정보보호를 위한 전략적 접근, 정보리스크 관리

정보보호를 위한 전략적 접근, 정보리스크 관리 (Information Risk Management)

비즈니스 효율적인 보안투자의 중요한 기준

글로벌 경제체제에서 지식 경제체제로 전환되면서 지식자산, 즉 기업의 정보자산은 기업의 사활을 결정지을 수 있을 만큼 중요한 것으로 인식되고 있다. 이러한 정보자산을 안전하게 보호하기 위해서 그 특성에 부합되는 좀 더 세심한 보호전략이 필요하다고 할 수 있다. 특히 정보리스크 관리(Information Risk Management)는 보안과 비즈니스 효율성을 동시에 만족하기 위한 전략적 접근법으로 비즈니스 효율적인 보안투자를 위해서 가장 중요시 되어야 하는 기준이다.

‘열 사람이 지켜도 한 도둑 못 막는다’라는 속담이 있다. 의도적인 유출 시도에 대해 자산을 안전하게 지키는 것이 얼마나 어려운지, 그리고 이러한 고민이 얼마나 오래 전부터 있어왔는지를 보여주는 속담이다. 근래에 들어 글로벌 경제 체제가 산업 경제에서 지식 경제 체제로 전환되면서 지식자산, 즉 정보자산이 기업의 가장 중요한 자산으로 인식되고 있다.

또한 최근 국내에서는 각각의 기업들이 경쟁적으로 수집한 엄청난 양의 개인 정보도 보유하고 있으며 잇달아 발생하는 개인정보 유출사고로 인해 그 대책을 고민하고 있는 실정이다. 특히 개인 정보가 유출 되었을 경우 유출 당사자들의 손해 배상 청구 소송으로 인해 고액의 배상금을 부담해야 하는 위험이 있어 어떠한 경우에는 이것이 기업의 사활을 결정지을 수 있을 만큼 중대한 위협 요소가 되고 있다.

정보자산 보호의 어려움

현재까지 정보 유출을 막기 위해 많은 솔루션들이 나와있지만 최근 여러 개인정보 유출사례에서도 볼 수 있듯이 다양한 형태로 이루어지는 정보유출 시도에 대해서는 속수무책인 경우가 많다. 현재 무형의 정보유출을 방지하기 위한 접근방법은 과거의 유형 자산을 지키는 접근 방법과 크게 다르지 않다. 보통 외부의 침입자가 내부로 들어오지 못하도록 주변경계를 강화하는데 주력하고 있다. 하지만 정보자산은 유형자산과 몇 가지 중대한 차이점을 갖는다.

우선, 정보자산은 무한히 복제가 가능하며 형태 또한 변형될 수 있다. 즉 기업의 중요 정보 자산은 기업 내부 여러 곳에 복제되고 다양한 형태로 변형되어 존재한다는 점이다. 따라서 지켜야 할 자산이 정확히 어디에 어떻게 존재하고 있는지 파악하기 어렵다. 또한 자산의 복제 가능성으로 인해 정보 자산이 유출되었을 경우 이 사실을 즉각 확인하는 것 또한 어렵다.

이와 함께 정보자산은 매우 다양한 경로를 통해 유출될 수 있다. FTP, 웹 메일, 트로이목마 바이러스, USB 메모리, CD, 출력물 등 감시해야 경로는 너무도 많다. 사내 업무에 지장을 초래하지 않으면서 모든 경로를 원천 봉쇄하여 정보 유출을 막는 것은 현실적으로 불가능하다. 따라서 이러한 정보 자산을 안전하게 보호하기 위해서는 정보 자산만이 가지는 특성에 부합되는 좀 더 세심한 보호전략이 필요하다고 할 수 있다.

정보리스크 관리의 개념

예전부터 보안과 편리성은 서로 트레이드오프(Trade-off) 관계에 있다고 인식이 되어 왔다. 보안 확보를 위해서는 기업 비즈니스의 제약 혹은 비효율성은 필수불가결한 것으로 인식되었기 때문이다. 때로는 과도한 보안 솔루션 도입이 비즈니스를 저해하는 요소로 인식되기도 한다.

사실 지금까지 보안에 대한 투자는 막연한 두려움에서 시작되는 경우가 많았고 두려움으로부터 시작된 보안투자는 비효율적인 곳에 과잉투자를 초래하곤 했다. 효율적인 보안투자는 비즈니스 목적에 기반한 전략적 접근을 통해 이루어질 수 있다. 이는 ‘어떠한 현상을 방지할 것인가?’라는 질문이 아닌 ‘비즈니스를 원활히 하기 위해 무엇을 보호할 것인가?’라는 질문에서 시작한다.

