IT ±¸¼ºÇÏ´Â ´Ù¸¥ ÇÁ·¹ÀÓ¿öÅ© ¾Ë¾Æ¾ß ÀûÇÕÇÑ ¾ÆÅ°ÅØ󡤼³°è °¡´É
<°ÔÀç¼ø¼>
¨çCBKÀÇ °³¿ä
¨èDomain 1 Information Security and Management(Á¤º¸º¸¾È°ú À§Çè°ü¸®)
¨éDomain 2 Access Control(Á¢±ÙÅëÁ¦)
¨êDomain 3 Cryptography(¾ÏÈ£ÇÐ)
¨ëDomain 4 Physical(Environmental) Security(¹°¸®Àû(ȯ°æÀû) º¸¾È)
¨ìDomain 5 Security Architecture and Design(º¸¾È ¾ÆÅ°ÅØó¿Í ¼³°è)
¨íDomain 6 Business Continuity and Disaster Recovery Planning(±â¾÷¿¬¼Ó ¹× À糺¹±¸°èȹ)
¨îDomain 7 Telecommunications and Network Security(Åë½Å ¹× ³×Æ®¿öÅ© º¸¾È)
¨ïDomain 8 Application Security(ÀÀ¿ëÇÁ·Î±×·¥ º¸¾È)
¨ðDomain 9 Operations Security(¿î¿µº¸¾È)
¨ñDomain 10 Legal, Regulations, Compliance and Investigations(¹ý, ±ÔÁ¤, Áؼö ¹× Á¶»ç)
¸Ó¸®¸»
ÀÎÅÍ³Ý ±â¹ÝÀÇ À¥ 2.0À¸·Î Çö½Ç¼¼°è°¡ ¹Ù²î°í ÀÖ´Ù. °ü°ø¼ÀÇ ¾÷¹«´Â ´ëºÎºÐ °³ÀÎÀÇ °øÀÎÀÎÁõ¼¸¦ ÅëÇØ ¿øÇÏ´Â Àå¼Ò¿¡¼ ¼ºñ½º ¹ÞÀ» ¼ö ÀÖ´Ù. ¸î ³â Àü¸¸ Çصµ °ü°ø¼ ÇàÁ¤¾÷¹«´Â ±¹¹ÎÀÌ °ü°ø¼¿¡ °¡¾ß¸¸ Çß¾ú´Ù. ÇÑ ´Þ¿¡ ¸î ¹øÀ» ¼Á¡À» °¡°í Á¾ÀÌ Ã¥À» Áñ°Ü ÇÏ´Â ÇÊÀÚÀÇ °æ¿ìµµ, ÀüÀÚÃ¥À» ±ÇÀåÇÏ´Â ¼Á¡ÀÇ ¸¶ÄÉÆÿ¡ ÀÌÁ¦ Ã¥µµ ÄÄÇ»ÅÍ·Î Àоî¾ß ÇÏ´Â ½Ã´ë°¡ µµ·¡ÇÔÀ» ºÎÁ¤ÇÒ ¼ö ¾ø´Ù.
¼Á¡ÀÌµç ¾Æ´Ï¸é µµ¼°üÀ» °¡ º» µ¶ÀÚµéÀº ´À³¢°ÚÁö¸¸ Ã¥µéÀÌ ÁÖÁ¦º°·Î ±¸ºÐµÇ¾î ÀÖÀ½À» ¾Ë ¼ö ÀÖ´Ù. ÀÌ·¸°Ô Á¤¸®°¡ ¾ÈµÅ ÀÖÀ¸¸é Ã¥À» ãÀ» ¼ö ¾øÀ» °ÍÀÌ´Ù. ¶ÇÇÑ Ã¥ÀåÀÌ Å©±â º°·Î ³õ¿©Á® ÀÖ¾î Ã¥ÀÌ º¸°üµÇ¾î ÀÖ´Ù. Å©±â º° Ã¥Àå°ú Ã¥ÀÇ ºÐ·ù´Â ¹Ì¸® °í¾ÈµÈ Ʋ¿¡ ÀÇÇÏ°Ô µÇ´Âµ¥ À̸¦ ¾ÆÅ°ÅØó¶ó ÇÒ ¼ö ÀÖ´Ù.
