21세기 문턱에서 우리는 지금 급변하는 경영과 정보기술(IT) 환경속에서 다양하고 복잡한 아이디어의 홍수로 무엇을 가지고 어떻게 어떤 목적으로 해야할 지에 대해 많은 고민을 하게 된다.
한 업체가 기업경영에서 최종 승리자가 되기 위해서는 반드시 적절한 아이디어와 정책, 실천적인 방법을 선택하고 최적의 경영모델을 지원하는 IT를 접목해야 한다.
현재 많은 기업과 정부기관은 인터넷 기술을 직접적인 경영의 한 수단으로 이용하면서 조직 운영 및 관리형태에 있어서 많은 변화를 추구하고 있다. 이때 어느 조직이든 반드시 짚고 넘어가야 할 것은 조직의 경영전략, 사업추진 방향과 일치하는 IT보안 전략과 정책의 발견, 조직의 IT자산에 대한 재평가, 이러한 IT자산에 미치는 위험요인과 이로 인한 직간접적인 조직의 영향, 효과적인 IT자산에 대한 보호 대책의 수립이 아닌가 생각된다.
여기서 IT자산이라 함은 조직의 경영전략과 업무를 지원하는 모든 하드웨어, 소프트웨어, 네트워크, 데이터베이스, 사람까지도 포함하는 종합적 개념이다. IT보안(Security)은 새로이 등장하는 신기술의 핵심 기술로 자리매김을 하고 있다.
그러면 이러한 IT보안은 어떻게 체계적이고 일관성 있는 관점과 방법으로 이루어 질 수 있는가. 이러한 관점에서 반드시 필요한 개념은 IT보안 대책 수립을 추진하고 있는 조직과 이를 올바른 방법으로 진행할 수 있도록 IT보안컨설팅 서비스를 제공하는 업체에서 자주 사용하는 효과적인 IT보안 대책 수립 절차다.
효과적인 보안 대책 수립을 위해서는 반드시 이를 체계적으로 추진할 수 있게 도움과 기본개념을 제공하는 방법론 및 전반적인 IT보안 지식을 겸비하여 방법론을 이용, 최적의 결과물을 제공할 수 있는 인적자원이 핵심적으로 필요하다.
이외에 체계적인 IT보안 대책 수립을 위해 필요한 것으로는 위험분석을 효율적으로 추진할 수 있도록 도움을 줄 수 있는 기법 및 툴, 조직내 보안을 전담할 담당 조직의 구성, 최고 경영자의 참여와 적극적인 지지, 최적의 아키텍처 설계 등을 들 수 있다.
<그림 1> 성공적인 보안 대책 수립을 위한 필수 요건
성공적인 보안 대책을 수립하기 위한 필수 요건 중 체계적인 추진 방법론은 맨 위에 놓여져야 한다. 지금 선진 각국에서는 자국의 보안 발전을 위해 보안 추진을 위한 자국의 보안 가이드라인을 제작 및 배포하고 있으며 이를 기준으로 조직의 보안 수준 진단 및 평가를 하는 등 21세기 신 인터넷 사회에서 절대적 위치를 담당할 보안대책에 만전을 기하고 있다.
영국의 BS7799와 ISO의 13335-X 계열 등이 그 예다. 모든 조직은 보안 대책을 절차적으로 추진해야 하며 다음과 같은 체계적인 추진 방법론의 기본틀이 필요하다. 이 보안 대책 수립 절차는 소프트웨어 개발 생명주기와 일관성을 가진다. 즉 크게 보안 기획, 위험관리, 구현, 운영 및 유지보수의 단계로 구분되어 질 수 있다.
<그림 2> 보안 대책 수립 절차
보안 기획 단계에서는 IT보안 정책과 보안 조직이 구성되며 IT보안 정책은 정보시스템 전략 및 경영전략과 일관성을 유지하고 보안 조직의 각 담당자별 책임과 권한이 각 조직의 특성에 맞추어 분명히 정의되어야 한다.
위험관리단계는 분석단계로서 IT자산에 대한 IT위험 분석 및 평가를 기반으로 세분화된 해당 시스템별 보안정책이 수립되고, 보안 대응책이 연구되어 IT보안 구현을 위한 종합적인 보안 마스터플랜이 수립된다. 이를 토대로 IT보안이 구현, 운영 및 유지보수 되며 반드시 피드백이 뒤따라야 하겠다.
IT보안 구현 단계는 단위 IT보안 시스템이 구축 또는 설치되며 각종 관련 법규 및 제도, 표준에 대한 적합성이 점검되어야 한다. 또한 단위 및 통합시험후 IT보안 운영 및 인식에 대한 전반적인 교육이 반드시 이뤄져야 한다. IT보안의 운영 및 유지보수 단계에서는 보안상황의 종합적인 모니터링, 보안시스템의 유지보수, 변화관리, 사고발생 처리, 비상계획 등이 고려돼야 한다.
전체적인 보안 단계중 위험분석, 보안 아키텍처 수립 측면은 핵심적으로 다루어져야 한다. 한 조직이 소유하고 있는 정보, 시스템, 애플리케이션, 네트워크 등은 비즈니스 수행에 있어서 아주 중요한 구성 요소들이다. 이러한 요소들이 기밀성, 무결성, 가용성 측면에서 위협을 받는다면 조직의 경쟁력 약화, 수익성 저하, 조직 이미지 손상 등의 결과를 초래하게 된다.
그러므로 위험분석은 조직이 안고 있는 위협요인, 취약성 등을 파악하여 비즈니스 수행의 연속성 유지와 피해의 최소화를 추구할 뿐만 아니라 최적의 아키텍처를 구성하는데 필요하다.
