[보안맨] 소규모 IT 기업이 전산 장애를 대처하는 방법

안녕하세요,

본 기고글은 보안 담당자의 소규모 IT 기업의 전산 장애 관리 업무 에피소드를 다룹니다.

디지털 시대에 회사 규모를 막론하고, IT 서비스를 제공하는 기업은 안정적인 IT 인프라가 필수적입니다. 그러나, 시스템은 예상치 못한 장애에 취약하며, 이로 인해 비지니스에 중대한 영향을 미칠 수 있습니다. ‘전산 장애’에 대한 키워드로 인터넷 검색 시, 금융권을 비롯한 많은 기업들의 전산 장애로 인해 소비자, 이용자들의 피해가 발생하고 있습니다. 대규모의 IT 전산 체계 및 시스템이 소기업에 비해 잘 갖추어진 금융 기업조차 전산 장애를 100% 피할 수는 없습니다. 이에 따라 피해를 최소화 하기 위한 방책을 각 기업에서 고민하고 있으며, 정부 기관, 대표적으로 금융권의 경우, 금융감독원이 “금융IT 안전성 강화를 위한 가이드라인 태스크포스” 개최 등을 통해 IT 안전성 강화에 열을 올리고 있는 실정입니다.

본문에서는 필자가 소규모 IT 기업 보안담당자 재직 시 에피소드를 바탕으로 IT 장애처리를 기업 관점에서 대응하는 방법에 대해 아래 크게 두 가지 관점으로 살펴보겠습니다.

• ●Part 1. IT 보안 인증 심사 대응을 위한 형식적 IT 장애 관리 업무

• ●Part 2. 실질적 IT 장애 기준 및 절차 마련을 위한 업무

# 성능 관리보다 ‘IT 오류/장애’에 초점을 맞추어 작성했습니다.

참고로, 국내 ISMS-P 인증기준 2.9.2 성능 및 장애관리 인증 기준은 아래와 같습니다. 

“정보시스템의 가용성 보장을 위하여 성능 및 용량 요구사항을 정의하고 현황을 지속적으로 모니터링하여야 하며, 장애 발생 시 효과적으로 대응하기 위한 탐지·기록·분석·복구· 보고 등의 절차를 수립·관리하여야 한다.” 

Part 1. IT 보안 인증 심사 대응을 위한 형식적 IT 장애 관리 업무

필자는 국내 ISMS 인증 심사 대응을 위해 보안 컨설팅 업체와 사전에 협업을 진행 했습니다.

당시, IT 장애 관리에 대한 내부 기준이 마련되어 있지 않아, 단시일 내 보안 지침을 마련했습니다.

이때, ISMS 인증 기준 및 세부항목에서 요구하는 내용보다 훨씬 더 포괄적인 형태의 지침을 수립했습니다.

짧은 컨설팅 기간동안 담당자와 컨설턴트 간 실제 업무에 미칠 영향, 현황 파악, 유관 부서 인터뷰 등 따른 현실적인 지침을 준비하기 쉽지 않았습니다. 따라서, 최대한 형식적인 보안 정책/지침을 구비했습니다. 조금 더 정확히 표현하자면, 컨설팅 업체에 이미 보유하고 있는 보안 정책/지침 틀을 그대로 Copy & Paste 해도 지나치지 않다고 생각합니다.

Figure 1. 서버 시스템 보안 지침 (예시)

ISMS 인증 심사 기간동안, IT 성능관리 및 장애에 대해 크게 문제 되지는 않았습니다. 이는 ISMS 기간 내 관련 인증 심사원께서 보안 정책/지침 외, 성능 모니터링 인터뷰 결과 내역으로 갈음하셨기 때문이라고 추정됩니다. (아래)