Á¤º¸º¸¾ÈÀ» À§Çؼ´Â º¸¾È¾ÆÅ°ÅØó¸¦ ±â¹ÝÀ¸·Î ÇÑ´Ù. µµ¼°üÀÇ Ã¥ÀåÀÇ Å©±â¿Í º¸°üÀå¼Ò¶ó´Â ¹°¸®ÀûÀÎ ¼³°è´Â ¹°·Ð ºÐ·ù±âÁØ°ú °°Àº ³í¸®ÀûÀÎ ¼³°è°¡ Àß Á¶È µÇ¾î¾ß ÇÑ´Ù. Á¤º¸º¸¾ÈÀÇ ¾ÆÅ°ÅØó ¶ÇÇÑ °°Àº ¸Æ¶ôÀ¸·Î º¸¸é µÈ´Ù. Á¤º¸º¸¾È ¾ÆÅ°ÅØóÀÇ ¼³°è¾ß ¸»·Î Á¤º¸º¸È£ÀÇ ½ÃÀÛÁ¡À̶ó ÇÒ ¼ö ÀÖ´Ù.
CBK(Common Body of Knowledge:(Á¤º¸º¸¾È)Áö½Äü°è)¸¦ ÀÌÇØÇÏ´Â ½Ã°£, ±× ´Ù¼¸ ¹ø° ÁÖÁ¦(µµ¸ÞÀÎÀ̶ó°í Ç¥ÇöÇصµ µÉ °Í °°´Ù)¸¦ »ìÆ캸ÀÚ. º¸¾È¾ÆÅ°ÅØó¿Í ¼³°è¶ó´Â ÁÖÁ¦ÀÌ´Ù.
°¡¿ë¼º, ¹«°á¼º, ±â¹Ð¼ºÀÇ º¸¾È 3¿ä¼Ò¸¦ ±¸ÇöÇϱâ À§ÇÑ ÀÀ¿ëÇÁ·Î±×·¥ÀÇ º¸¾È¾ÆÅ°ÅØó°¡ ÀÖ´Ù. ¶ÇÇÑ ½Ã½ºÅÛ°ú ±×¸¦ ÀÌ·ç´Â ÄÄÆ÷³ÍÆ®ÀÇ º¸¾È °µµ¿Í Ãë¾àÁ¡À» °í·ÁÇØ¾ß ÇÑ´Ù. º¸¾ÈÀû¿ëÀ» À§ÇÑ °øÅëÀûÀÎ º¸¾È¸ðµ¨À» Á¤ÀÇÇØ¾ß ÇÑ´Ù. ´õºÒ¾î Á¤º¸½Ã½ºÅÛ Æò°¡¸ðµ¨À» ÅëÇØ ½Å·Ú¼ºÀ» º¸ÁõÇÏ¿©¾ß ÇÑ´Ù. Á¤º¸º¸¾ÈÀÇ ±Ùº»ÀûÀΠƲ, ¸» ±×´ë·Î ¾ÆÅ°ÅØó°¡ ÁÖÁ¦ÀÌ´Ù.
CISSP(Certified Information System Security Professional:±¹Á¦°øÀÎ Á¤º¸½Ã½ºÅÛ º¸¾È Àü¹®°¡) ÀÚ°ÝÁõÀ» ¼ÒÁöÇÏ°í Á¤º¸º¸¾È ºÐ¾ß¿¡¼ È°¹ßÈ÷ È°µ¿À» ÇÏ´Â µ¶ÀÚ³ª ȤÀº CISSP¸¦ Áö±Ý µµÀüÇÏ´Â ÀÖ´Â µ¶ÀÚ, ¶ÇÇÑ CISSP¸¦ óÀ½ µé¾îº¸´Â µ¶ÀÚÀÌ°Ç °£¿¡ Á¤º¸º¸¾ÈÀÇ ÀÌ·ÐÀû ¹ÙÅÁÀ» ¾Ë±â À§ÇÑ ½Ã°£ÀÌ µÇ±æ ¹Ù¶õ´Ù.
°¡¿ë¼º, ¹«°á¼º, ±â¹Ð¼º°ú º¸¾È¾ÆÅ°ÅØó
º¸¾È¾ÆÅ°ÅØóÀÇ ¸ðµ¨¿¡¼ °¡¿ë¼ºÀ» ³íÇϱâ´Â ÈûµéÁö¸¸ TCB(Trusted Computing Base)´Â º¸¾È¾ÆÅ°ÅØó¿Í ¹°¸®Àû °¡¿ë¼ºÀ» Á¦°øÇÑ´Ù. S/W, H/W, Firmware¸¦ Æ÷ÇÔÇÑ ½Ã½ºÅÛ ³»ÀÇ ¸ðµç º¸¾È ¸ÞÄ¿´ÏÁòÀ» Æ÷ÇÔÇÏ°Ô µÈ´Ù. ¾Æ·¡ ³»¿ëµéÀÌ TCB¸¦ ±¸¼ºÇÏ°í ÀÖ´Ù.
