http://cafe.naver.com/rapid7/2294
ISMS 인증을 위한 보안솔루션 구성 방안
ISMS 인증을 받으려면 어떤 보안솔루션을 구축해야
할까요?
2015년 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」
개정으로 ISMS 인증 대상이 매출 또는 세입이 1,500억 원 이상인 기업과 기관으로 확대되었습니다. 웬만한 규모의 기업과 기관들은
모두 보안을 소홀히 할 수 없도록 법이 점차 강화되고 있는데요. 여러분이 속한 곳도 지금은 ISMS 인증 대상이 아닐지라도 추후에는 ISMS
인증 대상이 될 가능성이 많습니다.
ISMS 인증을 위해서가 아니더라도 보안을 위해서 지켜야 할 사항은
무엇인지, 어떤 보안시스템을 구축해야 하는지 미리 알아둔다면 향후에 보다 쉽고 안전하게 여러분의 기업과 기관을 지킬 수 있을 것입니다. 이번
포스팅에서는 ISMS에서 요구하는 각 항목에 대해 어떤 보안솔루션을 이용하여 대응할 수 있는지 소개해 드리려고
합니다.
ISMS 통제항목 중에서도 보안솔루션과 밀접한 항목은 ‘물리적
보안, 시스템개발보안, 암호통제, 접근통제, 운영보안’입니다. 다음에서는 해당 항목 위주로 어떤 보안솔루션이 필요한지
알아보겠습니다.
<ISMS
보호대책 통제항목>
ISMS 보호대책 ‘7. 물리적 보안’ 항목에는 3개의 세부영역에
9개의 세부통제항목이 있습니다.
특히 전산장비가 설치된 전산실, 데이터 센터의 물리보안 설비에
대해서는 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제46조 및 같은 법 시행령 제37조제2항에 따른 「집적정보 통신시설
보호지침(미래창조과학부 고시)」에서 좀더 자세한 가이드를 제공하고 있습니다.
<집적정보통신시설보호지침 세부
가이드>
따라서, 전산실이나 데이터센터를 구축할 경우에는 ISMS의 물리적 보안 통제항목뿐만 아니라 ‘집적정보통신시설보호지침’에서 요구하는 항목까지도 고려하는 것이 좋습니다.
다만 전기, 소방, 조명 등의 설비는 보안부서보다는 건물•시설을 관리하는 부서나 환경•안전부서 등에서 관리하는 것이 보통입니다.
시스템 개발을 위해서는 먼저 보안성 검토를 통해서 해당 시스템에
필요한 보안 요소가 사전에 잘 반영되어 있는지 점검을 하는 것이 중요합니다. 시스템이 개발•구축된 이후에 뒤늦게 수정•개발하게 되면 추가 비용이
많이 소요되니 사전에 충분히 보안 검토가 이루어져야 합니다.
특히, 최근에는 ‘Secure Coding’이라고 하여 안전한
프로그램 개발이 중요시 되고 있으므로, 소스코드취약점점검도구 등을 통해서 보안취약점을 제거하고 시스템을 구현할 필요가
있습니다.
서버나 응용시스템, DB 등에 대한 접근통제와 ID와 패스워드,
인증서, OTP(One Time Password), 생체인식(지문, 홍체 등)을 통한 사용자 인증을 수행해야 합니다. 그리고 비밀번호는 일정
자리 이상으로 특수문자, 영문자, 숫자를 조합하여 주기적으로 변경시킴으로써 쉽게 추측하지 못하도록 해야 합니다.
특히 개인정보를 다루는 직무자의 PC는 인터넷과
분리하는 망분리를 통해서 외부로 개인정보가 유출되지 못하도록 보안시스템을 구축해야 합니다.
또한 최근에는 스마트폰의 보급화로 모바일기기를
통한 정보유출 위험이 증가하고 있으므로 무선인증, WIPS(Wireless Intrusion Prevention System, 무선방화벽),
MDM(Mobile Device Management) 등 모바일기기에 대한 보안에도 유의해야 합니다.
운영 보안을 위해서라도 먼저 취약점스캐너를
통해서 서버, 네트워크 장비, 응용시스템, DB 등에 대해서 안전하게 구축되어 있는지 확인한 후, 보안취약점을 제거하는 작업이 중요합니다.
보안취약점스캐너 같은 솔루션이 없다면, 정보보호전문업체의 보안취약점진단 전문인력을 통해서 적어도 1년에 1회 이상 주기적으로 취약점 점검 및
제거 작업을 수행하는 것이 좋습니다.
침해사고에 대한 신속한 탐지를 위해서는
ESM(Enterprise Security Management, 통합보안관리시스템), SIEM(Security Information and
Event Management, 보안정보이벤트관리)을 구축하여 통합보안관제모니터링을 수행하는 것도 필요합니다. 자체적인 보안관제시스템 구현이
어렵다면 보안관제서비스를 제공하는 업체를 이용하는 것도 하나의 방법입니다.
무엇보다도 운영에서 가장 중요한 점은 정기적인
보안취약점에 대한 점검 및 시정조치 활동을 지속적으로 하는 것입니다. 새로운 시스템들이 구축되고, 신규 보안취약점도 지속적으로 발생되기
때문에 지속적인 점검과 개선활동이 필요합니다.
<ISMS 대응
보안솔루션맵>
일부 솔루션은 ‘필수’로 분류해야 할지
‘권고’로 해야 할지 애매하지만, 다수의 보안솔루션이 필요한 것은 사실입니다. ISMS 인증을 위해서는 통제항목에 대한 증적자료가 필요한데요.
이러한 증적자료를 효과적으로 등록 관리할 수 있는 ‘정보보호활동 증적관리 시스템’도 있습니다.
물론
보안솔루션이 없어도 ISMS 인증에 대응할 수 있는 방법은 있을 것입니다. 하지만 이를 위해서는 인원과 시간이 많이 소요됩니다. 따라서 ISMS
인증 대비뿐만 아니라 보안침해사고 예방 및 신속한 대응을 위해서라도 최소한의 적절한 보안솔루션 구축은 필요합니다. 본인이 속한 기업과 기관에서
현재 필요한 보안 요소를 잘 파악하여 그에 맞는 적절한 보안솔루션을 구축하는 것이 좋습니다.
글 ㅣ 김병규 차장 ㅣ
LG CNS 보안컨설팅팀
댓글 없음:
댓글 쓰기