‘시큐리티 매트릭스 가이드’ 활용 제안

보안 매트릭스는 보안관련 데이터를 수집, 분석, 보고를 통해 결정을 내리고,성능과 추적을 가능하게 하는 도구

보안 매트릭스는 보안관련 데이터를 수집, 분석, 보고를 통해 결정을 내리고, 성능과 추적을 가능하게 하는 도구이다. 미국은 누구나 스스로 보안을 할 수 있도록 하는 체계를 갖추고 있으며, 이에 대한 인증절차도 제공하고 있어 보안 매트릭스를 중요하게 생각하고 있다.

우리나라에서 아직은 생소한 보안 매트릭스이지만 이에 대한 가이드를 소개해 적극 활용할 것을 제안한다. 활용에 대한 이해를 돕기 위해 매트릭스 프로그램, 타입, 개발 프로세스, 적용 사례 등을 정리했다.

미국은 정부의 주도하에 IT 시큐리티의 성능을 요구하고 있으며, 이는 금융 및 정부기관의 요구이기도 하다. 하지만 미국에서는 일반적인 IT와는 다르게 정보보안 분야는 Clinger-Cohen Act, Government Performance and Results Act(GPRA), Government Paper Elimination Act(EPGA), Federal Information Security Management Act(FISMA) 등이 있다.

사실 국내에서도 주요 정보통신기반보호법에 의한 각종 안전진단 의무화, ISMS 인증 등의 정책을 갖고 있다. 미국은 최근 뿌리박기 시작하는 FISMA 법령으로 미국정부의 보안을 점검해 공식발표하고 있는데, 주요 국토안보부 등 주요 정부기관이 ‘F’, ‘D’ 등의 낙제점을 받은 바 있다.

지금 소개하려는 보안 매트릭스는 보안관련 데이터를 수집, 분석, 보고를 통해 결정을 내리고, 성능과 추적을 가능하게 하는 도구이다. 하지만 미국은 국제 표준체계가 아닌 BSP(Best Security Practice)를 주로 정부 공공기관에 전파를 하는 입장에서 누구나 스스로 보안을 할 수 있도록 하는 체계를 갖추고 있으며, 이에 대한 인증절차도 제공하고 있다.

이 작업들은 NIST SP 800-26 Security Self Assessment Guide for Information Technology System를 만들고 미국 자체적인 보안관리 표준 등을 실제 보안을 시행하는데 이용하려고 한다. 이 문서는 미국 OMB 등과 NIST가 합쳐 ROSI (Return on Investment for Information Security) 를 개발해 적절한 비용에 따르는 보안을 실시하려는 내용이다.

Metrics 프로그램

보안 매트릭스 프로그램은 하나의 조직에서 <그림 1>과 같은 4개의 연관성있는 구성요소로 이뤄진다. 사실, 가장 밑단의 관리지원계층(Solid Upper-level Management Support)은 관리인, 담당자 및 예산 등의 지원이 필요함을 말한다.

실질 보안정책절차 계층(Practical Security Policy and Procedure)은 의미있는 실질적인 보안정책과 절차가 필요함을 보인다. 정량적 성능계층(Quantifiable Performance Metrics)은 제대로 된 의미있는 성능 데이터를 수집 분석해야 함을 말한다. 결과지향적 매트릭스 분석계층(Results-Oriented Metrics Analysis)은 정기적인 분석을 통한 교훈 섭렵과 보안제어의 향상 등이 필요하다.

Metrics 타입

<그림 2>는 Metrics 구조를 보여주는데 아주 명쾌하다. 보안의 상태검증은 마치 미국정부가 어떤 정부기관을 기준에 의해 ‘F’ 학점 주듯이 상대적인 평가가 필요하다. <그림 2>는 그 기준을 보여주고 있다.

레벨 1에서 레벨 5까지 특징을 보면 레벨 1은 정책만 있고, 레벨 2는 절차를 더 갖추고, 레벨 3은 절차가 시험과정이 이루어졌다는 것이며, 레벨 5는 통합된 보안정책과 운영이 잘 이뤄지고 있음을 보여준다. 또한, 이를 판단하기 위한 데이터 가용성, 데이터 수집 어려움, 데이터 자동수집 등으로 잘하고 있는지를 판단한다.

<그림 2>의 위에 있는 나무를 표현한 것이 정확한 모습을 보여준다. 이제 씨앗을 심은 과정에서 어린나무, 좀 자란 나무, 가지가 빽빽한 나무, 성긴 나무로 숲을 이룬 모습이다. 결국 최상의 레벨 5에서는 불필요한 데이터가 통합 등으로 개선되어 매우 간편한 보안관리 구조를 가지는 것이다.

Metrics 개발 프로세스

개발 프로세스는 다음과 같은 단계를 가진다.

1. Stakeholders & Interests Identification : 이해관계 조율

2. Goals & Objectives Definition : 목적 정의

3. Security Policy, Guideline, Procedure Review : 법령 검토

4. System Security Program Implementation Review : 개발안검토

5. Metrics Development & Selection : Metrics 설계

Metrics 프로그램 구현

1. Prepare Data Collection : 데이터 수집 준비

2. Collect Data and Analyze Results : 데이터 수집 및 분석

3. Identify Corrective Actions : 대응방안 선택

4. Develop Business Case and Obtain Resources : 적용방안 선택 및 자원 획득

5. Apply Corrective Actions : 대응방안 적용

사례 적용

<그림 2>와 <표 1>을 바탕으로 다음 <표 2>의 템플릿 내용을 적용한다. 각 15개 항목은 NIST SP-55에 각 항목에 대한 템플릿 테이블이 있으므로 그것을 이용하면 전체 템플릿을 완성할 수 있다. 이를 통해 Metrics를 완성하면 현재 조직의 보안현황이 나타날 것이며, 물론 이런 방법을 통해 미국 국토안보부도 ‘F’ 점수를 받았을 것이다. 보안에 대한 향상 계획을 수립했다면 정기적으로 Metrics를 수행하면서 진척도를 확인할 수 있다.

<글: 임채호 NHN 보안실장>

[월간 정보보호21c 통권 제80호(info@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)