[º¸¾È´º½º=ÀÓäȣ KAIST Á¤º¸º¸È£´ëÇпø ±³¼ö] ÇÊÀÚ°¡ ÁÖÀåÇÏ´Â SPMES´Â GRC (Governance, Risk, Compliance) µî°ú À¯»çÇÕ´Ï´Ù, »ç½Ç GRC´Â ¹Ì±¹ Á¤ºÎÀÇ SP-55¸¦ º¸¾È¸®½ºÅ© °ü¸®Ã¼°è·Î º¸°í ÀÌ¹Ì ¹Ì±¹ Á¤ºÎ¿¡¼ ¼º°øÇÑ ¸ðµ¨À» SANS(www.sans.org)°¡ ºñÁî´Ï½º¿¡ Á¢¸ñÇÑ °ÍÀÏ »ÓÀÔ´Ï´Ù.
±â¾÷ÀÇ ´ëÇ¥ÀÚ ¹× ±â¾÷ ÀÌ»çȸ°¡ º¸´Â ±â¾÷º¸¾È°ü¸®´Â ¹«¾ùÀϱî¿ä? ±â¾÷º¸¾È°ü¸®´Â Àλç°ü¸®, ±Þ¿©°ü¸®, ÇàÀå°ü¸®, °øÁ¤°ü¸® µî ±â¾÷ÀÇ ¸ðµç °æ¿µ°ü¸®µé ÁßÀÇ Çϳª·Î ÀÌÇصǾî¾ß ÇÕ´Ï´Ù. ÀÌ¿Í ÇÔ²² ¸·°ÇÑ °æ¿µÁøÀÇ Áö¿ø°ú Âü¿©¸¦ ÅëÇØ ½ÇÁúÀûÀÎ ±¸¼Ó·Â°ú °¨½Ã ¹× ´ëÀÀü°è¸¦ °¡Áø ½Ç¹« ±â¹ÝÀÇ À§Çè°ü¸®Ã¼°è°¡ ¿ä±¸µÇ¾î¾ß ÇÕ´Ï´Ù.
Á¤º¸º¸¾È °Å¹ö³Í½º´Â ¡°ÀÌ»çȸ¿Í °æ¿µÁøÀÇ Ã¥ÀÓ ÇÏ¿¡ ¼öÇàµÇ´Â ±â¾÷ °Å¹ö³Í½ºÀÇ ÀϺηΠÁ¤º¸º¸¾È¿¡ ´ëÇÑ ÅõÀÚ ¼º°ú¸¦ ±â¹ÝÀ¸·Î ÀÇ»ç°áÁ¤¿¡ ´ëÇÑ ±ÇÇÑ°ú Ã¥ÀÓÀ» Á¤ÀÇÇÏ°í, Á¤º¸º¸¾ÈÈ°µ¿ÀÌ Á¶Á÷ÀÇ Àü·«°ú ¸ñÇ¥¸¦ À¯ÁöÇÏ°í Çâ»ó½Ãų ¼ö ÀÖ°Ô ÇÏ´Â Á¶Á÷±¸Á¶, ÇÁ·Î¼¼½º, ±â¼úµéÀ» ¸»ÇÑ´Ù¡±°í Á¤ÀÇÇÒ ¼ö ÀÖ½À´Ï´Ù.
°á±¹ °æ¿µÀÚ´Â º¸¾È°ü¸®¸¦ ±â¾÷ÀÇ Àü¹ÝÀûÀÎ ÀÚ¿ø°ü¸®(Resource Management)À̸ç, À̸¦ ¿¹»ê°ü¸®(Budget Management) Â÷¿øÀ¸·Î ÀÌÇØÇØ¾ß ÇÕ´Ï´Ù. ¹Ì±¹ÀÌ 2012³âºÎÅÍ ¼öÇàÁßÀÎ FISMA FISMA(Federal Information Security Management Act) ¹ý·É¿¡ ÀÇÇÑ º¸¾È ¼öÁØ°ú ¿¹»êÁýÇà ÇöȲÀ» º¼±î¿ä?
