출처 :
http://www.dailysecu.com/news_view.php?article_id=7367
http://www.dailysecu.com/news_view.php?article_id=7453
http://www.dailysecu.com/news_view.php?article_id=7537
http://www.dailysecu.com/news_view.php?article_id=7599
정보보호 관리체계라는 단어는 정보보호를 업으로 하는 사람들은 모르는 사람이 없을 정도로 오랜 기간, 많은 사람들의 입에 오르내렸다. 하지만 최근에는 정보보호 관리체계의 무용론이 대두될 정도의 불안한 위치에 놓여있다. 조직의 관점에서 정보보호관리체계는 필요한 과정이지만 결과로서 실효성과 의미를 부여하기 어려운 것이 현실이다.
물론 그 이유가 정보보호관리체계의 관리과정이나 통제항목이 현실적인 보안 이슈를 뒤따르지 못하기 때문은 결코 아니다. 오히려 정보보호 관리체계를 하나의 1회성 이벤트나 연례행사 수준의 곤욕으로 받아드리거나 외부 전문업체에게 위탁하여 인증산출물을 양산하고 있기 때문일지도 모른다.
그리고 그 안에 숨겨진 또 다른 중요한 이유가 있다면 20년이나 더 지난 오래된 방식의 위험분석 방법론으로 인해 현재의 공격 유형과 정보보호 패러다임을 반영하지 못하기 때문이기도 할 것이다.
유형자산 위주의 자산식별 및 평가, 선제적 대응보다는 사후 분석 위주의 위험분석, 어디까지 누구에게 전달되는지 모르는 회사의 정보들. 정보는 공유되지만 특정 부문만 인증범위로 제한적으로 심사하는 인증범위. 이러한 문제점들이 정보보호 관리체계를 수박 겉핥기 식의 문서양산 프로젝트로 만들고 있는 것인지도 모른다.
이 문제를 해결하기 위한 가장 중요한 열쇠는 정보 흐름으로의 확장이다. 정보보호 관리체계의 중심은 ‘정보’여야 하는데 우리가 분석하고 있는 자산이나 취약점은 웹서버, 네트워크 장비 등 유형자산 위주로 제한되어 있어, 정보의 탈취를 목적으로 하고 있는 최신의 정보보안 위협으로부터 자산을 보호하기에 한계가 있어 보인다. 이에 기존의 정보보호 관리체계에 보완이 필요한 것으로 보이는 정보 중심적인 정보보호관리체계에 대한 의견을 내고자 한다.
오늘은 그 첫번째로 조직을 둘러싼 환경변화를 살펴보도록 해보자.
정보보호의 환경변화는 정보기술(Information Technology)의 변화에 따른 것이고 정보기술의 변화는 비즈니스 환경변화에 반응한다. 결국 정보보호의 환경변화는 IT 관련 비즈니스가 어떻게 변화하고 있는 가에 따라 달라진다. 먼저 전통적인 비즈니스 환경변화와 비즈니스 환경변화를 살펴보자.
1. 비즈니스 환경변화
1990년대 말부터 시작된 .COM열풍은 전세계적으로 많은 변화를 가져 왔다.
IT 경제 발전에 따른 인터넷 경제가 급성장하고, 세계화에 따른 국가간, 기업간 거래나 정보공유가 늘어났다. 이러한 인터넷의 중심인 네트워킹은 서비스업은 물론 제조업에도 영향을 미치게 되는데, 그로 인한 것이 디지털 컨버전스이다. 여기서 언급하는 디지털 컨버전스는 두 개 이상의 기능이 결합하여 새로운 기능과 서비스를 창출하는 것을 의미한다. 또한 기술발전에 따른 양방향 커뮤니케이션이 가능해짐에 따라 사용자가 참여하는 문화가 발달하게 된다.
이러한 변화로 인해 정보기술은 다양한 분야 침투되어 이용되어 왔는데 이를 악용하는 사례들도 나타나게 된다. 정보가 무형의 데이터로 저장∙관리됨에 따라 내부 회계시스템의 부정을 손쉽게 일으킬 수 있는 계기가 마련된 것이 대표적이다. 북미의 ‘E社’ 사건을 계기로 내부회계관리제도 등의 국가가 정책적으로 데이터의 무결성을 보증하려는 노력도 만들어지게 된다.
