[보안맨] 보안 솔루션(또는 시스템) 도입 및 구축

안녕하세요, 보안맨 입니다.

본 기고글에서 다룰 주제는 "보안 솔루션 도입/구축" 입니다.

필자는 On-premise 환경의 금융회사에서 여러 보안 솔루션들을 도입했었는데요. 대표적으로 본사/전산센터 망 분리 프로젝트를 통해, IPS/IDS/방화벽/NAC 등 여러 보안 솔루션 (또는 네트워크 보안 장비)을 직접 운영했습니다.

그 중 제일 까다로웠던 'DRM (Digital Rights Management) 솔루션 도입' 프로젝트에 따른 시행착오, 관련 노하우 등 을 공유 드리고 싶습니다.

정보보호 관리체계 인증 기준 (ISMS-P)에서는 정보시스템 도입 관련 아래와 같은 기준을 명시하고 있는데요. ※ 시스템 도입에 한하여 발췌

"정보시스템의 도입 시 정보보호 및 개인 정보보호 관련 법적 요구 사항, 최신 보안 취약점 등 보안 요구 사항을 정의하고 적용하여야 한다."

핵심적으로 다루었으면 하는 3가지 측면을 바탕으로 말씀 드리겠습니다.

● Step1. 내부 보고서(품의서) 작성

회사 입장에서 보안 솔루션 도입은 달갑지 않은 아이템입니다. 회사 예산을 소진하기 때문입니다. 당시 최종 승인자인 (CISO, 정보보호 최고 책임자)를 논리적으로 설득하면서, 필요 내용만 One-page로 작성해야 했습니다. 이때 최소 아래 사항을 고려했습니다.

         a) 법적 요구 사항이 무엇인가? - e.g. 개인 정보보호법령 등 에 따른 개인 정보 취급자 단말기(PC) 등 개인 정보 파일 암호화           

b) 왜 도입하는가? - e.g. MS 파일 암호화 default 기능이 아닌, 상용 암호화 소프트웨어 도입에 따른 기대효과 제시

c) 수행 기간/공수는 어떻게 되는가? 총 도입 비용은 얼마인가?

d) 수행 부서/관련 협력 업체명 (규모, 기술력 등)

e) DRM 보안 솔루션 적용 대상 - e.g. 개인정보취급자 or 전 임직원

f) DRM 보안 솔루션 적용 파일 범위 - e.g. 회사 PC에서 가공되는 개인 정보 파일 (.txt, .doc), 상세 파일 확장자명은 프로젝트 기간 내 추가 분석/식별

Figure 1. 내부 품의서 (예시)

최대한 심플하고 명확한 문구만 보고서 내에 담으려고 노력했습니다. 당시 상사로부터 터프한 피드백을 여러 차례 받아서 힘들었던 기억이 있습니다. '보고서는 어떻게 작성하는가(가제)'와 관련된 책을 구입해 읽을 정도로 보고서 작성에 안간힘을 썼었는데, 지금 돌이켜 보면 웃픈 추억 입니다.

● Step2. RFP (Request for Proposal) 마련

어렵고 힘든 Step 1 단계를 마무리하고, DRM 업체/솔루션 선정을 위한 RFP 마련이 필요했습니다. 크게 아래 3가지 sources를 고려해 RFP 업체 요구 사항을 마련했습니다.

- 개인 정보보호법령 ※ 기술적/보호적 관리 기준(고시)

- 전자금융 감독 규정

- 동종 업계 best practices 등

RFP 내 모든 요구사항을 열거할 수는 없지만, DRM 솔루션 특성상 꼭 포함되어야 하는 3가지 points를 공유하고 싶습니다.

- 확장성: 좀 더 정확히 설명하면, "추후 회사에서 어떠한 사유로 인해 도입된 DRM 솔루션 사용을 중단했을 때, 암호화된 파일을 복호화(원상복구) 하는 작업을 지원하는가" 입니다. 

