2011. 5. 11. 02:43ㆍ카테고리 없음
정보보안 컨설팅의 종류
보안 컨설팅의 종류를 구분 짓기는 어렵지만 현재 국내에서 수행하고 있는 보안 컨설팅의 유형에 따라 구분해 보았다. 보안 컨설팅의 종류는 컨설팅 대상 및 목적 등에 따라 국내 정보보호 관련 법률에 의한 보안 컨설팅 분야와 기관 또는 기업의 자체적인 보안강화를 위한 보안 컨설팅 분야로 대별되며, 이의 구체적인 내용은 아래와 같다.
보안 컨설팅의 유형
유형 대상 목적 주요정보통신기반시설 취약점분석·평가 (정보통신기반보호법) 정보통신기반보호법에 의거 주요정보통신기반시설로 지정된 정보 시스템 전자적 침해행위에 대비해 주요정보통신기반 시설을 안정적으로 운용하도록 해 국가의 안전과 국민생활의 안정을 보장함 정보보호 국내외 인증 (국내 : 정보통신망법) (국제 : ISO27001) 또는 전사적 정보보호관리체계 국내외 정보보호관리체계의 기준에 따라 기업의 정보보호 활동을 객관적으로 평가하고 인증함 정보보호안전진단 (정보통신망법) 정보통신서비스 제공자가 운영하는 정보통신시설 및 설비 정보통신서비스의 제공에 사용되는 정보통신망의 안전성 및 정보의 신뢰성을 확보하기 위함 개인정보 영향평가 (정보통신망법) 개인정보를 취급하는 정보통신서비스 제공자 또는 개인정보 이용자의 정보 시스템 개인정보의 취급에 대한 정보보호 활동을 평가하고 보호대책을 마련함으로써 보안을 강화함 웹 애플리케이션 보안취약점 분석 웹 기반으로 개발, 운영되는 기업의 모든 웹 프로그램 웹 애플리케이션 개발 상의 오류로 인해 발생할 수 있는 보안사고를 미연에 방지하기 위함 모의해킹 인터넷에 연결된 모든 정보 시스템 비 인가된 사용자가 정보 시스템의 임의 접근 및 정보의 유출, 파괴의 가능성을 점검하기 위함 시스템 취약점 분석 기관 및 기업에 설치·운영되는 서버, 네트워크 및 보안 시스템 등을 모두 포함 정보 시스템의 취약성을 이용해 시스템에 임의의 접근을 차단하기 위함
개별적인 정보통신 서비스
정보통신서비스 제공자가
비 인가된 사용자가
보안 컨설팅의 수행내역
주요정보통신기반시설 취약점 분석·평가
2001년에 제정된 정보통신기반보호법(이하 기반보호법)에 따라 국가안전보장·행정·국방·치안·금융·통신·운송·에너지 등의 업무와 관련된 전자적 제어·관리 시스템 및 정보통신망이용촉진및정보보호등에관한법률(이하 정보통신망법) 제2조 제1항 제1호의 규정에 의해 정보통신망에 대한 전자적 침해행위에 대비하는 보호대책을 수립·시행함으로써 동 시설을 안정적으로 운용하도록 해 국가의 안전과 국민생활의 안정을 보장하도록 하고 있다.
현재 70여개로 2001년부터 정보통신시설, 제1, 2금융권 등에 지정되고 있는 주요정보통신기반시설은 기반보호법에 따라 해당 정보통신망은 2년마다 취약점 분석·평가를 실시해야 하며, 정보보호컨설팅전문업체가 수행하도록 하고 있는데, 기반보호법은 기반시설의 지정 절차, 취약점 분석·평가절차, 범위 및 항목, 방법 등을 정의하고 있다. 그 외에 수행기관으로 KISA, 정보공유·분석센터, 한국전자통신연구원이 있다.
주요정보통신기반시설의 취약점 분석·평가는 기반보호법에서 요구하는 취약점 분석·평가기준에 따라 수행되며, 지난해 수립된 보호대책의 이행 평가와 금년도 취약점 분석·평가시 발견된 취약점에 대해 보호대책을 수립하는 것이다.
정보보호인증 컨설팅
정보보호관리체계에 대한 국내외 인증제도로 정보보호진흥원(이하 KISA)에서 인증하는 ‘정보보호관리체계’ 인증과 국제표준 인증기관에서 인증하는 ‘ISO27001’이 있다.
KISA에서는 정보보호관리체계 인증을 위해 15개 통제 분야에 120개 통제사항에 대한 표준을 정의하고, 인증신청기관에 대해 해당 표준에 대한 문서화 및 이행 점검을 실시함으로써 정보보호관리체계의 적절성을 검토해 인증서를 교부한다. 특히, 국내의 정보통신 서비스 환경을 고려해 전자상거래와 관련한 통제 분야를 포함하고 있다.