- ½Å·ÚµÈ °æ·Î(Trusted Path)
- º¸¾È °æ°è(Security Perimeter)
- ÂüÁ¶ ¸ð´ÏÅÍ(Reference Monitor)
- º¸¾È Ä¿³Î(Security Kennel)
- º¸¾È µµ¸ÞÀÎ(Security Domain)
Á÷Á¢ÀûÀÎ ¹«°á¼ºÀ» Á¦°øÇÏ´Â ¸ðµ¨Àº Biba¿Í Clark & Wilson ¸ðµ¨ÀÌ´Ù. Biba¸ðµ¨Àº ¹«°á¼ºÀ» À§ÇÑ »ó¾÷¿ë ¸ðµ¨·Î½á ÃÖÃÊÀÇ ¼öÇÐÀû ¸ðµ¨À̶ó´Â °ÍÀÌ Àǹ̰¡ ÀÖÀ¸¸ç, NRD(No Read Down)°ú NWU(No Writ Up)ÀÇ °´Ã¼¿¡ ´ëÇÑ 2°¡Áö Á¢±Ù¹ýÀÌ ÀÖ´Ù. Clark & Wilson¸ðµ¨ ¶ÇÇÑ ¹«°á¼ºÀ» °Á¶ÇÏ´Â »ó¾÷Àû ¸ðµ¨ÀÌÁö¸¸ Á÷¹«ºÐ¸®(SOD:Segregation Of Duty)¿Í °¨»ç(Auditing) ±â´ÉÀÌ Æ÷ÇԵǾî ÀÖ´Ù.
±â¹Ð¼ºÀº Bell-LaPadula¸ðµ¨ÀÌ ´ëÇ¥ÀûÀÌ´Ù. ´ÙÁßµî±Þº¸¾ÈÀ» Á¤ÇüÈÇØ ÁÖü¿Í °´Ã¼ÀÇ º¸¾È¼öÁØ°ú Á¢±ÙÀ» »ç¿ëÇÏ¿´´Ù. NRU(No Read Up)°ú NWD(No Write Down)¿Í ÀÓÀÇÀû Á¢±ÙÅëÁ¦¸¦ ±â¹ÝÀ¸·Î ÇÑ´Ù.
¡ã°¡¿ë¼º, ¹«°á¼º, ±â¹Ð¼º°ú º¸¾È¾ÆÅ°ÅØó.
±â¾÷º¸¾È ¾ÆÅ°ÅØóÀÇ Çʿ伺
¾ÆÅ°ÅØóÀÇ Çʿ伺¿¡ ´ëÇؼ´Â ±ÛÀÇ Ãʹݺο¡¼ ¼³¸íÇÏ¿´´Ù. ¾ÆÅ°ÅØó¸¦ ±â¹ÝÀ¸·Î º¸¾ÈÀ» ±¸ÇöÇÏ¿©¾ß ü°èÀûÀÎ Á¢±ÙÀ» ÇÒ ¼ö ÀÖ´Â °ÍÀº ¹°·ÐÀ̸ç ÇâÈÄ °¡±î¿î ¹Ì·¡ÀÇ º¸¾È¼³°è¸¦ ¿¹»óÇÒ ¼ö ÀÖ´Ù. ÀÏÁ¤ÇÑ Æ²ÀÌ ÀÖ¾î¾ß ±× Ʋ¿¡ ¸ÂÃß¾î ±¸¼º¿ä¼Ò¸¦ ±¸ÃàÇÒ ¼ö ÀÖÀ¸¸ç ÅëÀÏµÈ ±¸¼º¿ä¼Ò¸¦ ã¾Æ ³¾ ¼ö ÀÖ´Â °ÍÀÌ´Ù. ¿Ö ±â¾÷º¸¾È ¾ÆÅ°ÅØó¸¦ ¼ö¸³ÇØ¾ß ÇÏ´ÂÁö¸¦ ³ª¿Çغ¸¸é ´ÙÀ½°ú °°´Ù.
