
댓글 남기기
댓글을 남기기 위해서는 로그인이 필요합니다.
로그인 회원가입감사합니다!~
Reply댓글 남기기
댓글을 남기기 위해서는 로그인이 필요합니다.
로그인 회원가입감사합니다.
Reply댓글 남기기
댓글을 남기기 위해서는 로그인이 필요합니다.
로그인 회원가입잘읽었습니다. 좋은 정보 감사합니다
Reply댓글 남기기
댓글을 남기기 위해서는 로그인이 필요합니다.
로그인 회원가입잘읽었습니다. 참고할께요.
Reply댓글 남기기
댓글을 남기기 위해서는 로그인이 필요합니다.
로그인 회원가입좋은정보 잘 보았습니다.
Reply댓글 남기기
댓글을 남기기 위해서는 로그인이 필요합니다.
로그인 회원가입내용 잘 읽었습니다.
Reply댓글 남기기
댓글을 남기기 위해서는 로그인이 필요합니다.
로그인 회원가입좋은 정보 감사드립니다.!
Reply댓글 남기기
댓글을 남기기 위해서는 로그인이 필요합니다.
로그인 회원가입