이와 함께 ISO27001은 정보보호관리체계 요구사항(Infor- mation Security Management System Requirements)으로 정보보호관리체계에 대해 국제인증시 요구사항을 정의하고 있다.
정보보호관리체계에 대한 국제규격은 BS7799가 있으며, Part 1(실행지침)과 Part 2(규격)로 구성돼 있다. Part 1은 2000년(ISO/IEC 17799)에, Part 2는 2005년 11월(ISO27001)에 국제표준으로 등록됐으며, 정보보호관리체계에 대한 국제인증을 받기 위해서는 Part 1의 실행지침에 따라 자체적으로 정보보호체계를 수립하고, 일정 기간 이행한 기록을 토대로 Part 2 규격에 따라 심사를 받아 인증서를 교부받을 수 있다(Part 1과 Part 2에 대한 세부규격은 www.aexis.de 참조). ISO27001은 11개 통제 분야에 133개 통제사항을 정의하고 있으며, 보안통제의 효과성 측정지표 개발을 통해 지속적으로 관리될 수 있도록 요구하고 있다.
기관이나 기업에서 정보보호관리체계에 대한 국내외 인증을 획득하기 위해서는 각각 인증규격에서 요구하는 보안통제사항에 대한 현황분석 및 평가를 실시하고, 이에 따른 보호대책을 수립·이행해야 한다.
인증 컨설팅은 인증심사시 요구되는 정보보호관리체계 수립을 지원하며, 향후 지속적으로 정보보호관리체계를 유지·발전시킬 수 있도록 지원한다.
정보보호안전진단
과거 ‘1.25 인터넷 침해사고’와 같은 대규모의 사이버공격들은 사회적 혼란은 물론 천문학적인 경제적 손실을 초래했으며, ISP, IDC, 전자거래업체 등의 정보보호수준이 아직 초보단계로 침해사고에 능동적으로 대응하기에는 현저히 부족함을 실감케 한 사건이었다.
이를 계기로 정보통신부는 정보통신 서비스 제공자가 정보통신 서비스의 제공에 사용하는 정보통신망의 안정성 및 정보의 신뢰성을 확보하기 위해 취해야 하는 구체적인 정보보호조치 내용을 정보통신망법에 정의하고 이를 매년 수검하도록 하고 있다.
안전진단 수검대상 기업은 ISP, IDC, VIDC, 다중이용서비스 제공자로, 다중이용서비스 제공자는 매출 100억 이상, 일일평균 이용자 수 100만 명 이상인 기업이 대상이다.
안전진단은 11개 통제분야에 48개 통제항목(보호조치)를 정의하고 있으며, 4개의 사업자 분류에 따라 의무적으로 적용해야 하는 보호조치항목을 각각 다르게 정의하고 있다(안전진단 대상기업의 범위, 세부 보호조치항목, 수행절차 등 정보통신망법 및 안전진단 관련 세부지침에 정의돼 있다).
정보보호안전진단 사전 컨설팅은 사업자가 의무적으로 수행해야 하는 보호조치 항목에 대해 정보보호 현황을 검토하고 개선함으로써 안전진단 기준을 준수할 수 있도록 지원한다. 또한, 안전진단 대상기업이 안전진단 보호조치를 이행하고 있는지 여부를 점검한다.
개인정보 영향평가
‘개인정보’라 함은 생존하는 개인에 관한 정보로써 성명, 주민등록번호 등에 의하여 당해 개인을 알아볼 수 있는 부호·문자·음성·음향 및 영상 등의 정보를 말한다(정보통신망법 제2조)고 정의돼 있다.
현대사회가 정보화됨에 따라 모든 경제주체의 활동은 개인정보를 매개로 해 유지·운영되고 있으며, 개인정보는 정보화 사회에서의 핵심정보 역할을 담당하고 있다. 핵심정보인 개인정보는 유출시 사회·경제 활동에 치명적인 지장을 초래하기 때문에 반드시 관리·보호돼야 한다.
따라서 개인정보에 대해 관리적·물리적·기술적 보호 아키텍쳐를 수립하고, 정보보호 관리영역에 대한 PLAN 좱 DO 좱CHECK 좱 ACT 관리과정을 통해 지속적으로 개선·유지할 수 있는 관리체계의 수립이 필요하다.
개인정보 영향평가는 7개 영향평가영역에 95개 세부항목으로 구성돼 있는 정보통신부의 「개인정보 영향평가 가이드」의 평가절차를 따른다. 개인정보 영향평가 절차는 오른쪽 표와 같다.