¹Ì±¹Á¤ºÎ±â°üÀÇ º¸¾È¿¹»êÀº 2009³â ÃÑ IT ¿¹»ê 7,130¾ï ´Þ·¯ °¡¿îµ¥ 690¾ï ´Þ·¯¸¦ ÁýÇàÇß½À´Ï´Ù, ÀÌ´Â 4³â°£ Æò±Õ 9.7%ÀÇ ±Ô¸ð¶ó°í ÇÒ ¼ö ÀÖ½À´Ï´Ù. Å×À̺íÀº FISMA °á°ú °¢ ¿¬¹æÁ¤ºÎÀÇ º¸¾ÈÁ¡¼ö°¡ 2007³â±îÁö °ø°³µÇ¾ú´ø ³»¿ëÀÔ´Ï´Ù.
- ¹ý¹«ºÎ(DOJ)´Â 2006³â ¡®A-¡¯, 2007³â ¡®A+¡¯ÀÔ´Ï´Ù, À̸¦ ºÐ¼®ÇØ º»´Ù¸é º¸¾È´ë»óÀÌ ±×¸® ¸¹Áö ¾ÊÀº BIÇü º¸¾È¼öÁØÀÌ¸ç ¿¬¹æÁ¤ºÎ Àüü Æò±Õ º¸¾È¿¹»êº¸´Ù Çö°ÝÇÏ°Ô ³·Àº ¼öÁØÀÎ 3% ÀÌÇϸ¦ ÁýÇàÇÏ°í ÀÖ½À´Ï´Ù.
- ±¹¹æºÎ(DOD)´Â 2006³â ¡®F¡¯, 2007³â ¡®D-¡¯ÀÔ´Ï´Ù. ÀÌ´Â º¸È£ÇؾßÇÒ ´ë»óÀÌ ¸Å¿ì ¸¹À» »Ó ¾Æ´Ï¶ó ¾ÆÁ÷ ü°èµµ ÀÌ·ç¾îÁöÁö ¾ÊÀº Security Goal ¼öÁØÀÔ´Ï´Ù, ¾Æ¸¶ º¸¾È¿¹»êÀº 16% Á¤µµ¸¦ ÁýÇàÇÒ °ÍÀ¸·Î ÆǴܵ˴ϴÙ.
±×·¸´Ù¸é ¹ý¹«ºÎ¿Í ±¹¹æºÎ´Â ¿Ö ÀÌ·± Á¡¼ö(ÇÐÁ¡)°¡ ³ª¿ÔÀ»±î¿ä? ¹Ì±¹Àº º¸¾ÈÅëÁ¦¸¦ SP-53(Security Control)À» Ç¥ÁØÀ¸·Î Á¤ÇÏ°í ½Ã·ù¿¡ µû¶ó SP-53À» ¾÷µ¥ÀÌÆ® ÁßÀÔ´Ï´Ù, ¿ì¸®³ª¶ó´Â 150°³°¡ ³Ñ´Â ÅëÁ¦Ç׸ñÀ» °¡Áø ISMS°¡ ÀÖ°í, 80¿©°³ ¾ÈÆÆÀÎ PIMS(Privacy Information Management System) µîÀÌ È¥ÀçµÇ¾î ÀÖÀ¸¸ç, °³º° Á¤ºÎºÎóº°·Î º°µµÀÇ ÅëÁ¦Ç׸ñÀ» °¡Áö°í ÀÖ½À´Ï´Ù. ±¹¹æºÎ´Â SP-53ÀÇ ¸ðµç ÅëÁ¦Ç׸ñÀ» ¸ðµÎ ±¸ÇöÇÑ °ÍÀ» ¸ñÇ¥(Target)·Î Á¤ÀÇÇÏ°í ÀÖÀ¸¸ç, ¹ý¹«ºÎ´Â SP-53 ÅëÁ¦ÀÇ ÀϺθ¸À» ±¸ÇöÇÏ´Â ¸ñÇ¥·Î »ï°í ÀÖ´Ù´Â Á¡ÀÌ ´Ù¸¨´Ï´Ù.