2. 정보기술 환경변화
비즈니스의 환경변화는 정보기술의 변화를 이끌어 왔다.
정보보안과 관련해서는 세가지 측면에서 볼 수 있는데, 그 첫번째는 사용자 측면이다.
사용자가 사용하는 디바이스, 즉 PC나 스마트폰 등은 예전에는 상상할 수 없을 정도로 제한적이었다. 메인프레임이나 대형 서버들로만 정보를 처리할 수 있었던 20~30년 전에는 접속 가능한 더미(Dummy) 단말기 하나만으로 업무를 처리할 수 있었는데, 실제로 업무처리는 메인프레임이나 대형 서버에서 정보처리가 이루어졌기 때문에, 이때에는 물리적인 보안이 실질적인 정보보안이었다.
정보가 유출되더라도 실제로 그 정보를 처리할 시스템을 보유하고 있지 않아 정보유출 자체가 무의미한 상황이었다. 현재에는 PC, 노트북, PDA, MP3, 스마트폰, 스마트패드 등 기술의 발전과 하드웨어 가격하락을 통해 정보처리가 가능한 디바이스가 증가했으며, 소형화에 따른 이동성이 증가했다. 스마트 워크나 재택근무, 모바일 캠퍼스와 같은 서비스 역시 이동성이 증가한 강력한 성능의 하드웨어로 인해 가능해 진 것이다.
디바이스를 사람에게 배정하는 행태도 180도 뒤바뀌었다. 예전에는 같은 팀 내에 하나의 PC를 다수의 사용자가 공유하고 이용하게 하는 행태에서 지금은 단일 사용자에게 PC와 노트북, 스마트 패드, 스마트폰 등 다수의 정보처리가 가능한 디바이스를 배정하는 즉, 한 사람의 사용자가 다수의 디바이스를 관리하는 형태로 변화되었다. 이러한 변화는 동일한 정보가 다양한 디바이스에 담기게 되어 정보유출의 창구가 늘어나는 이유를 만들 뿐 아니라, 이를 관리하는 사용자가 정보보안의 전문가가 아닌 일반사용자, 임직원이 되므로 이들의 낮은 보안인식을 공격하는 사회공학적 공격이 보다 쉬운 정보유출을 만드는 상황이 되었다.
두번째로 자원 측면이다.
정보기술은 탄생초기에 업무를 지원하는 형태로 나타났으나 지금은 정보기술의 도움없이 업무를 볼 수 없다는 것은 상상하기 조차 힘들다. 이것은 단순한 PC의 존재가 아니라 네트워킹이 가능한 디바이스를 의미하는 것으로 업무자체가 수많은 커뮤니케이션으로 이루어지고 있기 때문에 정보기술 자원의 중요성이 더욱 부각되었다.
세번째로 네트워크 측면이다.
사용자의 정보처리가 가능한 디바이스의 이동성 증가와 업무처리 효율성을 위한 정보기술 인프라 이용은 네트워크의 부하와 의존성을 증가시켰다.
3. 정보보호 환경변화
비즈니스와 정보기술의 환경변화는 정보보호의 변화를 이끌어 오게 되는데 그 변화에는 몇가지 특징이 있다.
첫번째, 기업이나 기관에서 운용하는 플랫폼이 월드와이드웹(WWW)으로 통합되었다.
1990년 대 말부터 일어난 .COM 열풍붐으로 인해 너도 나도 홈페이지를 만들고, 홈페이지가 없는 회사는 이상한 회사라는 오해를 받을 정도로 월드와이드웹이 각광받고 있다. 결국 기업이나 기관이 제공하는 사용자 대상의 서비스는 월드와이드웹을 제외하고는 찾아보기 힘들어졌다.
공격자들이 공격할 대상이 웹 이외에 찾기 어려워졌다는 점에서 웹을 대상으로 한 공격이 증가하고 있다는 이야기는 틀린 말이다.. 오히려 인터넷에서 제공되고 있는 대다수의 서비스가 웹을 기반으로 구동되고 있는 상황에서 공격자들이 웹 이외에는 공격할 대상이 없어졌다는 것이 보다 정확한 표현이다.