위험분석은 검토의 범위를 설정하는 것으로부터 시작하는데 이것은 조직의 보안 정책과 경영자의 의지가 충분히 반영되어야 한다. 그리고 보안 범위는 위험분석의 질적 향상과 불필요한 일을 피하기 위해 명확히 구분되어야 한다. 다음으로는 조직내의 전체 자산 중 IT자산 인식의 단계로서, 시스템 자체 뿐만이 아니라 이와 관련된 유형, 무형의 요소들이 포함된다. IT자산에 대해 인식한 후 이들에 대한 가치, 위협, 취약성 평가가 동시에 가능하다. 가치 평가 단계에서는 자산에 대한 가치를 부여하고 그것에 대한 상호 관련성을 분석하게 된다. 자산에 대한 가치부여는 조직의 비즈니스 수행에 있어서 자산의 중요성을 부여하게 된다.
IT보안 아키텍처 설계의 목표는 기존에 설정한 보안목표와 정책 등을 반영하여 구축될 보안 아키텍처를 정의하고 보안을 모형화하는 것이다. 설계자는 전 단계에서 이루어졌던 보안기획과 위험분석 결과를 토대로 전사적인 측면의 보안을 실현 가능토록 구현에 앞서 설계를 하는 단계라고 볼 수 있다. IT보안 아키텍처는 기존의 것인지 또는 계획 보안된 것인지에 대한 식별, 신규보안 대책의 발견, IT보안 선정, 아키텍처의 설계, 제약요건의 인식 및 검토 등을 거쳐 완성된다.
보안 구현에 앞서 먼저 실행되어야 할 첫 단계는 기존 또는 계획 보안 식별 단계로서 기존의 보안 현황과 향후 보안 계획에 대한 비교와 분석 단계다. 기존에 비해 향후 계획은 보다 강도가 높고 집중이 가능한 보안 대책이어야 한다.
다음은 위험분석에서 나온 결과를 토대로 새로운 보안 요구사항을 도출한다. 신규보안 대책 발견은 보안대상 업무 및 시스템에 대한 보안 대책을 구축하는데 목적이 있다. 보안 전문가들은 항상 새로운 기술과 향상된 보안 솔루션을 발견함으로써 최적의 보안 아키텍처를 설계할 수 있어야 한다.
IT보안 선정 단계는 보안정책과 신규 보안 대책 분석 결과 향후 구축될 보안 아키텍처에 적용될 보안방향을 결정하고 신규 보안 대책을 토대로 보안기술에 대한 도입 및 적용성을 검토하여 네트워크, 하드웨어, 소프트웨어, 데이터 등에 대한 분야별 보안 솔루션을 선정한다. 보안 제품 또는 대책 선정시 충분한 타당성 검토와 타 제품과의 비교, 기업환경에 맞는 최적의 보안제품과 대책을 선정하여야 한다.
보안 아키텍처 설계 단계는 기업 정보시스템 내부 사용자들의 보안 요구사항과 정보의 기밀성, 무결성, 가용성을 만족시킬 수 있는 보안 시스템을 설계하는데 목적이 있다. 보안 아키텍처는 하드웨어, 소프트웨어, 네트워크, 데이터 등 각 부문에 대한 보안을 어떻게(How) 대처할 것인지 고려하여 설계를 하며, 보안 설계자는 기존의 시스템 환경을 면밀히 검토하여 기존 시스템 환경의 변경 또는 변화에 큰 영향을 주지 않으며 기존 네트워크 속도에 영향을 주지 않는 것이 바람직하다.
제약요건 인식 및 검토 단계는 전 단계에서 설계된 보안 아키텍처 상에 어떠한 제약 요건이 있는지 검토하는 단계다. 이러한 제약요건은 기업내의 문화적, 비용적 측면도 적용된다. 암호 알고리듬과 같은 보안 기술, 국가 차원의 정책적 제약 요건 등에 대한 면밀한 검토 또한 필요하다. 보안 설계자는 각 부문(하드웨어, 소프트웨어, 네트워크 등)의 제약 요건들을 반드시 파악하여 인적, 기술적, 문화적, 정책적 차원에서 해결 가능한지 검토하여야 한다.
보안 구축 계획 수립의 목표는 설계된 보안 아키텍처 구축과 관련하여 실현 가능한 보안구축 계획을 세우는 것이다. 구축계획은 반드시 실현 가능하도록 작성되어야 하며, 기업의 투자여력과 보안 아키텍처에 따른 구축 우선 순위, 비용과 효과를 분석, 실현 가능토록 조정되어야 한다.
세계는 지금 보안이라는 신기술을 이용하여 재편되고 있는 비즈니스 환경을 석권하고자 엄청난 인적, 물적 투자를 아끼지 않고 있다.
전자상거래, 전자정부, 인터넷의 붐에 휩싸이고 있는 우리나라도 국가 차원의 보안 능력 향상에 주력해야 할 시점이라고 할 수 있다. 우리는 이제 IMF 상황에 눌려 있던 보안 상황을 「2000년은 보안 도약의 원년」이라는 명제로 삼아야 한다.
그러기 위해서는 암호의 사용 및 IT보안 지침서 발간, 키관리 표준 등 IT관련 보안 표준과 보안제품 및 조직의 보안수준에 대한 평가와 인증 체제의 마련, 그리고 급변하는 경영환경 대비해 빠르고 현실적인 개인정보보호법 및 전자서명법과 같은 관련 제법규 및 제도의 마련, 보안 기술력 및 인적 자원 확보를 위한 정부의 적극적인 지원과 국민 개개인의 관심이 절실히 요구된다.
저자 경력
1984년 경희대 수학과 졸업
1995년 정보처리 기술사
1998년 런던대 정보보안 전공 과학 석사
현 쌍용정보통신 컨설팅팀장