[컴퓨터월드]

건강은 건강할 때 지키고, 보안은 안전할 때 관리가 필요하다

건강은 건강할 때 지키라는 말이 있다. 겉으로는 큰 변화가 없는 듯 건강해 보여도 일년에 한번은 건강검진을 받고 사소한 이상 징후에도 주의를 기울이며 스스로의 건강을 정기적으로 살필 필요가 있다는 얘기다. 실제로, 건강검진을 통해 사망률이 높은 큰 질병을 초기에 발견해 완치 가능성을 높이는 경우가 많다. 반대로 자신의 건강을 과신하며 건강검진을 소홀히 하다가 쉽게 치료할 수 있었던 질병을 키운 안타까운 사례를 어렵지 않게 찾아볼 수 있다.

물론, 정기적인 건강 검진이 모든 질병을 치료할 수 있는 도깨비 방망이가 될 수는 없지만, 미처 인지하지 못했던 위협 요소를 보다 빠르고 정확하게 확인함으로써 질병의 진행 속도를 늦추고 다른 질환이 발생하는 악순환을 방지할 수 있다. 이런 점에서 건강 검진과 정보보안 점검은 많은 유사점이 있음을 확인할 수 있다. 정기적으로 기업의 취약점을 점검하고 공격자가 뚫고 들어올 수 있는 보안 홀을 보완하는 과정을 통해 더 큰 보안사고가 발생하는 것을 막을 수 있기 때문이다.

이는 역으로 정기적인 보안 점검이 이뤄지지 않는다면, 고도화된 사이버 공격에 더 쉽게 노출될 수 있음을 의미하기도 한다. 실제로 최신 보안 장비와 솔루션으로 무장하고 오랜 기간 많은 공격을 잘 막아낸 기업들조차 기하급수적으로 증가하는 악성코드, 날로 진화하는 공격 시도를 제때 막아내지 못해 고객 정보, 기업 기밀 등의 주요 정보를 탈취당하는 피해 사례가 급속히 증가하고 있다. 가입자 정보 유출로 역대 최고 금액인 45억 원의 과징금이 부과된 인터넷 쇼핑몰 사고를 한 예로 들 수 있다.

하지만, 현실적으로 기업 스스로 정보보안의 건강 상태를 평가하고 점검하기에는 어려움이 많은 것이 사실이다. 상당수의 기업과 기관이 무엇을 어떻게 구체적으로 점검해야 할지, 점검 상태에 따라 어떤 조치를 취해야 할지를 알지 못할뿐더러, 현재 수립된 보안 정책과 절차, 시스템 구성이 최적의 상태로 마련되어 있는지를 알지 못한다. 보유한 보안 장비와 솔루션이 적절하게 활용되고 있는 지를 정확하게 판단하기 위해서는 다년간 사이버 전장에서 공격자와 맞서 싸워온 보안 경험과 역량이 요구되기 때문이다.

이런 이유로 기업 정보보안의 건강 상태를 보다 체계적으로 점검하고 최상의 상태를 유지하고자, 보안 컨설팅 전문 기업의 서비스를 제공받는 사례가 증가하고 있다. 법령에 따라 보안 인증 및 진단을 반드시 수행해야 하는 주요 정보통신 기반 시설은 물론, 의무 대상에 포함되지 않은 기업들도 빠르게 증가하고 있는 각종 보안 위협으로부터 자사와 고객사의 보안 환경을 안전하게 보호하기 위해 기업의 사업 영역과 밀접히 연관된 서비스를 제공받으며 기업 정보보안의 건강 상태 유지에 심혈을 기울이는 추세다.

최고의 정보보안 건강상태를 유지하기 위한 보안컨설팅 서비스

그렇다면, 기업의 정보보안 건강상태를 보다 정확히 점검하기 위해서는 어떤 보안컨설팅 서비스를 도입해야 할까? 대표적인 보안 컨설팅 서비스인 ‘취약점 진단 컨설팅’, ‘정보보호 인증지원 컨설팅’, ‘정보보호 컨설팅’ 서비스에 대해 보다 상세히 알아보도록 하겠다.