두번째는 개인사용자 입장에서는 기술의 발전으로 컴퓨팅 파워가 증가되어 서버중심의 정보처리가 PC, 노트북 등으로 옮겨갔다. 심지어 간단한 문서작업이나 편집은 스마트폰, 스마트패드에서 가능하다. 컴퓨팅 파워의 증가는 정보가 저장∙관리되는 공간이 더 이상 서버가 아닌 사용자가 보유하고 이용하는 클라이언트 단말기에 존재한다는 것을 의미한다. 기술발전으로 인해 하드웨어 가격이 낮아지면서 정보처리의 주체가 변경되기도 했지만 외부저장매체의 사용으로 인한 정보유출 수단이 다양화되는 결과를 초래했다.
마지막으로 공격자는 실력을 과시하던 상황에서 정보의 가치가 올라감에 따라 금전적 이득 취하는 것으로 바뀌게 되었고, 서버를 대상으로 하던 공격이 서비스를 거부하도록 만들거나 정보를 탈취하는 공격의 형태로 바뀌게 되었다.
비즈니스와 정보기술의 변화, 그에 따른 정보보호의 이슈는 지속적으로 변화하고 있다. 이러한 변화에 대응하기 위해서는 기존 방식의 정보보호로는 조직의 보안수준을 만족시킬 수 없다. 특히 유형의 자산이 아닌 정보자체가 가치를 지니며, 조직 내∙외부에 공유를 하면서 비즈니스를 창출하는 현재의 상황으로서는 정보자체의 흐름을 파악하지 않고서는 적절한 수준의 보안성을 유지할 수 없다. 우리가 보호해야 할 자산이 서버나 네트워크 장비 등의 하드웨어가 아니고 그 안에 저장되어 있는 정보들이라면 정보가 어디에서 생성되어서 어떻게, 어디로 전달되고 관리, 파기 되는지를 알아야 보호할 수 있다.
--
◇조직에서의 정보유통 변화
전통적인 산업사회 이후에 조직에서의 커뮤니케이션은 피라미드라고 불리는 조직도 형태로 이뤄졌다. 즉, 상급자가 정보를 가진 채 하급자에게 전달해주지 않으면 정보의 유통은 절단되었다. 이러한 형태는 팀 내에서, 부서 내에서, 본부 내에서만 정보가 유통되는 되는 것을 의미한다.
그러나 지식정보 사회가 변화해 오면서 Mobile Messenger, SNS 등의 IT기술을 활용한 커뮤니케이션 수단의 발달로 정보 유통의 속도와 방식이 괄목할 만큼 증가하였다. 이런 흐름은 다시 조직 내외부의 정보전달과 커뮤니케이션의 양적 증대를 초래했다.
그림 1에서 볼 수 있듯, 전통적인 산업사회가 피라미드 구조의 조직형태였다면, 지식정보사회로에서의 조직구조는 유연한 형태로 변화되었다. 정확히 말하면 조직도의 형태는 그대로 이지만 정보 유통방식이 원형의 그물망 형태로 복잡하게 변화했다는 것을 의미한다. 우리가 조직 내에서 자주 볼 수 있는 TFT(Task Force Team)의 형태가 대표적이다.
조직이 변화됨에 따라 업무지시가 상하, 좌우, 대각 등 다양한 곳에서 업무가 내려지고, 정보유통과 협업도 다양한 형태로 이뤄지게 되어 통제, 관리, 표준화의 어려움이 나났다. 또 이러한 조직의 중요한 커뮤니케이션 정보는 공급과잉의 시대에 중요한 재화로서 가치를 지니게 되었다.
◇조직구성원의 정보 이용 행태 변화
산업사회 이후에 나타난 조직의 변화는 정보이용의 관점에서 상당히 큰 의미를 갖는다. 정보의 유통, 즉 정보를 관리하기 위한 대상이 실제 정보가 아니라 정보가 담겨 있는 유형의 자산에서 무형의 자산으로 이동 되었기 때문이다.
예전의 정보는 유형자산에 담긴 상태로 관리가 가능했다. 단일 정보는 단일 자산으로 1:1로 맵핑되었기 때문이다. 그로 인해 자산의 관리가 곧, 정보의 관리를 의미했다. 정보의 유통을 막고 싶으면 하드웨어를 통제하면 가능했다는 뜻이다.
예를 들면 서버에 담긴 정보를 보호하고 싶으면 장비의 입출입 대장을 쓰고 출입자를 관리하면 되었고, 사용자 PC 단에 담긴 정보를 관리하고 싶으면 USB나 CD의 입출입을 관리하면 정보의 통제가 가능했다. 그러나 지금은 다르다.
