신상철 과장 시큐아이닷컴 컨설팅팀

신상철 과장 시큐아이닷컴 컨설팅팀

정보화 사회가 급진전됨에 따라 사회 모든 분야에서 정보시스템의 비중이 증대되었다. 이와 아울러 IT 감사의 중요성도 더욱 부각되고 있다. 일반적으로 IT 감사는 정보시스템의 효율성, 안전성, 보안성 등 여러 목적을 달성하기 위하여 수행되고 있다. 그 중 보안성은 전산 보안사고가 사회적 이슈로 대두되는 현시대에 필수적인 IT 감사 분야라 할 수 있다.

전산 자료는 문서와 달리 관리적인 통제나 물리적 통제만으로 보안 관리가 어렵다. 네트웍을 통한 내부 또는 외부로부터의 불법 침투가 용이하여 전산 자료 보호에 대한 새로운 위협요소가 발생되고 있다. 또한 전산화된 데이터베이스는 파괴 및 유출시 조직 또는 회사에 심각한 문제를 유발시킬 수 있어, 그 중요성이 날로 부각되고 있다.

전체 정보시스템의 최적화

그러면 IT 감사란 무엇인가? 일반적으로 IT 감사란 유효성과 효율성간의 상호관계를 고려하여 전체 정보시스템의 최적화 관점에서 검토하는 것이라 할 수 있다. 미국 국립표준국에서는 IT 감사란, 전산화된 조직의 시스템에 대한 통제(Control)를 평가하는 내부 감사의 한 부문으로 시스템이 경영자 관점에 잘 부합하는지를 독립적이고 객관적인 입장에서 검토하고 보고하는 일이라고 정의하고 있다.
일본 시스템 감사 기준에서는 IT 감사를 감사대상에서 독립된 시스템 감사인이 정보시스템을 종합적으로 점검 및 평가하여 관계자에게 조언하는 것을 말하며, 보안대책의 실효성과 유효성을 도모하기 위한 것이라 정의하고 있다.

IT 감사는 일반적으로 감사대상 선정, 감사 범위 파악, 감사 준비 계획 수립, 감사 수행 및 감사 자료(증거) 확보, 감사 보고서 작성의 순서로 진행된다. 감사대상 선정 단계에서는 감사의 목적을 명확하게 정의하고, 해당 목적을 달성할 수 있는 감사대상을 선정한다. 감사범위 파악에서는 감사에 포함될 세부적인 시스템, 기능, 조직 단위를 파악해야 한다. 감사 준비 계획 수립 단계에서는 감사에 필요한 감사 기법(기술)과 감사 자원을 파악하는 등 감사에 필요한 사항들을 준비하고 세부적인 감사 계획을 수립한다. 감사 수행 및 감사 자료 확보 단계에서는 감사 계획대로 감사를 실제 수행하며, 감사 증거를 확보한다. 감사 보고서 작성 단계에서는 감사 수행시에 발생한 문제점을 도출하고, 시정 및 권고조치 등 모든 감사 결과를 보고서화 한다.

국내 대부분의 기업에서 감사 방법으로 보통 임직원의 부정을 적발하는 부정감사와 경영상의 효율성과 효과성을 진단하는 경영감사의 두 부문을 중심으로 감사를 진행하고 있다. 부정감사는 우연히 또는 의도적으로 회사의 자산을 개인의 이익을 위해 횡령, 유용, 점유하거나 거래 업체간의 금품수수, 과도한 접대 등이 포함된 것이며, 경영감사는 회사의 경영 목적과 경영 목표를 달성하기 위한 사업이 제대로 진행되는지를 측정, 평가하는 것으로 보통 사업 부문 단위로 경영 평가를 수행한다. 평가를 진행하는 과정에서 인력 및 조직의 문제, 업무 프로세스상의 문제 등 제반 문제점을 파악하여 개선 방향을 제시하는 일이라 할 수 있다.

정보자산의 기밀성ㆍ무결성ㆍ가용성 확보

IT 보안 감사는 보안적 관점에서 IT 감사를 진행하는 것이다. 부정감사보다는 경영감사의 한 부분으로 볼 수 있으며, IT보안 업무 및 IT보안 활동이 조직 또는 회사의 보안 규정(보안정책, 보안지침, 보안절차 등)에 의해 이행되는지 여부와 컴퓨터 수록자료, 네트웍 통신 간 송수신 자료 및 각종 보안 대책의 준수상태를 점검 및 평가하고, 보안 상태를 파악하여 보안상 취약점 및 문제점에 대한 대비책을 마련하는 데 있다.