정보리스크 관리(Information Risk Management)는 보안과 비즈니스 효율성을 동시에 만족하기 위한 전략적 접근법이다. 리스크 관리가 새로운 개념은 아니지만 비즈니스 효율적인 보안투자를 위해서 가장 중요시 되어야 하는 기준이다. 정보리스크 관리는 크게 세 가지 특징을 가지고 있다.

■ 정보 중심(Information Centric) : 사내의 정보 자산을 중심으로 그것이 어떠한 위협에 노출되어 있는지를 중점적으로 분석한다.

■ 리스크 기반(Risk Based) : 현재 조직이 가지고 있는 리스크를 기반으로 보안투자의 우선 순위를 결정한다.

■ 재사용성(Repeatable) : 표준 프레임워크 또는 모범적인 구축사례에 기반한 보안 정책 및 솔루션을 구축함으로써 여러 보안 부분에 다중으로 적용될 수 있고 컴플라이언스 요구사항을 충족을 통해 보안 확보를 위한 비용 및 시간을 절감할 수 있다.

정보리스크 관리 프로세스

RSA의 정보 리스크 관리는 크게 4단계의 프로세스를 통해 구현된다.

■ 정보의 발견 및 분류(Discover and Classify)

첫 번째 단계는 정보의 발견 및 분류(Discover and Classify)이다. 정보가 중요도에 따라 분류되고 적절한 보안 장치가 적용되어야 한다는 것은 너무도 당연한 사실이다. 하지만 그에 앞서 정보를 분류하기 위해 정보에 대한 발견이 무엇보다도 중요하다고 할 수 있다.

앞서 기술한 바와 같이 정보 자산은 무한히 복제가 가능하고 다양한 형태로 가공이 가능하기 때문에 사내의 중요 정보들은 실제 인식되고 있는 것 보다 조직 내 훨씬 다양한 곳에 다양한 형태로 존재하게 된다.

이러한 것들을 모두 찾아내고 중요 정보를 분류해야 의도된 혹은 의도되지 않은 정보유출을 방지할 수 있다. 이러한 작업은 정보 발견 및 분류 서비스(Information Discovery and Classification Service)를 통해 이루어 질 수 있다. 정보 발견 및 분류 서비스는 사내 중요 정보들을 정의하고 자동화된 도구를 이용하여 사내에 존재하는 모든 저장된 정보를 검색하여 분류한다. 현재 RSA, 시만텍, IBM 등이 이러한 서비스를 제공하고 있다.

■ 정책 정의(Define Policy)

두 번째 단계는 정책 정의(Define Policy)이다. 필자는 지금까지 여러 보안 솔루션들이 적용되면서 정책의 부재로 인해 해당 솔루션이 보안 위협을 그대로 가져가는 경우를 많이 보아왔다. 많은 관리자들이 보안 솔루션이 당면한 보안 위협을 해결해 줄 것으로 생각하지만 세심하게 정의된 보안 정책에 기반해 솔루션을 운영하지 않는다면 여전히 많은 위협에 노출될 수 밖에 없다.

보안 정책은 첫 번째 단계에서 발견하고 분류한 정보들을 어떻게 보호할 것인지에 대한 방침을 의미한다. 사내 직원들이 정보에 접근할 수 있는 권한을 어떻게 분리할 것인지, 정보에 접근하기 위한 절차는 어떻게 할 것인지에 대한 내부 통제 프로세스를 정의하고 중요 정보들을 어떻게 보관하고 이를 보호할 것인지에 대해 세심한 프로세스의 정의가 필요하다. 최근에 일어난 정보 유출 사고들은 다양한 보안 솔루션들이 적용되어 있는 상황에서도 이것들을 우회하는 방향으로 이루어졌다. 세심하게 정의된 보안 정책은 이러한 우회 경로를 효과적으로 차단할 수 있다.

●통제 적용(Enforce Control)

세 번째 단계는 정책에 기반한 통제 적용(Enforce Control)이다. 최근 대량의 고객정보 유출 사고가 발생했을 때 많은 사람들이 고객 정보 암호화에 대해서 고민했다. 고객 정보가 암호화되면 파일 혹은 DB에 직접 접근하는 공격에 대해서 안전을 확보할 수 있지만 정식으로 정보 접근 권한을 획득해서 정보를 조회하는 경우는 막을 수가 없다. 실제적인 정보 유출 방지를 위해서는 정보가 보관되고 이동하는 모든 경로에서 정보를 통제하는 것이 중요하다. 정보를 통제하는 방법은 매우 다양하지만 크게 데이터 통제와 접근 통제로 분류할 수 있다.