정보를 통제하기 위해서는 정보를 둘러싼 하드웨어만을 통제해서는 안 된다. 정보의 형태가 계속적으로 변하기 때문이다. 또한 어플리케이션을 통제하는 것으로 일부의 성과를 얻을 수는 있지만 실제 가능한 통제범위를 효과적으로 보호하기는 힘들다.
다음 ‘정보 이용행태’를 살펴보자.
정보는 데이터베이스에 집적되어 있거나 개인이 관리하는 형태로 보관되다가 프린트를 하여 소프트카피에서 하드카피로 변경된다. 이러한 1차 생산물은 PDF나 SCAN을 통해 이미지 형태의 소프트카피로 또다시 변경이 가능하며, 복사나 FAX를 통해 다른 사람에게 전달될 수 있다. 이러한 정보는 다시 PDF나 SCAN을 통해 소프트 카피화되며, ‘image to text’ 등의 프로그램을 통해 50~90%까지 데이터를 복원할 수 있다.
이러한 정보이용의 형태는 정보기술의 환경변화(‘제1화 환경변화에 따른 정보보호 관리체계의 변화 2. 정보기술의 환경변화’ 참조)에 힘입어 다양한 디바이스로 동일한 정보가 복제된다. 동일한 정보가 서버에도, 내 PC에도, 스마트패드에도 스마트폰에도 복제된다. 업무목적이기 때문에 전통적인 비인가자를 통제하는 보호대책이나, 알 권리에 따른 권한부여 역시 무력화 할 수 있다. 최근에는 비인가자나 권한부여의 미흡으로 인한 정보유출보다, 임직원의 실수와 악의적인 행동. 이 두가지 경우로 일어나는 사례가 더 많기 때문이다.
--
30년 넘도록 백신소프트웨어를 이용해 왔고 20년 가까이 컨설팅과 관제 서비스를 이용하고 있는 조직 입장에서는 왜 아직도 정보유출을 고민하고 있는 것일까? 특정 기술이나 서비스만으로는 더 이상 정보유출을 막기 어렵기 때문이 아닐까?
한번 살펴보자. 오랜 기간 줄다리기하고 있는 정보유출의 원인을.
◇잠재위험의 증가
정보유출의 원인은 먼저 잠재적인 위험의 증가를 꼽을 수 있다.
보안 컨설턴트들은 지겹도록 들었고, 무용론이 제기될 정도로 많은 사람들이 쉽게 생각하고 있는 위험분석의 공식을 살펴보자. 전세계적으로 200여 개의 보안 위험분석 방법론이 존재하지만, 국내나 해외나 교과서적인 기본공식은 자산, 취약성, 위협의 일련의 연산을 거쳐서 위험을 판단한다. 통상적으로 자산가치와 취약 정도, 위협 정도를 곱하여 위험의 정량적인 값을 산정하는 방식이다. 다시 말하면 위협과 취약성 값이 고정되어도 자산의 가치가 증가하면 위험의 정도는 커지게 된다.
공공기관도 마찬가지지만 특히 민간기업은 자산의 가치를 극대화하는 것이 지상과제이다. 매출과 영업이익률은 늘리고 비용은 줄어야 한다. 이 과정에서 위험은 점차 증가하게 된다. 앞서 말했던 위협과 취약성이 증가하는 현재 상황에서는 위험은 커지고 있으며 빈도 또한 빈번해지고 있다. 정보보안과 관련된 잠재적인 위험은 비즈니스 가치에 비례해서 올라가는 것이다. 기업이나 기관은 인정해야 한다. 우리가 아무것도 하지 않아도 세상에 잘 알려져 유명해질수록 정보보안 위험의 크기와 빈도도 함께 증가한다는 것을.
이러한 사실에 깔려 있는 조직 C-Level(CXO)의 인식수준은 정보보안과 관련된 지출을 투자가 아닌 비용으로 바라보기 때문에 자산가치가 증가하여도 위험을 줄이려는 노력이 일정수준 이상 증가하지 않는 것이다. 그래서 침해사고가 발생한 뒤에야 정보보안과 관련된 지출을 늘리는 조직이 많은 것이고, 정보보안 활동을 하는 것보다 과태료나 과징금, 벌금 등을 내는 것이 비용-효과적이라고 판단하는 것이다.