사소하지만 치명적인 보안 취약점에 주목하라 - ‘취약점 진단 컨설팅 서비스’

‘취약점 진단 컨설팅’은 사소해 보이는 취약점을 낱낱이 찾아내고 도출된 위협 요소에 대한 조치 방안과 보호 대책을 제시함으로써, 자칫 대규모 보안 사고가 발생할 수 있는 위험성을 낮추는 데 그 목적을 두고 있다.

정확한 진단을 위해 보안 시스템과 보안 정책, 최신 보안 위협에 대한 깊은 지식과 역량이 필수적으로 요구되는 만큼, 대다수의 전문 보안 컨설팅 기업들은 고유의 컨설팅 방법론을 개발하고 다년간의 경험을 보유한 컨설턴트를 통해 취약점 진단 서비스를 제공하고 있다.

‘취약점 진단 컨설팅’은 진단 내용에 따라 ‘관리적 취약점 진단’과 ‘물리적 취약점 진단’ 그리고 ‘기술적 취약점 진단’으로 세분화 된다. ‘관리적 취약점 진단’은 기업 전반에 걸쳐 보안과 관련된 관리 상황을 점검하는 데 초점을 두고 있다. 컨설턴트는 기업 기관이 정보보호 정책 및 규제를 제대로 준수하고 있는지, 정보보호 조직과 인력이 적절하게 구성 및 배치되어 있는지, 임직원의 정보보호 인식 수준을 높이기 위한 교육과 훈련이 정기적으로 제공되고 있는지 등을 집중적으로 점검한다.

‘물리적 취약점 진단’은 기업 전반에 걸친 물리적인 상황을 통제하고 물리적 사고로 인한 피해를 예방하는 데 중점을 두고 있다. 컨설턴트는 허가 받지 않은 임직원이 중요 정보가 있는 통제 구역에 무단으로 출입하는 일은 없는지, 지진 등 자연 재해나 화재와 같은 물리적 사고가 불가피하게 발생하는 경우 전원이 차단되거나 시스템이 마비되어 사이버 공격에 무력화되지 않도록 체계적인 지원책이 마련되어 있는 지 등의 여부를 집중적으로 다루게 된다.

‘기술적 취약점 진단’은 외부의 공격자 혹은 악의적인 내부자가 기술적인 취약점을 악용해 시스템을 악성코드에 감염시키거나 허가 받지 않은 정보에 접근해 이를 유출 변조 시킬 수 있는 모든 가능성을 염두에 두고 이를 철저히 점검하는 데 초점을 두고 있다.

웹 브라우저, 웹 서비스의 취약점을 이용하는 공격에 대비한 웹 페이지 진단, 실제 침투 상황을 가정하고 해커가 사용하는 해킹 기법을 이용한 모의 해킹 훈련 역시 기술적 취약점 진단 항목에 포함된다.

정보보호인증 사전준비부터 인증심사 및 인증서 획득까지 - ‘정보보호 인증지원 컨설팅 서비스’

‘정보보호 인증지원 컨설팅’은 기업이 보유하고 있는 주요 정보와 시스템이 안전하게 관리되고 있음을 국가 공인 인증 기관으로부터 보증받는 ‘정보보호 인증’ 획득을 지원하는 서비스이다. 전문 보안 컨설팅 기업들은 인증을 획득하고자 하는 기업을 대신해 인증 점검 항목을 분석하고, 분석된 위험 요소에 대한 대책을 수립하며, 인증 기관에 제출할 이행 실적 및 증적 자료를 준비하는 등 사전 점검부터 인증서 획득까지의 모든 과정에 대한 컨설팅 서비스를 제공하고 있다.