- Á¤º¸º¸¾ÈÀÇ »óÈ£¿î¿µ, ÅëÇÕÀ» Á¦°ø
- »õ·Î¿î º¸¾È¼³°è¿Í ±¸ÃàÀÇ È¿À²ÀûÀÎ Áö¿ø
- Á¤º¸ÀÚ»êÀÇ º¸È£¸¦ À§ÇÑ º¸¾È¼Ö·ç¼Ç Àû¿ëÀÇ ¿ëÀ̼º
- Á¤º¸ÀÚ»êÀÇ À§ÇèÀ» °ü¸®Çϸç Áߺ¹°ú ´©¶ôÀ» ¹æÁöÇÏ¿© ºñ¿ä Àý°¨
- ÀÇ»ç°áÁ¤±ÇÀÚÀÇ ºü¸£°í Çö¸íÇÑ ÀÇ»ç°áÁ¤ Áö¿ø
º¸¾È ¾ÆÅ°ÅØó¿Í ÇÁ·¹ÀÓ¿öÅ©
¡ãº¸¾È ¾ÆÅ°ÅØó¸¦ ±¸ÇöÇϱâ À§ÇÑ ÂüÁ¶ ÇÁ·¹ÀÓ¿öÅ©µé.
¸ÎÀ½¸»
Á¤º¸(½Ã½ºÅÛ)º¸¾ÈÀÇ ABC, CBK¸¦ ÀÌÇØÇÏ´Â 6¹ø° ½Ã°£ÀÌ¸é¼ CBKÀÇ ÁÖÁ¦·Î´Â 5¹ø° ÁÖÁ¦ÀÎ º¸¾È ¾ÆÅ°ÅØó¿Í ¼³°è¿¡ ´ëÇؼ ¾Ë¾Æº¸¾Ò´Ù. ¾ÆÅ°ÅØó¸¦ ¾ê±âÇÏ´Ù º¸´Ï Á» µüµüÇÑ ¾ê±âµé·Î ÀÌ·ç¾îÁ® ÀÖ¾ú´Ù.
CBKÀÇ °æ¿ìµµ ´Ù¸¥ Áö½Äü°è¿Í ¸¶Âù°¡Áö·Î ¸Å³â ³»¿ëÀ» º¸¿ÏÇÏ°í ÀÖ´Ù. ƯÈ÷ ÀÌ µµ¸ÞÀο¡¼´Â º¸¾È ¾ÆÅ°ÅØó¿Í ¼³°è¿¡ ÀÖ¾î IT¸¦ ±¸¼ºÇÏ°í ÀÖ´Â ´Ù¸¥ ÇÁ·¹ÀÓ¿öÅ©¸¦ ¾Ë¾Æ¾ß ÀûÇÕÇÑ ¾ÆÅ°ÅØó¿Í ¼³°è¸¦ ÇÒ ¼ö ÀÖ´Ù°í ÇÑ´Ù. ISO/IEC 27001, ITIL, COSO, CMMI°¡ ±× ³»¿ëÀÌ´Ù.
Á¤º¸º¸¾ÈÀÇ ±¹Á¦ Ç¥ÁØ¿¡ ´ëÇÑ ÀÎÁõÀº ISO/IEC 27001ÀÌ´Ù. IT¼ºñ½º°ü¸®¸¦ À§ÇÑ ÇÁ·¹ÀÓ¿öÅ©ÀÇ ±¸ÇöÀº ITIL(IT Infrastructure Library)ÀÌ´Ù. ±â¾÷ÀÇ ³»ºÎÅëÁ¦¿Í ±â¾÷Àü¹ÝÀÇ À§Çè°ü¸®¸¦ ¾ê±âÇÏ´Â °ÍÀº COSO(Committee Of Sponsoring Organization) ¸ðµ¨ÀÌ´Ù. SW Ç°ÁúÆò°¡ ±âÁØÀ¸·Î ³Î¸® »ç¿ëµÇ°í ÀÖ´Â CMMÀÇ ÈÄ¼Ó ¸ðµ¨ÀÎ CMMI(Capability Maturity Model Integration)´Â ¼ÒÇÁÆ®¿þ¾î(SW)¿Í ½Ã½ºÅÛ ±â¼úÀÇ ÇÁ·Î¼¼½º °³¼±À» À§ÇÑ ÅëÇÕ¸ðµ¨ÀÌ´Ù.