È¿°ú¼º(Effectiveness), È¿À²¼º(Efficiency), ¹ýÀûÁؼö»çÇ×(Compliance) µîÀ» ÇÔ²² °í·ÁÇØ º¸¾ÈÅëÁ¦°¡ Àß ¼öÇàµÇ°í ÀÖ´ÂÁö °¨½ÃÇÕ´Ï´Ù. ÀÌ´Â ÇÁ·Î¼¼½º, ¿î¿µÀýÂ÷, µ¥ÀÌÅÍ(·Î±×) µîÀÇ Á¸Àç À¯¹«¿Í µ¥ÀÌÅÍ ¼öÁý ¿ëÀ̼º, ÀÚµ¿È µîÀ¸·Î À̵éÀ» Æò°¡(Measure)ÇÏ°í ÀÌ °á°ú¸¦ ÇÐÁ¡À¸·Î ÆòÁØÈ(Normalization) ÇÔÀ¸·Î¼ °¢ º¸¾ÈÅëÁ¦ ¼öÇà°á°ú¸¦ ÇÐÁ¡À¸·Î ¸¸µé°í ±â°ü Àüü ÇÐÁ¡À¸·Î ¸¸µé¾î³À´Ï´Ù. ÀÌ °á°ú Á¡¼ö°¡ Á¶Á÷ÀÇ º¸¾È¼öÁØ(Index)ÀÌ¸ç º¸¾È ¸®½ºÅ©°¡ µÇ´Â °ÍÀÔ´Ï´Ù. ƯÈ÷, SP-55 ¹®¼¿¡¼´Â ´ë´ÜÈ÷ Áß¿äÇÑ ¹®ÀåÀÌ ÀÖ½À´Ï´Ù.
¡°Á¤º¸º¸¾È ¼º´É ÃøÁ¤À» À§ÇÑ ÅõÀÚ´Â Á¶Á÷ÀÇ Á¤º¸º¸¾ÈÀÌ °¡Á®¾ßÇÒ ÃÖ´ëÀÇ °¡Ä¡¸¦ ²ø¾î³»´Â °¡Àå Áß¿äÇÑ ¿äÀÎÀÌ µÈ´Ù.¡±
ü°è¿Í ÇÁ·Î¼¼½º°¡ ±â¼ú°ú ¼Ö·ç¼Ç¿¡ ¿ì¼±Çϸç Âü¿©ÇÑ ¸ðµç º¸¾È´ã´çÀÚµéÀÇ ÀÇÁö¿Í öÇÐÀÌ Áß¿äÇÑ °ÍÀÔ´Ï´Ù. Áö±Ý ¿©·¯ºÐÀÇ º¸¾È ¼öÁØÀÌ D(Security Goal) Àϱî¿ä? C(Implementation), B(Effectiveness/Efficiency) ȤÀº A(Business Impact) ¼öÁØÀϱî¿ä? ¸¸¾à D ȤÀº C ¼öÁØÀ̶ó¸é ²ÙÁØÇÑ Self Assessment¸¦ ÅëÇÏ¿© ¾ðÁ¨°¡´Â A¼öÁØÀ¸·Î »ó½ÂÇØ¾ß ÇÏÁö ¾ÊÀ»±î¿ä?
°æ¿µÁøÀº ¼öÁØÀÌ ¾îÂîµÇ¾ú´ø ½Ç¹«¿¡ ÀÇÇÑ ¼ýÀÚ·Î ¼öÁØÀ» º¸°íÇÏ°í Accountability¸¦ º¸°íÇØ¾ß ÁÁ¾ÆÇÏÁö ¾ÊÀ»±î¿ä? ¸¸¾à 90Á¡ÀÎ BI »óÅÂÀÌÁö¸¸ ½ÅÁ¾ °ø°Ý¿¡ ÀÇÇÏ¿© ÇÇÇØ°¡ ¹ß»ýÇÏ¸é ¾Æ¸¶ 2-3Àϳ» °ðÀå 90Á¡À¸·Î º¹±ÍÇÕ´Ï´Ù. ¿Ö³ÄÇϸé Ã¥ÀÓÃßÀûÀÌ µÇ°í ÀÖÀ¸¹Ç·Î ¹®Á¦Á¡À» °ðÀå ¼öÁ¤ÇÕ´Ï´Ù.
