◆홍승필 박사 LG CNS 사업지원본부 기술내재화팀
정보시대는 새로운 문명의 탄생 및 발전으로 인류에게 그 편리함과 유익성이라는 혜택을 제공하는 한편 자연적으로 파생되는 역기능으로 인한 피해를 가져다 준다. 그 편리함과 유익성에 반비례하여 매우 위험하고 파괴적인 역기능이 뒤따르고 있다. 인터넷의 발전과 더불어 빠르게 발전하는 e비즈니스 환경에서도 이와 같은 위험·위협요소에 쉽게 노출되고 있다.
e비즈니스 환경에서의 정보보안 즉 e비즈니스 정보보안(eBusiness Security)의 정의는 인터넷을 기반으로 한 모든 비즈니스 활동이 △신뢰할만하고 △다양한 인증방법을 통해 접근가능하며 △고객과 사용자에게 맞춤화된 서비스를 제공할 수 있도록 가상공간의 정보시스템을 보호하는 서비스다. e비즈니스 시큐리티의 목적은 다음과 같이 표현될 수 있다.
첫째, 정상적인 정보시스템을 유지하여 필요한 정보를 적시적소에 정당한 사용자에게 정보의 변조, 훼손, 유출 없이 제공함을 목적으로 한다.
둘째, 개인정보의 안정성 확보로 정보통신망에서 벌어지는 범죄사고를 퇴치하여 안전하고 건전한 정보사회를 이룩한다.
세째, 기업이나 조직, 나아가서는 국가의 정보자산 및 지적 재산권을 해킹으로부터 안전하게 보호함을 그 목적으로 한다.
네째, 기업이나 조직이 보유하고 있는 정보자산을 파악하여 기밀자료 분류 및 등급을 정의함으로써 경쟁업체 및 악의의 침해로부터 기업의 정보자산을 보호하는 데 그 목적이 있다.
◇e비즈니스 정보보안 위험·위협 분석
e비즈니스 환경에서의 정보보안의 위협은 △사용자의 실수 등에 의한 사고에 의한 위협(accidental threats) △악의적 목적이나 영리추구를 위한 의도적인 위협(intentional threats)으로 나뉠 수 있으며 대표적인 위협 요소는 표1과 같다
<표1> e비즈니스 위협요소
◇e비즈니스 정보보안 기본 구조
e비즈니스 환경에서 정보보안의 기본 영역 및 구현 방안을 소개하는 프레임워크을 설명하는 것은 다양해지고 복잡해지는 환경에서 가장 적합하고 안전한 정보보안 솔루션을 구현하기 위해서다. 또 자사의 정보보안 장단점을 알아보기 위한 현황 분석 등을 위해 표준이나 기준이 될 수 있는 가이드라인이 되기도 한다. 특히 요즘 정부에서도 정보보안의 중요성을 인식하고 정보보안에 대한 분석을 통한 업체나 관련 업계의 도움이 되는 표준화 성격의 문서가 소개되고 있다. 다음은 LG CNS에서 제시하고 있는 정보보안의 프레임워크를 이용하여 e비즈니스 정보보안의 구현 방안에 대해 설명하고자 한다.
이 프레임워크는 크게 정보보안의 기본전략, 메커니즘, 관리적 영역과 기술적 영역으로 나뉘어 보여지고 있다. 무엇보다 보안 정책 수립 및 인적·물적 보안관리가 중요하다. 보안기술은 이들의 취약부분을 그에 준하는 기술을 적용하여 보안정책을 효과적으로 집행하고 관리하는 데 도움을 주도록 구성될 뿐이다. 이런 이유로 기업의 업무지속성 계획(business continuity planning), 재난복구 계획(disaster recovery planning), 전사적 보안관리(enterprise security management)라는 세 가지 관점에서 보안의 관리적 측면(정책 수립, 인적·물적 보안관리)이 강조된다. 정보보안기술과 솔루션의 유기적인 결합이 이를 뒷받침해야 한다.
정보보안 기술영역을 분류함에 있어서는 수직으로는 기술의 쓰임새에 따라 세 가지 계층별(요소기술, 기반기술, 응용기술) 분류를, 수평적으로는 각 계층 내에서 기술의 적용범위나 적용대상에 따라 영역별(네트워크, 시스템, 데이터, 액세스 컨트롤) 분류와 상세계층별(복합·단일·기반응용·네트워크 4계층 모형) 분류를 병행했다.
요소기술은 정보기술시스템의 기반을 형성하는 기술로 만일 이러한 기술이 밑받침 되지 않는다면 현실세계를 사이버상에 그대로 재현할 때 반드시 전제되어야 할 안전성과 신뢰성을 유지할 수 없다.
기반기술은 요소기술을 바탕으로 물리적인 정보인프라를 건설하기 위해 요구되는 기술로서 정보의 생성과 처리(시스템 영역), 정보의 저장(데이터 영역), 정보의 공유(네트워크 영역)를 담당하는 인프라를 구축한다.
<그림>. 정보보안 프레임워크 (LG CNS의 예)
◇e비즈니스 정보보안 구현 방안
e비즈니스 정보보안 아키텍처는 보안의 깊이와 강도 그리고 선택된 기술과 제품을 바탕으로 특정 기업을 대상으로 한 것이 아닌 보편적인 보안 구성을 제시한다. 그러나 현실 적용에 따라 깊이있는 분석과 평가에 근거한 변형된 구성 형태를 가질 수 있다.