대표적인 정보보호 인증으로는 '정보보호 관리체계 인증(이하 ISMS)'을 꼽을 수 있다. ISMS는 기업 정보보호 관리체계의 적합성을 한국인터넷진흥원으로부터 인증 받는 제도로, 인증 대상의 자격요건에 따라 인증의 의무적 취득이 법으로 명시되어 있는 것이 특징이다.

정보통신망법에 의거해, ‘전년도 연간 매출액 또는 세입액 등이 1,500억 원 이상인 기업’은 의무적으로 ISMS 인증을 획득해야 하며, 의무 대상에 포함되어 있으나 ISMS 인증을 획득하지 않은 기업에게는 3,000만 원 이하의 과태료가 부과된다.

날로 보안 위협이 고도화되며 정보자산의 안전에 우려를 표하는 목소리가 높아지는 만큼, ISMS 의무 대상은 물론 대상에 포함되지 않은 기업과 기관들도 자발적인 인증 획득에 속도를 붙이고 있다. 높은 수준의 정보보호 조치 이행을 통해 경영진을 비롯한 임직원의 정보보호 인식을 높이고, 실효성 있는 보안 거버넌스를 확립하며, 정보보호 관리체계 안정성을 대외적으로 인정받아 고객의 신뢰도를 높이기 위해서다. ISMS 인증을 획득한 기업들은 아래 표에 명기된 혜택을 부여 받게 된다.

ISMS에 이어, ‘개인정보보호 관리체계 인증(이하 PIMS)’에 대해 알아보도록 하겠다. PIMS는 공공기관 및 민간 기업이 수립 운영하고 있는 개인정보관리체계와 개인정보보호조치를 심사하고 일정 기준 이상의 보호 수준을 갖췄다고 판단되는 경우 이를 인증해주는 제도이다. PIMS의 경우 ISMS와는 다르게 기업과 기관이 자율적으로 심사를 신청할 수 있고, 심사 대상의 유형(공공기관, 대기업 정보통신 서비스 사업자, 중소기업, 소상공인)에 따라 세분화 된 인증 기준이 차등적으로 적용된다는 특징이 있다.

PIMS 인증절차는 인증 신청서를 접수하는 준비단계, 인증기준에 적합한지 심사하는 심사단계, 인증심사의 결과를 토대로 인증이 적합한지 확인하는 심의 인증단계, 인증취득 후 매년 유지 상태를 점검하는 사후관리단계 등 4단계로 구분된다. PIMS 인증을 획득한 기업들은 개인정보 유출 사고가 발생하더라도 개인정보보호를 위해 기울인 노력을 일부 인정받아, 정보통신망법 및 방통위 고시에 의해 부과되는 과징금을 감면 받는 혜택을 부여 받게 된다.

이외에도 정보보호 관리 체계를 인증하는 여러 제도가 마련되어 있으며, 기업과 기관들은 사업 특성, 취급정보 유형 등의 요소를 고려해 다양한 인증을 취득하고 있다. 고객 프라이버시에 관련된 민감한 정보에 임의로 접근할 수 없고 서비스 제공을 위해 승인 받은 경우에도 적절하게 통제되고 있음을 인증하는 SOC(Service Organization Control) 2,3 국제 인증, 정보보안 경영에 대한 국제 표준인 ISO/IEC 27001, 27017, 27018 인증, 개인정보보호 우수사이트 인증마크인 ePRIVACY 마크가 대표적이다.

고객의 보안환경에 최적화 된 보안 방법론은? - ‘정보보호 컨설팅 서비스’

‘정보보호 컨설팅’은 기업의 보안 환경과 사업 여건에 대한 철저한 이해를 토대로 고객사에 최적화된 보안 방법론을 제시하는 데 목적을 두고 있다. 전문 보안 컨설팅 기업들은 기업 전반에 걸친 보안 위협 요소를 파악하고, 도출된 문제점을 해결하기 위한 상세 개선 방안 및 예산안을 수립하며, 계획적인 보안 투자 및 예산 편성을 위해 장기적 관점의 정보보호 로드맵을 구축하는 등 고객사의 요구사항을 충족시킬 수 있는 다각화 된 컨설팅 서비스를 제공하고 있다.