일반적으로 IT보안의 기본 목표는 정보자산의 기밀성, 무결성, 가용성을 확보하기 위함이다. 기밀성이란 컴퓨터에 기록된 내용이 비인가자에게 유출되지 않도록 비인가자의 시스템 접근을 차단하고 전산자료의 무단 열람 및 유출 등을 통제하여, 최악의 경우 비인가자가 그 내용을 확인할 수 없도록 하는 것이다. 기밀성을 보장하기 위해서는 각종 접근통제를 실시하고 전산자료에 대한 암호화 대책을 강구하여야 한다.

무결성이란 전산자료가 비인가자에 의해 무단으로 변경, 삭제, 생성되는 것을 방지하여 정보의 정확성, 완전성이 보장되도록 하는 것이다. 무결성을 확보하기 위해서는 접근통제가 필요하고, 정보가 이미 변경되었거나 변경 위험이 있을 때에는 변경 사실을 즉시 감지하여 복구할 수 있는 메커니즘이 필요하다.

가용성이란 인가자가 필요할 때 언제든지 정보를 사용할 수 있도록 정보시스템을 정상 상태로 유지하는 것이다. 즉, 정보시스템은 적절한 방법으로 작동되어야 하며, 정당한 방법으로 권한이 주어진 사용자에게 서비스를 거부해서는 안된다. 가용성을 확보하기 위한 통제 수단으로는 자료 파괴, 장애 유발 시를 대비한 복구대책은 물론 위협 요소로부터의 예방 대책이 요구된다. 시스템의 접근 및 사용을 통제하는 기밀성과 시스템의 사용을 자유로이 허용하려는 가용성은 상호 상반된 특성이 있기 때문에 적절한 수준에서 균형과 절충이 필요하다.

IT보안 감사를 통하여 보호하고자 하는 정보자산은 데이터인 정보와 정보의 수집, 저장, 처리, 검색 등 일련의 작업을 수행하는데 필요한 정보기기, 네트웍, 프로그램 등이 있다. IT보안 감사는 감사항목을 정의하고 각각의 감사항목을 평가해야 한다.

IT보안 감사는 크게 정보시스템에 대한 네트웍, 시스템, 애플리케이션 보안대책 수립 여부, 정보자산의 반출입 통제 여부, 일반 사용자들의 보안사항 준수 여부, 비밀자료의 분류 및 관리 상태, 정기적인 보안 교육 실시, 보안구역 운영 등 물리환경적 보안 관리 상태, 자료 송수신 보안대책, 보안 조직 구성 및 인원 통제, 백업 및 복구 계획 등을 점검해야 한다. 또한 IT보안 점검 항목들은 감사 점검표의 각 항목에 부여되어 있는 배점에 따라 평가한다. 세부 점검내용에 대한 각각의 점검항목 득점을 총합산하여 IT보안에 대한 전체적인 수준을 결정한다.

IT 보안 감사 기법

IT보안 감사기법은 감사기관의 축적된 노하우와 감사관의 능력에 좌우되는 부분으로 성공적이고 효율적인 감사를 수행하는데 필수적인 요소이다. IT보안 감사기법은 크게 3가지 유형으로 나누어지고, 실제 감사 시 감사기법이 혼용되어 감사가 이루어진다.

첫째 유형으로 외형감사가 있다. 외형감사는 보안통제 문서를 중심으로 감사를 진행하는 것을 의미한다. 각종 일지, 관리대장 등의 기록을 토대로 각종 보안요소에 대한 보안대책 준수와 시행 여부를 확인하고, 보안통제 문서를 통하여 보안체제의 문제점을 도출해 낸다. 그러나 외형감사는 보안통제 문서의 신뢰성 저하로 감사의 효과를 기대할 수 없다는 단점이 있다.