웹 애플리케이션 보안 취약점 분석
<개인정보 관리체계>
과거 시스템의 운영체제 수준에서 이루어지던 해킹이 최근 웹 애플리케이션 수준으로 전환되고 있으나, 웹 애플리케이션 개발시 보안을 고려하지 않음으로써 해커의 악의적인 공격에 쉽게 노출되고 있다. 가트너의 발표에 의하면 최근 해킹사고의 75%가 웹 애플리케이션의 보안취약점을 이용해 발생하는 것으로 나타났다.
개인정보 영향평가 절차
개인정보영향평가단계 수행 업무 사전분석 시행 또는 변경하고자 하는 사업에 대한 개인정보 영향평가의 필요성 여부 결정 수행주체 선정 개인정보보호 전담조직 또는 별도의 평가팀 구성 개인정보관련정책, 법규 및 사업내용 검토 조직 내의 개인정보관리 절차·방법 및 개인정보보호 정책, 개인정보관리책임자 및 담당자의 역할과 책임사항 등 정보흐름 분석 시행 또는 변경하고자 하는 사업에 대한 개인정보 및 이를 포함하고 있는 자산의 흐름 분석 개인정보침해 요인 분석 및 위험평가 침해요인 분석 및 침해요인에 따른 위험평가를 수행하고 위험평가표 작성 개선계획 수립 및 위험 관리 위험평가표에 따라 위험도가 높은 침해요인에 대해 개선계획 수립 및 위험관리 보고서 작성 및 제출 영향평가 결과에 대한 최종 보고서 작성 및 경영자 보고
영향평가
웹 애플리케이션 보안 취약점 분석은 기관 또는 기업에서 개발·운영·서비스 중인 웹 애플리케이션에 대한 보안 취약점을 점검하고 사전에 이를 제거함으로써 내·외부의 악의적인 공격으로부터 시스템을 보호해 안전하고 편리한 웹 서비스를 제공할 수 있도록 한다.
웹 애플리케이션 보안 취약점 분석은 일례로 10개의 영역, 94개 상세항목으로 구성된 안랩코코넛 고유의 체크리스트에 의해 실증점검으로 수행될 수 있다. 웹 애플리케이션의 보안을 강화하기 위해서는 설계단계부터 구현, 테스트, 운영단계까지 보안을 고려한 검토가 필요하나 최소한 테스트 단계에서 보안 취약점 분석 작업을 실시해야 한다.
<웹 어플리케이션 보안 취약점 분석 체크리스트 구성 체계>
모의해킹
인터넷 기반 서비스의 급속한 확산과 함께 악의적인 목적의 사용자에 의해 중요 정보자산에 대한 침해사고가 급속히 증가하고 있다. 특히, 기업의 홈페이지가 해킹당하는 등의 보안사고가 발생했을 경우 이 사실이 외부로 알려지면 기업이미지와 매출액이 하락하는 등 막대한 손실을 가져올 수 있다.
이런 보안 사고를 방지하기 위한 보호대책이 수립·이행돼야 하는데, 보호대책의 안전성을 테스트하기 위한 목적으로 모의해킹을 수행하게 된다. 모의해킹 대상은 시스템 취약점 분석 대상에 포함되지 않는 부분까지 확대해 실증 보안점검을 수행해야 한다. 특히, 침입위협의 발생가능성을 검증하기 위해 가장 위험성이 높은 최근 침입유형을 우선적으로 실시하게 된다.
<모의해킹 범위>
모의해킹은 다음과 같은 절차에 의해 수행한다.
① 모의해킹은 실제 해킹 기법을 활용해 시스템을 모의 공격하는 것이므로 운영 중인 시스템에 영향을 줄 수가 있다. 따라서 모의해킹 시나리오를 최종 확정하며, 일어날 수 있는 문제에 대해 고객과의 사전합의가 선행돼야 한다.
② 대상이 되는 정보 시스템에 대해 스캐닝 등을 통해 보안 취약점을 수집한다.
③ 수집된 정보를 토대로 공격 시나리오를 수립하고 모의침투를 수행한다.
④ 1차 공격이 성공하면 해당 시스템을 경유해 타 시스템으로 2차 전이공격을 시도한다.
⑤ 1, 2차 공격에 의해 확인된 취약점을 토대로 취약점 제거 또는 대응방안을 수립해 전달한다.
모의해킹은 내부자 또는 외부자를 가장해 정보 시스템의 내부 또는 외부에서 수행해야 한다.
시스템 취약점 분석
과거에는 보안 취약점 발견에서 이를 이용해 확산되는 바이러스가 나타나기까지 보통 1년 정도가 걸렸는데 이 주기가 점점 짧아져 최근에는 이틀 만에 나오는 경우도 나타났다. 결국 미처 대처할 시간적 여유가 없는 상태에서 악성코드나 해킹의 공격에 무방비로 당하게 되는 것이다.