<그림>에 제시된 보안 아키텍처는 보안 구현을 효과적으로 하기 위해 네트워크·시스템 영역을 각각의 비즈니스 영역을 고려하여 구분하고 이 영역별로 차별화된 보안 솔루션을 구현해 효과적인 보안구현 전략을 제시하는데 그 의의가 있다.
<그림> e비즈니스 정보보안 아키텍처
위의 e비즈니스 아키텍처에서는 비즈니스 기능 전담과 통합을 고려해 아래와 같은 요소별 보안 솔루션을 적용했다.
위에서 제시된 e비즈니스 보안 아키텍처는 비즈니스 규모에 따라 다양한 상황 및 환경에서 변화된 모습을 가질 수 있다. 다양한 고객의 시스템·업무 환경에 대한 보안 아키텍처가 구현·적용되는 모습을 효과적으로 구현할 수 있다.
예를 들어 상거래 트랜잭션에 대해서는 SET, 보안EDI, SSL, PKI 등의 다양한 방법을 제공해 보안을 구현하는 방안을 제시하고 있다. 이는 향후 e비즈니스 환경에서의 정보보안 구현 솔루션 선정 및 적용시 선택된 기술과 제품이 목적한 보안 기능 요구 사항들을 충분히 만족시키며 구현되었는지를 검증할 수 있는 척도로서 활용될 수 있다.
점점 분산화되고 다양해지는 e비즈니스 환경에서는 앞에서 제시한 명확한 형태의 보안 정책 및 절차보다는 인터넷 시스템 환경에 적합한 형태의 안전하고 실용 적인 보안 정책을 인프라적 요소로 구현하는 것이 중요시 되고 있다. 이는 기존의 군사체제에서와 같이 엄격하고 명확한 보안 정책보다는 비즈니스 수요에 능동적으로 대처할 수 있는 하이브리드 형식의 보안 정책이 적용되어 지고 있는 현황이다.
<그림> e비즈니스 환경에서의 보안 정책의 적용
e비즈니스 환경에서의 가장 두드러진 정보보안의 전망은 기존의 방화벽(firewall), 백신 프로그램, 시스템 레벨의 정보보안 솔루션 등 단일화되어 있던 솔루션이나 기술이 통합 구현되어지고 있다는 점이다.
<그림> e비즈니스 환경에서의 정보보안 전망
그림4에서와 같이 기존의 단위 보안 솔루션은 향후 3A(Authentication, Authorization, Administration)와 같이 통합 인증된 솔루션의 형태로 바뀌고 정보보안 컨설팅과 같은 서비스가 추가로 접목되어 제공돼진다.
다음은 실제 이와 같이 접목된 기술이 e비즈니스 환경내에서 적용될 수 있는 분야를 아래 표2와 같이 알아보자.
<표> 적용 분야 및 적용 기술 세트(Set)
◇e비즈니스 정보보안 적용사례
이번에는 실제 e비즈니스 환경인 e마켓플레이스 중 프로큐어먼트에 적용될 수 있는 정보보안의 경우를 소개, 독자 여러분의 이해를 돕고자 한다. 그림5는 e마켓플레이스에서 요구되는 전반적인 비즈니스 프로세스다.
<그림> e프로큐어먼트(eProcurement)의 비즈니스프로세스
여기서는 비즈니스 환경 분석을 통해 야기될 수 있는 대표적인 위협요소인 사용자 신분인증 및 문서의 위·변조 등에 대응해 적용되는 다양한 보안 솔루션 중 웹 기반에서의 사용자 인증통합 및 비즈니스적 연동이 빈번한 제휴 업체들과의 신뢰할수 있는 접근통제가 가능한 방안에 대해 소개하고자 한다. 그림6은 e마켓플레이스에서 e프로큐어먼트가 바이어와 공급자 측을 기준으로 적용되는 아키텍처다.
<그림> e프로큐어먼트 아키텍처쳐
이제 표와 같은 통합 보안 솔루션을 비즈니스 프로세스 분석을 통한 적용되는 경우를 알아보기로 한다.
<표> 보안 적용 기술 및 서비스 내역
이제까지 간략하나마 e비즈니스 환경에서의 정보보안 위협·위험 요소, 프레임워크의 필요성과 e비즈니스 아키텍처, 통합 기술과 정보보안 서비스를 통한 트렌드 분석 그리고 마지막으로 실제 e마켓플레이스에서 비즈니스 프로세스 분석을 통한 정보보안 구현 방안을 통해 적용 방안에 대해 알아보았다.
실제로 이같은 e마켓플레이스 시스템 환경에서의 정보보안 구현은 매우 복잡하고 어렵지만 위의 구현의 예를 통해 e비즈니스에 대비한 정보보안의 구현 방안을 암시적이나마 밝혀 보는 바이다.
e비즈니스 패러다임은 점점 더 다각화되고 정보보안 관련 기술 또한 빠르게 변화하고 있다. 이러한 시점에서 e비즈니스에서의 시큐리티는 점점 더 그 중요성이 부각되는 추세다.
◇저자 약력/ 홍승필 박사 LG CNS e비즈니스솔루션팀
- 1970년 6월 7일 서울 출생
- 1993년 5월 인디애너 주립대학 컴퓨터공학과 졸업
- 1997년 8월 일리노이공대학 박사
- 1997년 11월∼현재 LG CNS 기술연구부문 재직
★관련 그래프/도표 보기
관련 통계자료 다운로드 보안 적용 기술과 서비스 내역