◇보안관리의 수행
정보유출의 두번째 원인은 지속적이지 않은 보안관리이다.
일반적으로 정보보안의 활동은, 정보기술의 일부로 이벤트적 성격으로 바라보는 경향이 많다. 보안 제품을 도입하거나, 보안 컨설팅을 수행하여도 보안 감사만 잘 받고 그때만 면피하게 되면 괜찮은 것이라는 생각들이 지배적이다.
전년도에 있었던 위험분석이나 모니터링, 보안 감사가 일회성이 아닌 연속성을 갖고 진행되어야 한다. 작년에 나왔던 보안감사의 지적 사항은 올해도 당연히 검토해야 하며, 정황적인 내용뿐만 아니라 왜 그렇게 되었는지 그 안에 숨겨진 내용을 살펴보아야 한다. 예를 들면 통제구역의 출입문이 계속 열린 상태로 있다면 문을 닫지 않은 사람을 벌하기 보다는 왜 문이 자주 열려있는지에 대한 고민이 필요하다. 통제구역 내부가 답답하고, 환기가 어렵다면 그러한 교정통제들은 제대로 준수되기 어렵다. 악의적인 공격자들은 이러한 부분을 소소한 기회를 틈타서 노리기 때문이다.
사실, 정보보안은 정보기술이 많이 관여하긴 하지만 비즈니스에 종속적인 부분이 많다. 비즈니스의 가용성과 기밀성, 무결성을 깨뜨리는 작업을 하는 것이 공격자들의 성향이고, 이를 지키고자 하는 것이 정보보안의 지상과제이기 때문이다.
그래서 정보보안은 기술로 시작하지만 비즈니스로 끝나야 하는 것이 맞다.
◇식별되지 않는 정보자산
세 번째는 우리의 정보자산이 어디까지 나가있는지 모른 다는 것이다.
이것은 하드웨어나 소프트웨어가 아니라 정보자산, 즉 데이터에 대한 이야기이다. 우리의 정보가 어디 있느냐? 이 대답을 해줄 보안담당자는 많다. 하지만 어디까지가 우리 정보냐? 이 질문에 명확히 대답을 해줄 보안 담당자는 드물다. 예전과 달리 정보가 대형시스템에 집적되어 있지 않고 소형인 이동 가능한 디바이스에 복제되어 있으므로 이 정보들까지 관리해야만 한다. 하지만 쉽지 않은 일이다. 임직원이 보유한 다양한 디바이스의 정보를 모두 관리한다는 것이 쉽지 않은 뿐만 아니라, 프라이버시 침해에도 영향을 미친다.
◇파악되지 않는 프로세스
정보자산이 식별되지 않는 것과 연계선상에 있는 것이 프로세스이다. 정보는 공유를 원칙으로 생성되는 것이기 때문에 본인의 생각을 타인에게 동일하게 전달하기 위해서 정보는 이동하게 된다.
업무 프로세스는 곧 정보의 흐름이 된다는 의미이다. 내부자에 의한 보안위협이 90%를 상회하는 최근 상황에서는 비인가자의 외부로부터 공격보다 인가된 내부자의 악의적인 공격이 많은 것이므로 이것을 명확히 판단하려면 내부 프로세스를 인지하고 있어야 하는데 이러한 부분이 아직 부족하다.
◇구성원의 보안인식
마지막으로 가장 문제가 있다고 생각되는 것이 구성원들의 보안의식이다.
보안 의식 수준이 그 조직의 정보보안 수준을 결정한다고 해도 과언이 아니다. 얼마 전 돌잔치 문자메시지 같은 스미싱이 조직 구성원에게 들어왔다고 가정해보자. 보안 담당자가 그것을 막을 수 있는가? 전체 조직 구성원의 50%가 보안담당자라고 해보자. 아니면 현재 국내에 나와있는 모든 보안솔루션을 도입하여 적용하였다고 해보자. 과연 그러한 새로운 위협을 막을 수 있는가?
이상한 문자나, 사회공학적인 이메일, 또는 상급자를 사칭한 전화, 이 모든 것을 막아줄 보안 솔루션은 없다. 막는다고 해도 이미 지나버린 시그니처(signature)에 대한 것이다. 어디 전쟁이 동일한 방식으로 일어난 적이 있는가?