둘째 유형으로는 입체감사가 있다. 입체감사는 외형감사의 단점을 보완하기 위한 감사기법으로 보안통제 문서 뿐 아니라 로깅 데이터, 시스템이나 응용프로그램의 환경설정 파일이나 설정 상태 등과 같이 제 3의 보안통제 내용을 통하여 감사를 진행하는 것을 의미한다. 그러나 입체감사를 수행하데 필수 요소인 제 3의 보안통제 내용이 확보될 수 없는 체계나 환경에 처할 경우에는 이 방법을 적용할 수 없다.

셋째 유형으로 기술감사가 있다. 최근 확대되고 있는 정보시스템 기반 요소들에 대한 하드웨어 및 소프트웨어에 대한 보안대책 실태를 점검하고, 증대되고 있는 정보시스템 자원들에 대한 감사를 보다 효율적이고 전문적으로 감사하기 위해 필요성이 증대되는 감사의 유형이다. 기술감사에서는 각종 운영체계(Operating System)를 운용하는 시스템별 보안대책 사항과 시스템 보안을 위해 설정된 사항이나 운용실태가 해당 피 감사대상 조직의 보안정책에 부합되고 보안향상에 기여할 수 있는지를 점검해야 한다. 이를 위하여 감사관은 시스템별 운용능력이 구비되어 있어야 하고, 기본적인 IT보안 이론과 IT보안 메커니즘에 대한 지식을 보유하여야 한다. 또한 기술감사의 전문성과 효율성을 극대화할 수 있는 IT보안 감사도구가 필요하다.

IT 보안감사의 발전 방향

정보기술이 급속히 발전함에 따라 정보시스템 환경은 하루가 다르게 변화하고 있다. 따라서 IT보안감사도 이에 부응할 수 있도록 지속적으로 발전되어야 한다.
첫째로 정보시스템 환경 변화에 따른 감사 기준의 정립이 필요하다. 정보시스템 환경은 전문요원 중심에서 이용자 중심으로 변해가면서 IT환경 내에서의 이용자 수는 급격하게 증가하고 있을 뿐만 아니라 IT 운용능력 또한 전문요원 수준에 도달하고 있다. 정보시스템 기반체계도 컴퓨터 중심의 하드웨어에서 네트웍 구축 부분과 다양한 소프트웨어 도입까지 확대되었고, 응용체계 부분에 있어서도 단순 처리 및 활용에서 정보관리 중심으로 변화하고 있다. 이러한 IT환경의 변화에 따라 IT보안 감사도 과거와는 다른 발전적인 감사기준이 요구되고 있다. 각 분야별로 발전되어야 할 감사기준은 다음과 같다.

·서버 분야
서버 분야의 보안은 서버 장비에 대한 불법적인 접근을 통제, 관리하고 서버에 의해 처리, 보관되는 전산자료를 보호하는 것으로 인증성, 효율성, 기록성, 백업 및 복구 등을 만족해야 한다.
- 인증성이란 비밀성과 무결성 보장을 위한 정당한 사용자 확인을 의미한다.
- 효율성이란 보안기능 과다에 따른 시스템의 효율성 저하를 최소화하고, 보안기능 추가에 따른 일반 사용자들의 시스템 사용 기피를 방지하고 시스템 편의성을 제공하는 것이다.
- 기록성이란 정보시스템 작업 수행에 대한 모든 로그를 기록 및 유지하여 책임추적성을 확보하는 것을 의미한다.
- 백업 및 복구란 주기적으로 정보(데이터)를 백업하고, 보안 사고나 사용자 실수 등이 발생했을 때 시스템을 정해진 시간 내에 복구 할 수 있도록 하는 것이다.

·네트웍 분야
네트웍 분야의 보안은 비인가자의 접근을 방지하고, 전송되는 데이터를 유출, 변조, 파괴로부터 보호하는 것으로, 데이터 발신처 확인, 통신사실 부인 방지, 신분 확인 및 인증, 인가된 접근의 허용 등을 만족해야 한다.
- 데이터 발신처 확인은 전송받은 데이터에 대한 출처(발신처)를 확인할 수 있음을 의미한다.
- 통신사실 부인 방지는 송수신 측의 통신 참여 사실 부인 방지 및 통신 경로를 추적할 수 있음을 의미한다.
- 신분 확인 및 인증은 접속시도 대상에 대하여 신분을 확인할 수 있는 인증 체계다.
- 인가된 접근 허용은 인가자만 접근을 허용하고 허용된 범위 내의 정보자원만 이용할 수 있다는 것을 의미한다.