●데이터 통제(Data Control)

데이터 통제 방식에는 보호되어야 하는 주요 데이터에 대한 암호화 및 키 관리, 정보 권한 관리(IRM : Information Rights Management), 데이터 유출 방지(DLP : Data Loss Prevention) 등이 있다. 최근 들어 시장의 관심이 집중되고 있는 데이터 유출 방지(DLP) 솔루션은 데이터가 사용되는 PC, 데이터가 이동하는 네트워크 또한 데이터가 보관되는 데이터 센터 모든 곳에서 정보 유출을 모니터링하고 적절히 통제하는 기능을 제공한다.

●접근 통제(Access Control)

접근 통제 방식에는 자격 정보 관리(Credential Management), 강력한 사용자 인증 및 접근 관리 등이 있다. 현재 국내에 자격 정보 관리 및 접근 관리는 IM(Identity Management) 및 EAM(Enterprise Access Management) 솔루션을 통해 많이 보급되고 있다.

IM은 사용자 계정의 생성/수정/삭제와 관련된 처리 절차를 정의하고 이를 자동화 하고 EAM은 사용자의 역할에 따라 사내 자원에 대한 세분화된 접근통제를 제공한다. 현재 IM 및 EAM은 시장에 활발이 적용되고 있는 상황이나 강력한 사용자 인증에 대해서는 아직 미흡한 부분이 많다. IM 및 EAM이 적용되어 있더라도 실제로 정보유출을 위해 자신의 신분을 접근권한을 가지고 있는 다른 사람으로 위장할 수만 있다면 기존의 접근 통제가 무의미해진다.

강력한 사용자 인증은 복수의 서로 다른 종류의 인증 수단을 사용하는 이중 인증(Two-Factor Authentication)을 통해 확보할 수 있다. 이중 인증을 위해서는 PKI 인증서/스마트카드/생체인식/일회용 비밀번호(OTP) 등의 기술이 사용된다. 특히 기업 내부 사용자를 위한 이중 인증 수단으로는 일회용 비밀번호(OTP)가 뛰어난 보안성과 손쉬운 적용 방법으로 인해 많은 관심을 받고 있다.

일회용 비밀번호 인증은 일회용 비밀번호 생성기(OTP Token)에서 특정 주기로 매번 새로 생성되는 일회용 비밀번호를 이용하는 것으로 기존의 ID/PW 인증 인터페이스를 그대로 사용할 수 있고 사용자 PC에 별도의 S/W가 설치될 필요가 없는 장점이 있다.

■ 보고 및 감사(Report and Audit)

마지막 네 번째 단계는 보고 및 감사(Report and Audit)이다. 이는 앞서 언급한 여러 솔루션들이 유기적으로 동작하고 있는지 감시하고 이상 징후에 대해 적절한 조치를 즉각적으로 취할 수 있도록 해준다.

또한 사내 보안 정책이 적절히 적용되고 있는지 판단하고 이 정보를 기준으로 보안 정책을 효과적으로 보완해 나갈 수가 있다. 이러한 보고 및 감사는 통합 로그관리를 통해 사내에서 발생하는 모든 이벤트 및 정보를 취합하고 이를 모니터링/분석함으로써 이루어진다.

이를 위한 대표적인 솔루션으로는 SIEM(Security Information and Event Management)을 들 수 있다. 실제로 사내 모든 보안 및 네트워크 장비, 서버 및 PC까지도 통합 모니터링을 한다면 대부분의 정보유출 시도를 탐지하고 이에 대한 적절한 조치를 취할 수 있다. 뿐만 아니라 현재 자신의 행위가 모니터링 되고 있다는 인식만으로도 많은 정보 유출 시도를 사전에 포기하게 만드는 효과 또한 기대할 수 있다.

정보 자산의 중요성이 급격히 증가하면서 정보 자산이 손실 또는 유출되면 조직이 입게 되는 손실 규모 또한 급격히 증가한다. 이제는 정보보호가 기업의 운명을 결정짓는 중요한 요인으로 부상하게 되었음에도 아직도 많은 기업의 정보보호 관련 업무는 정보보호 전문 인력이 아닌 IT 담당자들에 의해서 행해지는 경우가 많다.

효과적인 정보 보호를 위해서는 정책과 솔루션의 유기적인 결합이 무엇보다도 중요하다. 전사적인 정보 보호 정책을 확립하고 이를 기반으로 적절한 조치들을 취해나가기 위해서는 능력과 권한을 갖춘 정보보호 전문 조직을 사내에 갖추고, 실효성 있는 정보 보호를 위해 전사적 차원의 포괄적이고, 전략적인 접근을 하는 것이 중요하다.

<글 : 조남용 한국EMC RSA 정보보안사업부 과장(namyong.cho@rsa.com)>

[월간 정보보호21c 통권 제101호 (info@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)