• ●인터뷰 시, 상용 클라우드 관리자 대쉬보드 > 모니터링 툴을 통한 주요 서버, DBMS 성능 모니터링됨을 설명

• ●성능 매뉴얼의 경우, 상용 클라우드 (웹사이트) 내 성능 가이드 문서로 갈음

• ●공식 집계된 장애 건수: 0건

Part 2. 실질적 IT 장애 기준 및 절차 마련을 위한 업무

이전 ISMS 인증 심사 때 형식적인 IT 성능 및 장애에 대한 관리 수준, 대응 증빙을 고민했다면, 어느정도 시일이 지난 시점에서 보안 담당자 입장에서는 실질적 보안 운영에 대한 개선이 필요할 것입니다. 고객사 요청에 따른 실질적인 당사의 성능 및 장애관리에 대한 업무 요청, 또는 내년 ISMS 사후 인증 심사 시, 다른 심사원이 결함을 줄 가능성 등 고려해 조직 측면 대응 전략을 고민해야 했습니다.

사실 소규모 기업에서 담당자가 IT 장애 및 성능에 대한 보완 계획, 운영 방안을 고안해 내기란 쉽지 않습니다. 본 업무 외에도 최 우선순위로 고려해야 할 것들, 예를 들어 주기적인 보안 시스템 점검, 개인정보 수탁사 점검 등 당장 눈앞에 놓인 일에 급급하다 보면, 속된말로 ‘찐보안’을 위한 업무를 고민하는 시간은 많지 않습니다.

그럼에도, 장애 관리 관점 다음과 같은 업무 포인트를 고민해 보았습니다.

• ●성능 및 장애 관리에 관련된 보안 지침서 운영 주체: 회사마다 다를 수 있겠지만, 통상적으로 CISO (정보보호 최고 책임자)가 회사 전반적인 시스템에 대한 보안 전략/방침을 제시합니다. 통상적으로 아래와 같은 업무에 대한 각 부서 또는 담당자의 역할과 책임을 제시해야 합니다.

• ○성능 및 용량을 지속적으로 모니터링해야 하는 주요 정보시스템 식별

• ○모니터링 방법

• ○모니터링 관리 담당자 및 책임자

• ○모니터링에 따른 이슈사항 발생 시 대응 절차 : 이슈사항 경중에 따라, 전파 체계, 필요 시 고객 안내 절차, 비상연락체계 가동

• ○재발방지 대책 마련

• ●성능 및 운영 절차(또는 매뉴얼) 운영 주체: 이 부분도 회사마다 다를 수 있을 것 같습니다. 이분법적인 관점에서 아래와 같이 생각해 볼 수 있습니다.

• ○1) 보안팀이 모든 회사의 실정을 파악해 세부적인 절차를 고안해야 하는가?

• ○2) 필요 부서에서, 회사 보안 지침서(방향)와 비지니스 실정을 고려한 절차를 고안해야 하는가?

보안팀과 부서 간 파워게임으로도 비추어질 수 있는 첨예한 부분이지만, 정답은 없습니다. 필자 생각에는 각 팀 간에 맡은 업무를 서로 이해하고, 상호 유기적인 협조 관계로서 매뉴얼을 구성/운영하되, 위 이분법적인 사안에 대해서는, 2안이 적절하다고 생각합니다. 사실, 보안팀에서 모든 비지니스의 업무 원칙, 해당 부서에서 사용하는 고유 용어 등을 이해하기란 쉽지 않습니다. 반대로, 보안팀은 철저히 관련 부서의 성능 및 장애 절차 운영 측면 손을 떼야 하는 것은 아닙니다. 비지니스 팀에서는 보안 관리 방침 관점에서 이해를 못하실 수 있으므로, 지속적인 커뮤니케이션이 필요 합니다.,또한 보안팀은 부서에서 수립한 매뉴얼이, 보안팀이 기 수립한 관련 지침서와 계위성 측면 적절한지 살펴보고 건설적인 의견을 서로간에 주고받을 필요가 있습니다.

예를 들어, 보안팀이 정보보호시스템을 운영/관리 하고 있다면, 해당 정보보호시스템의 성능과 가용성 측면에서의 관리가 필요할 것입니다. 이러한 실무 측면 반영해야할 사항들은 잘 메모해 놓았다가, 정기 보안 정책/지침 제/개정 작업 시 반영하는 보안 담당자의 꼼꼼함이 필요할 것 같습니다.