·데이터베이스 분야
데이터베이스 분야의 보안은 데이터에 대한 인가되지 않은 접근, 의도적인 데이터의 변경이나 파괴로부터 보호하는 것으로, 사용자 인증, 비밀 데이터의 보호 및 관리, 데이터베이스 무결성 보장, 감사기능, 추론 방지 등을 만족해야 한다.
- 사용자 인증은 각종 데이터 수신 시 데이터 신뢰 여부 점검과 별도의 사용자 인증 절차가 있음을 의미한다.
- 비밀데이터 보호 및 관리는 암호화 기법을 사용하여 중요 데이터의 비밀성을 보장하고, 중요 데이터에 인가자만 접근 할 수 있도록 접근통제가 적용되어 있음을 의미한다.
- 감사기능은 데이터의 접근에 대하여 감사 기록이 생성됨을 의미한다.
- 추론 방지란 일반 데이터의 테이블 조합, 통계적인 데이터 값 등의 추론으로부터 비밀 정보 획득 가능성이 없어야 한다는 뜻이다.

둘째로 전문 IT 감사관 배양 및 능력 확보가 필요하다. IT보안 감사관의 전문성은 IT보안감사 업무를 수행하는데 있어서 감사기준과 더불어 핵심적 요소라 볼 수 있다. 감사관의 전문성이 부족할 때에는 아무리 잘 개발된 실시기준과 점검기준에 의해 감사를 수행하더라도 감사역량의 부족으로 인하여 이를 수용할 수 없게 되며 결국 감사의 실패요인이 될 수 있다. 따라서 전문 IT보안 감사관의 확보 및 감사관의 능력 배양에 대한 문제는 IT보안감사의 성공을 위해 꼭 선결되어야 할 부분이다.

현재 대부분의 기업이나 기관에서도 상당기간 축적된 일반감사 기법과 인력을 보유하고 있으나, IT 감사 특히 IT 보안 감사에 대한 인력은 매우 부족한 상황이다. 실제로 피감사 대상자가 마음만 먹으면 감사인의 눈을 피해 얼마든지 부정행위를 은폐시킬 수 있는 것이 현실이다.

셋째로 IT 감사 시 기술감사 영역이 확대되어야 한다. 컴퓨터와 네트웍이 복잡하게 구성되어 있는 현 IT환경에서 이면적인 부분을 확인, 추적하고, 현 실태를 정확히 진단하기 위해서는 기술감사가 아니면 불가능한 환경이 되었다.
그러나 기술감사는 IT환경에 대한 정보시스템 기반체계 기술로부터 응용체계 기술까지의 제반 지식을 요구하기 때문에 이에 대한 전문지식을 보유하고 있고, 활용능력과 응용능력까지 구비한 전문 IT 보안 감사관을 필요로 하며, 이와 더불어 세부 기술요소에 대한 점검기준과 감사기법이 요구된다. 기술감사 기법은 정보시스템 기술 변화의 빠른 속도에 따라 한시적으로 밖에 이용될 수 없는 경우가 대부분이기 때문에 지속적으로 개발되어야 한다.

현재까지 진행되어온 IT 보안 감사는 사실 초보적인 수준에 머물러 있다.
감사가 진행되기 전 보통 피감사인은 감사인에게 사전 감사 자료로 보안 현황 자료를 제출하는데, 사실 제출된 자료를 제대로 이해하는 감사인은 많지 않다. 그렇다 보니 IT 보안 감사의 범위가 본래의 목적대로 진행되는 것이 아니라, 서류보안이나, 출입보안 등에 치중되는 것이 현실이다.
또한 심층적인 분석을 통하여 기업이나 기관의 IT 보안을 향상시켜주는 감사 결과를 제공해 주어야 하나, 단편적인 문제점 나열만으로 끝나는 경우가 많다.(예를 들어 기업이나 기관에서 도입한 특정 보안제품이 K4 인증을 받았는지 확인 수준) 이러한 문제점들을 해결하기 위하여 IT 보안 감사의 강화가 필요하며 이를 통해 경영에 대한 전반적인 통제(Control)를 강화시켜야 한다. 결국 IT 보안 감사는 최고 경영자의 눈과 귀가 될 수 있는 경영상의 통제 장치로 인식되어야 한다.

저작권자 © 아이티데일리 무단전재 및 재배포 금지