컨설팅 관점의 IT 인프라 보안
작성자 - LRTK들어가며
지난 1년간 인프라 취약점 진단 업무를 맡으며 경험으로 얻은 이론적, 실무적 지식을 글로 정리해보려 합니다.
아래에서 설명할 내용들은 주관적인 경험과 이해가 많이 포함된 관계로 틀린 내용이 있을 수 있습니다.
지적은 언제나 환영입니다.
What is IT Infra?
인프라 - Infrastruture
조직에서 IT 환경을 운영하고 관리하는 데 필요한 구성 요소를 일컫습니다.
하드웨어, 소프트웨어, 네트워크 구성 등이 해당합니다.
따라서 인프라 보안은 위에서 설명한 IT 구성 요소들의 보안을 뜻합니다.
인프라 취약점 진단
컨설팅 관점에서 인프라 보안은 서버, 네트워크, DBMS, 보안장비의 구성이 얼마나 안전하게 구성되었는가 를 판단하는 과정입니다. 이 과정을 일반적으로 인프라 취약점 진단이라 칭합니다.
인프라 취약점 진단은 기본적으로 잠재적인 위협요소를 제거하는 것을 목표로 합니다.
IT 인프라에서 잠재적인 위협요소는 보안을 고려하지 않은 구성입니다.
쉽게 설명하면 IT 인프라에 악의적인 공격자가 침입할 수 있는 경로, 정보를 제공하는 설정이나, 이미 침입한 상황에서 공격자에 의한 피해를 키울 수 있는 설정이라고 볼 수 있습니다.
컨설턴트는 이런 미흡한 보안 설정들을 찾아내고 위험 수준에 따라 통제 방법을 제시하는 역할을 수행합니다.
Why?
그렇다면 인프라 취약점 진단을 왜 해야하는지 의문이 들 수 있습니다.
인프라 취약점을 해야하는 이유는 여러가지가 있습니다.
첫째로 법에 의한 강제성입니다.
과학기술정보통신부는 정보통신기반보호법에 따라 주요정보통신기반시설을 지정합니다.
주요정보통신기반시설로 지정된 시설은 매년 관리적, 물리적, 기술적 취약점을 분석 및 평가하고 보호대책을 수립하여 관리기관에 보호대책서를 제출해야합니다. 인프라 취약점 진단은 이 중 기술적 취약점 진단의 일부입니다. 관리기관은 제출받은 보호대책서들을 종합하여 소관 분야에 대해 보호계획을 수립하고 과학기술정보통신부에 제출합니다. 이런 일련의 취약점 분석 및 평가 과정들은 기관에서 자체적으로 전담반을 구성하거나 정보보호산업진흥법에 따라 과학기술정보통신부에서 지정한 정보보호전문서비스 기업이 수행하도록 규정하고 있습니다.
주요정보통신기반시설 외에도 전자금융기반시설, ISMS 의무 대상 등 법에 의해 의무로 수행해야하는 취약점 진단이 있습니다.
이렇게 법을 지키기 위한 활동을 통틀어 컴플라이언스라 칭합니다.
한마디로 정리하면 컴플라이언스를 위한 취약점 진단 활동이라고 정리할 수 있습니다.
두번쨰로 자발적인 보안 강화입니다.
현대 사회에선 거의 모든 비즈니스 자료가 전자적 형태로 저장되고 있습니다.
이런 이유로 기업의 핵심 기술, 도면, 개인정보 등을 전자적 침해행위로부터 보호하기 위한 기업의 자발적인 보안 강화 활동의 일환으로 인프라 취약점 진단을 수행할 수 있습니다.
또한 대규모 기업에선 윤리경영의 일환으로 정보보호 활동을 수행하는데 이 과정에서 인프라 취약점 진단을 수행하기도 합니다.
세번째로 기업의 신규 시장 진출 및 기존 사업 유지를 위함입니다.
기업이 기존 시장에서 해외의 신규 시장에 진출하기 위해 해당 국가의 기준을 따라야합니다. 만약 기존에 운영하던 인프라가 해당 국가의 기준에 미치지 못한다면 신규 시장에 진출하기 어려울 뿐만 아니라 진출 후에도 갑작스럽게 사업이 중단될 위험이 있습니다.
대표적인 예로 독일 자동차 산업 협회에서 요구하는 VDA-ISA 카탈로그입니다. 독일의 대형 자동차 회사(BMW, 벤츠, 아우디, 폭스바겐 등)에 부품을 납품하는 OEM사들은 모두 VDA-ISA 카탈로그에 따라 보안을 강화하고 TISAX 라벨을 획득해야만 합니다.
TISAX에 관해서는 추후 더 자세하게 다루도록 하겠습니다.
이 외에도 인프라 취약점 진단은 IT 인프라를 운영하는 모든 기업에 필요한 일련의 보안 강화 활동입니다.
How?