따라서 서버, 네트워크 장비, 보안 시스템, PC, 응용프로그램 등 모든 정보 시스템에 대해 주기적인 취약점 점검이 이뤄져야 하며, 새로운 취약점이 발견된 경우 즉각적인 조치가 필요하다.
시스템 취약점 분석 방법에는 자동화된 스캐닝 도구를 사용해 원격으로 점검하는 방법(네트워크 기반 취약점 분석)과 체크리스트 기반으로 로컬에서 점검하는 방법(시스템 기반 취약점 분석)으로 구분할 수 있다. 시스템 취약점 분석대상별 점검방법은 다음과 같다.
시스템 취약점 분석대상별 점검방법
대상 수행 범위 점검 방법 서버 웹, 메일, DB, 서비스 지원, 기타 업무용 서버, 운영 및 개발 지원 서버 등 네트워크 및 시스템 기반 취약점 점검 네트워크 장비 네트워크 환경 및 장비 (라우터, 스위치) 시스템 기반 취약점 점검(설정파일 점검) 부안 시스템 침입차단 시스템, 침입탐지 시스템, 통합보안관리 시스템 시스템 기반 취약점 점검(보안정책 및 기능 점검) PC 개인 사용자 PC 네트워크 기반 취약점 점검 응용 프로그램 DNS, Mail, Appache, IIS, DB등 시스템 기반 취약점 점검(응용프로그램 버전/설정 점검)
보안 컨설팅의 적용
지금까지 알아본 보안 컨설팅의 종류 이외에도 다양한 형태의 컨설팅이 수행되고 있다. 이를 통해 보안 컨설팅에 대해 간략하게 이해했다면 이제부터 이를 적용하는 방법에 대해 알아보자.
보안 컨설팅 도입시 고려사항
보안 컨설팅을 효과적으로 수행하기 위해서는 사전에 다음과 같은 사항에 대해 명확히 정의가 필요하다.
① 사업의 배경 및 목적
② 사업 범위(정보 시스템 현황, 보안 컨설팅 수행업무)
③ 프로젝트 기간 산정
④ 프로젝트 수행업체 선정 기준 마련
⑤ 보안 컨설팅 준비 단계부터 완료까지 전체 일정계획
⑥ 예산 확보 등
보안 컨설팅을 수행하기 위한 준비단계에서 사업범위에 대한 전문업체와의 협의가 필요하며, 이를 통해 프로젝트 준비를 위한 기초 데이터를 확보할 수 있다.
보안 컨설팅 수행단계
기관 또는 기업에서 대부분의 보안 컨설팅을 수행할시 ‘RFP발송 → 제안발표 → 업체선정 → 계약체결 → 프로젝트 수행 → 프로젝트 완료’ 순으로 진행되며, 세부내역은 다음과 같다.
① RFP발송 : RFP에는 보안 컨설팅을 수행하기 위해 전문업체로부터 제안서를 받고 추진하고자 하는 사업에 최적의 업체를 선정하기 위한 기초자료다. RFP에는 사업을 추진하게 된 배경, 목적, 사업범위(정보 시스템 현황, 보안 컨설팅 수행업무), 업체선정 기준 및 추진일정 등을 포함하고 있다.
② 제안발표 : RFP발송 후 전문업체로부터 접수한 제안서에 대해 각 전문업체의 발표 및 제안내용에 대한 심사를 수행한다.
③ 업체선정 : 제안발표 내용을 근간으로 보안 컨설팅을 수행할 전문업체를 선정하는 단계로 기술점수 및 가격점수(점수의 비율은 통상 80대 20)를 토대로 전문업체를 선정한다.
④ 계약체결 : 최종 선정된 업체와 RFP의 보안 컨설팅 요구사항에 대해 최종 확정하고 업무협의가 완료된 경우 최종 협의된 사항을 포함한 계약서를 작성한다.
⑤ 프로젝트 수행 : 계약체결과 함께 프로젝트를 수행한다. 프로젝트 상주인력에 대한 보안서약서, 사무환경, 의사소통 등 업무수행에 필요한 제반사항에 협의를 수행하고 본 프로젝트를 수행한다.
⑥ 프로젝트 종료 : RFP의 요구사항에 대한 전문업체의 프로젝트 산출물을 검수하고 최종결과보고를 끝으로 프로젝트를 종료한다.
보안컨설팅 수행단계는 위에서 정의한 단계 이외에도 추가적으로 정의해 수행할 수 있다.
[ (주) 안랩코코넛 컨설팅 사업부 수석 컨설턴트 이상래 ]