필자의 경우, DRM 도입 전, DLP 솔루션 내 DRM 기능을 이용했었습니다. 해당 DLP에서 암호화된 문서를 다시 복호화 하기 위해서는 별도 클라이언트 프로그램과, 관리자 UI (DLP 서버) 간 수동 sync 하는 작업이 필요했습니다. 결론적으로 사용자 PC 수동 작업에 따른 일정 조율이 쉽지 않았고, 예기치 않은 에러로 복호화가 끝내 지원되지 않은 cases도 있었습니다. 일종의 랜섬웨어가 된 셈이죠.

- 사용자/관리자 편의성: 모든 솔루션이 그렇듯, 사용자/관리자가 쉽게 사용할 수 있는 구조인지 등 파악해야 합니다. 사용자 입장에서 결재 메뉴 확인이 어렵거나, 관리자 입장에서 조직도 갱신을 수동으로 입력해야 하고, 윈도우 AD(Active Directory) 등 인사 DB 자동화 방식을 별도 지원하지 않는다면, 또 하나의 workload만 가중될 뿐입니다.

- A/S: 고객사 입장에서는 솔루션 제공 업체의 평판 등 도 중요합니다. 최초 도입 시에는 비교적 잘 지원해 주지만, 한 달이 지나고, 1년이 지나면서 점차 지원이 소홀해지는 업체도 있을 수 있습니다. 물론 서로 간의 업무 R&R을 명확히 해 얼굴 붉히는 일이 없어야겠지만, 솔루션 업체가 당연히 지원해야 할 부분 (버그 fix 등)을 등한시하지 않도록 관련 RFP(또는 계약서) 내 명확히 업무 범위를 정의할 필요가 있습니다.

● Step3. 프로젝트 관리

RFP 작성에 따른 각 후보 업체에 배포 후, 적절한 기술/가격 평가를 통해 최종 'ABC' 업체를 선정했습니다. 이후 내부 비딩(구매) 및 계약 절차를 마무리했는데요.

'ABC' 업체 선정과 동시에, 솔루션 구축 PM (Project Manager)과 전반적인 작업 계획/일정 등 관련 sync-up 하는 미팅을 한/두 차례 가졌습니다. 필자는 이 시점이 가장 중요하다고 보는데요. PM 과의 업무 조율을 통해 프로젝트 설계 관련 모호한 부분을 해소할 수 있기 때문입니다.  이때 주로 아래 사항에 대해 논의했었습니다.

- 고객사, 수행사(협력업체) 간 업무 R&R 정의 ※ 품의서, RFP 등 기반

- 전체 일정 수립 (일 또는 주 단위 스케쥴표 정의)

- 테스트 체크리스트 마련 (PC 내 타 SW 호환성 체크, 여러 확장자 기반 파일 암/복호화 정상 여부 등)

- 투입 인력 최종 협의 ※ Sr. or Junior

- 투입 시기 확정에 따른 고객사 준비사항 (업무 공간, 네트워크 망, 수행 PC 등)

- 보안 관리 계획 (투입인력 비밀유지 방안, 철수 등에 따른 데이터 파기 방안, 보안 서약서 등)

- 사용자/관리자 매뉴얼 구성 관련

- 타 회사 DRM (암호화 문서) 보안 정책 references

- 산출물 관련

- 리스크 관리 등 다수

Figure 2. 테스트 체크리스트 (예시) ※ 사전 사용자 매뉴얼, 암호화 문서 범위 확정

위 정의된 일정 수립 표 등을 바탕으로 DRM 솔루션 프로젝트를 리딩 했으며, 큰 특이사항 없이 마무리할 수 있었습니다만, 기억에 남는 에피소드가 한 가지 있습니다.

- DRM 업데이트 버전 배포 이슈: 당시 전 직원 대상 긴급 업데이트 파일 배포가 필요했으며, 재부팅을 강제 1회 진행해야 했습니다. 별도 메일 공지를 진행했으나, 각 부서별로 순회하며, 부서장(또는 차상위 직책자)에게 PC 재부팅 업무 협조를 구해야 했습니다. 회사 문화 자체가 워낙 수직적이고, 커뮤니케이션 자체도 메일 정도로 국한되어 있어서, 각 부서장에게 일일이 찾아가 양해를 구해야 했습니다.

보안 기고글이 도움이 되셨나요?

궁금하신 사항은 댓글을 남겨주세요.

감사합니다.