Self AssessmentÀÇ ¼ÒÁßÇÑ »êÃâ¹° Ã¥ÀÓÃßÀû¼º(Accountability)
±â¾÷°æ¿µÀÚµéÀº º¸¾È°ü¸®¸¦ À§ÇÏ¿© ¿ÃÇØ ¾ó¸¶³ª ¸¹Àº ¿¹»êÀ» ÅõÀÔÇØ¾ß ÇÏ´ÂÁö º¸¾È´ã´çÀÚ¿¡°Ô ¹®ÀÇÇÑ´Ù¸é, º¸¾È´ã´çÀÚ´Â ¾ó¸¶³ª °í¹ÎÇÏ°Ú½À´Ï±î? ¸¸¾à ¹Ì ¹ý¹«ºÎ³ª ±¹¹æºÎó·³ º¸¾È¸ñÇ¥¸¦ ¼¼¿ü´Ù¸é ±â¾÷Àº °¢ÀÚ È¯°æ¿¡ ¾Ë¸ÂÀº ¸ñÇ¥(Target)¸¦ Á¤ÀÇÇÏ°Ô µË´Ï´Ù. »ç·Ê¿¡¼ Target(95), Current(75)À̶ó¸é ±× Â÷ÀÌ°ª(Gap)Àº 20ÀÔ´Ï´Ù. GapÀº Accountability È®ÀÎÀ» ÅëÇÏ¿© ÀÌ·ç¾îÁý´Ï´Ù.
¿¹¸¦ µé¾î AC(Access Control) ¼öÁØÀÌ Áö³ÇØ 60Á¡, ¿ÃÇØ ¿ä±¸Á¡¼ö°¡ 90Á¡ÀÌ¾î¼ ±× °¸ÀÌ 30Á¡À̶ó¸é ¼·Î ¸ð¿©¼ ¿öÅ©¼óÀ» ÅëÇØ Ãß°¡ÀûÀÎ Àåºñ, ÀηÂÃæ¿ø, ÇÁ·Î¼¼½ºÀÇ °³¼±ÀÌ ÇÊ¿äÇÏ°Ô µÊÀ» ¾Ë°Ô µÇ°í À̸¦ ±Ù°Å·Î ÀÚ¿ø(ºñ¿ë) ¿äûÀ» Á¦¾ÈÇÏ°í ÅõÀÔµÇ¸é ¿ÃÇØÀÇ º¸¾È¼öÁØ Çâ»óÀ» ±â´ëÇÒ ¼ö ÀÖ½À´Ï´Ù,
2011³â KAIST´Â ¸ð ¿¬±¸¿ø°ú SPMS¸¦ ½ÃÇè ±¸ÇöÇÑ ÀûÀÌ ÀÖ¾ú½À´Ï´Ù. ÀÌ °á°ú¸¦ ºÐ¼®ÇÏ¸é¼ ½±°Ô °³¼±¹æ¾ÈÀ» µµÃâ ÇÒ ¼ö ÀÖ´Ù´Â °ÍÀÔ´Ï´Ù. ¾î¶² ±â¾÷ÀÇ ´ëÇ¥°¡ ±Ù°Å ¾ø´Â(Accountability°¡ ¾ø´Â) º¸¾È¿¹»ê ÁýÇàÀ» ¹Ý±â°Ú½À´Ï±î?
2011³â ¸ð ±ÝÀ¶±â°üÀº ÇâÈÄ 5³â°£ Á¤º¸º¸¾È¿¡ ÃÑ 5õ¾ïÀ» ÅõÀÚÇÏ°Ú´Ù°í ¾ð·Ð¿¡ ¹àÈù ¹Ù ÀÖ½À´Ï´Ù. ¸¹Àº ¿¹»ê ÅõÀÚ¾ß ´©°¡ ¸»¸®°Ú½À´Ï±î¸¸Àº ±â¾÷ÀÇ ÇöÀç º¸¾È¼öÁØ(Index, Risk) À» Áö¼ÓÀûÀ¸·Î °ü¸®, °¨½Ã ¹× »ý¼ºÀ» ÇÒ ¼ö ¾ø¾î Accountability°¡ Á¦°øµÇÁö ¾Ê´Â´Ù¸é Ç×»ó »ç°í´Â Àç¹ßÇÒ ¼ö ÀÖ½À´Ï´Ù. ¶ÇÇÑ, ´ëÇ¥´Â ±Ù°Å ¾ø´Â ¿¹»êÁýÇàÀ̶ó´Â ½Ç¼ö¸¦ ÀúÁö¸£°Ô µÇ´Â °ÍÀÔ´Ï´Ù.
[±Û_ÀÓäȣ KAIST Á¤º¸º¸È£´ëÇпø ±³¼ö(chlim@kaist.ac.kr)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(http://www.boannews.com/) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>