또한 최근 공격자의 경향은 양극화 현상을 보인다. 점점 더 고도화 되는 공격기술인 것이냐, 아니면 정교한 사회공학적 공격인 것이냐? 이다. 고도화되는 공격기술은 보안전문가와 솔루션이 막아주겠지만, 점차 증가하는 임직원을 대상으로 한 사회공학적 공격에 대한 방어는 그 누구도 대신해 줄 수 없다.
정보보안은 더 이상 전문가들만 해야 할 일은 아니다. 내부 임직원들이 함께 움직여야 조직의 보안성이 높아질 수 있다.
--
프로세스 중심적 또는 정보 중심적 정보보호 관리체계를 만드는 것은 상당히 어려운 일이다. 하지만 그것이 불가능의 영역은 아니다. 경영이나 정보기술에서 언급하는 BPR(Business Process Re-engineering)이나 PI(Process Innovation) 등의 프로젝트를 통해서 이미 경험한 기업들이 적지 않다. 보다 직접적으로 보안영역에서 프로세스나 정보 중심의 분석을 수행한 사례도 있다. 공공에서 일정 규모 이상의 프로젝트에서 수행하는 개인정보영향평가(PIA)가 그것이다. 정보 혹은 프로세스 중심의 정보보호 관리체계는 할 수는 있지만, 조금 손이 많이 갈 뿐이다.
연재의 마지막 제4화에서 정보 중심의 정보보호 관리체계를 위하여 정보를 어떻게 식별하고 분류해야 하는지를 구체적으로 살펴보도록 하자.
1. 정보 중심의 위험관리
당연한 말이지만 위험관리를 위해서는 자산에 대한 파악이 전제되어야 하며, 무엇을 보호해야 하는지 알아야 한다. 다만 여기서 중요한 것은 ‘무엇을 보호하는지’는 물론 어디까지 우리가 보호해야 하는 자산인지 파악하는 것이 더 중요하다.
위의 표에서 조직에서 중요시 여겨야 할 것은 “무엇을 보호할 것인가”와 “얼마나 보호할 것인가”이다. “어떤 위협이 있는지”와 “어떻게 보호할 것인지”는 여러 제품이나 서비스를 통해 외적 요인으로 해결할 수 있지만 “무엇”에 해당되는 것은 조직 내부인만이 알 수 있는 내용이기 때문이고 “얼마나”는 조직의 보안 성숙도에 따라서 결정되기 때문이다. “누가 보호할 것인가” 역시 조직 내부의 정치적인 문제이므로 이 또한 내부에서 결정할 문제이다.
2. 이용목적에 따른 정보의 분류
기존 위험분석에 있어 자산 식별은 기업의 업무를 지원하는 인프라를 중심으로 이루어져 왔다. 즉, 기업의 업무를 지원하는 네트워크, 서버 등 유형의 정보시스템을 주요 자산으로 식별하고, 해당 정보시스템의 관리자에 의해 가치가 평가되었다. 그러나 앞선 연재 내용에서 설명해 왔듯 이러한 자산식별 방법은 생성부터 파기에 이르는 생명주기(Life cycle)를 거치면서 형태가 변하는 특성을 갖는 ‘정보데이터’ 자산에는 적합하지 않다. 특히 재생산되거나 가공 및 복제되는 ‘정보데이터’의 특성으로 인해 자산 중요도(등급)가 함께 변동할 수 있게 되어 유출 또는 노출 등의 위협에 직면할 수 있기 때문이다. 이러한 이유로, ‘정보데이터’는 ‘형태’와 무관하게, 포함된 정보의 종류에 따라 식별 및 분류되어야 한다.
예를 들어 ‘정보데이터’가 이용되는 범위에 따라 기업 내부에서만 서비스 되는 ‘내부정보’, 기업 내부에서 사용하지만 필요에 의해 기업 외부에까지 서비스되는 ‘접점 정보’, 기업 외부에 서비스 되는 ‘공개정보’로 구분하여 식별한다.
‘내부정보’는 외부에 공개되어서는 안 되는 내부의 허가된 사용자로 이용이 제한되는 영업정보, 핵심기술 정보, 고객정보 등으로 분류할 수 있다. ‘접점정보’는 정보 주체의 동의를 얻은 정보, 내부정보와 외부정보의 조합으로 생성되는 정보 등으로 분류할 수 있다. ‘공개정보’는 외부 불특정 다수에게 제한 없이 공개되는 정보로 기업의 홍보정보, 상품정보 등이 해당된다.