¼ÕÀÚ´Â ¡°ÀûÀ» ¾Ë°í ³ª¸¦ ¾Ë¸é ¹é ¹ø ½Î¿ö À§Å·ÓÁö ¾Ê´Ù(ò±ù¨ò±Ðù ÛÝîúÝÕ÷¿)¡±°í Çß´Ù. Á¤º¸º¸¾ÈÀÇ ¿Ã°ðÀº ¸ð½ÀÀº ¿¬°üµÈ ´Ù¸¥ Áö½Äü°è, ÇÁ·¹ÀÓ¿öÅ©¸¦ ¾ó¸¶³ª ÀÌÇØÇÏ´À³Ä¿¡ ´Þ·Á ÀÖ´Ù°íµµ º¼ ¼ö ÀÖ´Ù.
CISSPÀ¸·Î¼ ȤÀº Á¤º¸º¸È£ Àü¹®°¡·Î¼ÀÇ ±æÀº Á¤º¸(½Ã½ºÅÛ)º¸¾È°ú ±âŸ ¿¬°üµÇ´Â ºñÁî´Ï½º ¸ñÀû´Þ¼ºÀ» À§ÇÑ ´Ù¸¥ ¸ðµ¨À» ¾ÍÀ¸·Î½á È®ÀåµÈ´Ù. ºñÁî´Ï½º¸¦ °øºÎÇÏ°í Ÿ Áö½ÄÀ» ¿¬±¸Çϱ⿡ º¸¾ÈÀü¹®°¡´Â ¹Ù»Ú´Ù. ±×·¯±â¿¡ Àü¹®°¡ÀÌ´Ù. ²÷ÀÓ¾øÀÌ ¾Ç»óÄÚµå ÆÐÅÏÀ» ºÐ¼®ÇÏ´Â ¹æȺ®°ú IDS¸¦ º¸¶ó. ¿ì¸®µµ ±×µéó·³ ÇØ¾ß ÇÏÁö ¾ÊÀ»±î?
º¸´Ù ÀÚ¼¼ÇÑ ³»¿ëÀº www.isc2.org ȤÀº www.cisspkorea.or.kr¿¡¼ ã¾Æº¼ ¼ö ÀÖ´Ù.
[Âü°íÀÚ·á ¹× Ãâó]
www.isc2.org
www.cisspkorea.or.kr
Official (ISC)2 Guide to the CISSP CBK, Auerbach Publications, 2007~2008
Information Security Governance, ITGI, 2008
InfoSecurity Professional Magazine, ISC2, 2008~2010
[ÇÊÀÚ(Á¶ÈñÁØ) ¾à·Â]
-ITÄÁ¼³Æà ¹× IT°¨¸®¹ýÀÎ ¼ö¼®ÄÁ¼³ÅÏÆ®
-(»ç)Çѱ¹Á¤º¸½Ã½ºÅÛ °¨»çÅëÁ¦Çùȸ ISACA Korea ÀÓ¿ø
-Çѱ¹ CISSP Çùȸ (ISC)2 Korea ÀÓ¿ø
-Çѱ¹ Æ÷·»½ÄÁ¶»ç Àü¹®°¡ Çùȸ ÀÓ¿ø
-Çѱ¹ Á¤º¸±â¼ú ÇÁ·ÎÁ§Æ®°ü¸® ÀÚ°Ý°ËÁ¤¿ø ¿î¿µÀ§¿ø
-°¨»çÇàÁ¤Çаú ¼®»ç°úÁ¤
-(ISC)2 CISSP ±¹Á¦°øÀÎ °»ç
-¶óÀÌÁö¿ò, Çѱ¹»ý»ê¼º º»ºÎ °»ç
-ÁÖ °ü½É»ç: IT °¨»ç¿Í Á¤º¸º¸È£¸¦ È®ÀåÇÏ¿© ºñÁî´Ï½º¿¡ ¿¬°èÇÏ´Â ºÐ¾ß¿Í IT °Å¹ö³Í½º¿Í Á¤º¸º¸¾È°Å¹ö³Í½º
[±Û¡¤Á¶ÈñÁØ(josephc@chol.com) CISSP, CCFP, CSSLP, ISO 27001(P.A), CISM, CGEIT, CISA, COBIT, ITIL, CIA, IT-PMP, PMP, ISO 20000(P.A), (ISC)2 CISSP °øÀΰ»ç, Á¤º¸½Ã½ºÅÛ°¨¸®¿ø]
[Á¤¸® / ±èÁ¤¿Ï ±âÀÚ(boan3@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(http://www.boannews.com/) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>