이제 우리는 인프라 취약점 진단이 무엇이고, 왜 해야하는지 이해하였습니다.
그렇다면 인프라 취약점 진단은 어떤 과정으로 이루어질까요?
취약점 진단 → 위험평가 → 이행조치 → 이행점검
취약점 진단
사실 취약점 진단 자체는 인프라 보안에서 시작에 불과합니다.
취약점 진단은 Checklist 방식으로 이루어집니다.
컴플라이언스를 위한 인프라 취약점 진단 활동에는 정해진 Checklist가 있습니다. 대표적으로 과학기술정보통신부에서 고시한 주요정보통신기반시설 취약점 분석 평가 기준, 금융보안원에서 고시한 전자금융기반시설 취약점 분석 평가 기준이 있습니다. ISMS에선 인프라 취약점 진단 활동을 위험평가의 일환으로 보기 때문에 정해진 Checklist는 없지만 대개 주요정보통신기반시설 기준을 따르는 경우가 일반적입니다.
어러한 Checklist를 바탕으로 전담반 또는 컨설턴트가 각 항목에 대한 양호/취약을 판별합니다.
위험 평가
취약 항목이 확정되면 해당 취약 항목이 가지는 잠재적인 위협과 그에 따른 위험을 평가합니다.
위험평가 활동은 자산의 중요도와(C, I, A) 항목의 중요도(3단계, 5단계)를 고려하여 DoA(Degree of Assurance)를 지정하여 위험도가 DoA를 초과하는 경우 위험에 통제를 적용하고 DoA 이하일 경우 위험을 수용합니다.
위험 관리(Risk Management) 전략엔 4가지가 있습니다.
- 위험 수용
- 위험 감소
- 위험 전가
- 위험 회피
그러나 실제 컨설팅 환경에선 위험을 수용하도록 권장하지 않습니다. 따라서 현실적으로 선택할 수 있는 통제 방안은 위험 감소, 전가, 회피입니다.
1. 위험 수용
위험에 특별한 조치를 취하지 않고, 위험을 그대로 방치하는 전략입니다.
위험이 실현됐을 때 입는 손실이 위험에 통제 적용하는 비용보다 적을 때 위험을 수용합니다.
2. 위험 감소
위험이 실현되었을 때의 피해를 최소화하는 전략입니다.
취약점을 제거하거나, 모니터링, 솔루션의 도입과 같은 적극적인 보안 활동을 요구합니다.
3. 위험 전가
위험이 실현되었을 때 손실을 제 3자에게 전가하는 전략입니다.
일종의 보험과 같습니다. 그러나 위험에 대한 책임이 전가되진 않으므로 주의가 필요합니다.
4. 위험 회피
위험 발생 요인을 완전히 제거하는 전략입니다.
위험이 발생할 수 있는 자산을 완전히 폐기하는 등 위협 요인 자체를 제거하는 행위입니다.
이행 조치
위와 같은 위험 관리 전략을 통해 위험에 통제를 적용하여 관리합니다.
위험 평가 활동을 통해 수립된 통제 방안을 정해진 기한 내에 적용합니다.
통제 적용 시기를 즉시/단기/중기/장기 와 같이 기한을 정하여 단계적으로 적용합니다.
단기/중기/장기의 기준은 기업 및 기관마다 다릅니다.
이는 해당 기업 또는 기관의 정보보호 규정 및 지침을 따릅니다,
예시 1) 단기 6개월 이내, 중기 1년 이내, 장기 1년 이상
예시 2) 단기 3개월 이내, 중기 6개월 이내, 장기 1년 이내
이행 점검
이행 계획을 수립하였으면, 이제 실제로 통제 방안을 이행해야합니다,.
수립한 위험감소, 전가, 회피 전략을 실제 정보자산 인프라에 적용하고 나서 실제로 올바르게 적용되었는지 점검합니다.
일반적으로 단기 조치 취약점에 대해 컨설턴트 또는 전담반이 점검하며, 중기, 장기 조치 취약점의 경우 다음년도 취약점 점검 시 이행 여부를 점검합니다.
이렇게 이햄 점검까지 완료되면, 인프라 취약점 진단 및 위험 평가가 완료된 것입니다.
그러나 인프라 보안을 위해선 지속적인 보안 활동이 필요합니다.
주기적인 진단을 통해 신규 취약점을 발굴하고 제거해나가는 활동이야말로 인프라 보안 활동이라고 할 수 있습니다. 이외에도 주기적인 모니터링과 최신 솔루션의 도입은 기업 및 기관의 보안을 더욱 강력하게합니다.
마치며
초급 컨설턴트의 관점에서 몸으로 느낀 인프라 보안에 대해 자유롭게 정리하며 설명해보았습니다.
틀린 내용이나, 상황에 따라 달라지는 내용들도 있을 수 있지만 실무에서 느낀바를 최대한 가감없이 적어보았습니다.
지적은 언제나 환영입니다.