각각의 기업별로 사업 규모와 유형, 중요 데이터, 조직 문화와 예산 등의 차이가 있는 만큼, ‘정보보호 컨설팅’ 수행 내용과 범위는 기업에 따라 달라질 수 있다. 어떤 기업은 보안 시스템 구성에, 다른 기업은 보안 업무 프로세스 개선에 초점을 둔 컨설팅 서비스를 필요로 할 수 있으며, ‘제4차 산업혁명’ 도래에 따라 새로운 비즈니스 모델 개발도 가속화되고 있는 만큼, 지금까지 전례가 없었던 새로운 유형의 컨설팅 서비스를 제공해야 할 수도 있다.

전문 보안 컨설팅 기업들은 다년간의 컨설팅 수행을 통해 검증된 프로세스와 경험에 기반해 각각의 기업 요구사항과 경영 환경에 부합하는 산출물을 제공하는 데 주력하고 있다. 제 3자의 시각에서 객관적인 분석과 평가를 통해 관리적, 물리적, 기술적 취약점을 진단하는 것은 물론, 다양한 기업 담당자들 모두가 도출된 컨설팅 결과를 이해하고 큰 불편 없이 이를 실무에 적용할 수 있도록 최대한 세부적이고 현실적인 개선안을 도출하는 데도 큰 비중을 두고 있다.

예를 들어 이글루시큐리티는 통합보안관제체계에 대한 보안 컨설팅 서비스를 제공하는 경우, 지금까지 고객사가 적용하여 왔던 모든 보안 체계와 정책을 검토하고, 통합보안관제 시스템에 연동되어있는 모든 보안 장비와 소프트웨어, IT 인프라에 대한 총체적인 분석을 수행하며, 충분한 시간을 들여 운영자와의 개별 인터뷰를 진행하는 등 고객사에 최적화 된 결과물을 도출해내기 위한 다양한 활동을 수행하고 있다.

‘100-1=0’, ‘100+1=200’, 귀사의 정보보안 상태는 어떻습니까?

약 10여 년 전 출간된 ‘깨진 유리창 법칙’에는 ‘100-1=0’이라는 재미있는 공식이 등장한다. 사소한 경범죄가 만연할수록 강력 범죄율이 높다는 ‘깨진 유리창 이론’을 기업 경영에 접목시킨 것으로, 기업 입장에서는 매우 사소해 보이는 작은 실수로 인해 고객의 신뢰를 모두 잃어버릴 수 있음을 의미한다. 이것은 비단 범죄학과 경영뿐만 아니라 정보 보안에도 잘 들어맞는 얘기라 할 수 있다. 사소한 보안 취약점을 방치한 실수로 인해 시스템이 마비되고, 주요 정보가 유출되는 보안사고가 발생할 수 있기 때문이다.

이는 반대로, 하나의 취약점도 놓치지 않도록 정기적이고 체계적인 보안 진단을 실시한다면, 기업에 큰 악재가 될 수 있는 보안 사고를 막아내 큰 이익을 불러올 수 있음을 의미하기도 한다. 즉, ‘100+1=200’ 이란 공식이 성립될 수 있다는 얘기다.

이와 같이, 정기적인 진단은 우리의 건강뿐만 아니라 기업의 정보보안 체계에도 큰 영향을 미치는 핵심 요소임에 틀림없다. 이 글을 읽는 독자들이 한번쯤은 아래와 같은 질문을 던져보며 기업의 정보보안 상태에 관심을 기울였으면 하는 바람이다.
기업의 정보보안 상태가 건강하다고 자신할 수 있는가?
기업의 건강 상태를 평가하기 위해 주기적인 진단을 수행하고 있는가?