3. 비즈니스 가치 기반의 정보데이터 중요도 평가
‘정보데이터는’ 최초 현업의 업무부서에서 생성되어 소유하게 되고, 현업에서의 이용 행태를 파악하고 있기 때문에, 식별된 ‘정보데이터’에 대한 중요도 평가는 해당 ‘정보데이터’의 소유자에 의해 이루어져야 한다.
기존 정보자산 평가 기준인 기밀성∙무결성∙가용성 이외에 해당 기업의 특성을 고려하여 평판∙재무∙준거의 위험영역 관점이나, 획득비용∙복구비용 등의 비용관점, 조직∙작업∙서비스의 영향범위 관점 등으로 비즈니스의 가치에 기반하여 보안성이 상실될 경우 발생되는 영향도를 측정한다. 기존의 기밀성∙무결성∙가용성이란 용어는 정보데이터의 소유자인 현업부서에서 이해하기 어려우므로 조금 더 직관적인 용어로 바꾼 것이라 이해하면 나을 것이다.
이렇게 이루어진 자산의 식별•중요도 평가를 바탕으로 ‘정보데이터’의 법률적 요구사항의 충족 여부와 취급 시의 기술적 취약성을 분석하고, 이에 따라 발생 가능한 가시적인 위협을 식별하여 최종적으로 위험이 평가되어야 한다.
4. 프로세스 관점의 정보자산 프로파일 작성
정보자산의 식별이 프로세스 관점으로 바뀌게 되면 정보자산 프로파일도 프로세스 관점으로 관리되어야 한다. 어떤 정보가 어디에서 유입 또는 수집되어 어디로 가는지를 알아야 하기 때문이다. 또한 정보는 기본적으로 공유와 활용을 목적으로 생성되기 때문에 저장된 정보를 어디에, 어떤 형태로, 어디까지 제공되는 지까지 파악하여야 한다.
표 4는 정보자산을 프로세스 관점에서 분석하기 위한 프로파일의 예제이다. 이와 같은 방식을 통해 정보자산이 어떻게 생성되고, 누가 데이터를 열람하는지, 누구를 거쳐 어디로 전달되는지 그리고 그 정보가 얼마나 중요한지를 일목요연하게 알 수 있게 된다.
5. 정보자산 흐름의 직관적인 도식화
마지막으로 작성된 정보자산 프로파일을 직관적으로 볼 수 있도록 도식화하여야 한다. 도식화는 한눈에 볼 수 있으면서 직관적이기 때문에 정보흐름상에 문제점과 이슈사항을 뽑아내는데 유용하다.
이러한 도식화는 정해진 방법이나 형태가 존재하는 것이 아니라 조직의 특성에 맞게 합리적인 수준으로 도식화를 할 수 있다. 혹은 PIMS나 PIA에서 언급하고 있는 수준의 흐름도라면 적당한 수준으로 볼 수 있다.
얼마 전 고객으로부터 전화를 받았다. 개인정보 유관 법률 상의 로그 보존기간에 대한 문의였다. 물론, 법률 상에서 요구되는 기간은 다르기 때문에 접근로그와 계정발급 등의 변동로그는 기한이 다르다는 것은 정답일 것이다. 그러나 정작 고객이 원하는 답변은 그것이 아니었다. 서로 다른 기한 중 가장 장기적으로 보관해야 하는 로그를 기준으로 다른 데이터 로그도 그에 맞추겠다는 의도였다.
이는 수많은 데이터를 관리해야 하는 담당자의 입장에서는 어쩔 수 없는 선택이지만 기업의 입장에서 보면 과연 제대로 된 보안관리나 로그의 본연적 기능이 이뤄진다고는 볼 수 없을 것이다.
'old > 관리적 보안' 카테고리의 다른 글
| [자료] 중소형 금융회사 보안수준 진단 가이드 (0) | 2014.08.28 |
|---|---|
| [기사] Cybersecurity: What the Board of Directors Needs to Ask (0) | 2014.08.22 |
| [기사] BS10012 : 개인정보 경영 시스템 취득 가이드 (0) | 2014.08.08 |
| [기사] 개인정보보호법 위반 행정처분 결과 공표제도 (0) | 2014.08.08 |
| [정리] 주민등록번호 수집 금지 제도 가이드라인 (2) | 2014.08.08 |
