전사적 정보보호 프레임워크(Enterprise Information Security Framework)

기업이나 기관의 CISO 또는 정보보호 책임자는 정보보호 투자 또는 업무성과에 대한 공유가 어려운 것이 현실이다. 그렇다 보니 이해관계자인 경영층이나 재무관계자들과의 의사소통이 어렵게 되고 관련법이나 상위감독기관이나 그룹에서 내려오는 기준에 의존하여 예산을 확보할 수밖에 없게 된다.

몇 년 전부터 정보보호의 영역은 전사적 활동임을 인식하는 것이 필요하게 되었으며, 카네기멜론 대학의 소프트웨어 공학연구소(SEI)에서도 정보보호 성숙도 단계에 Enterprise 개념이 적용된 것도 오래전 일임을 감안하면, 전사적 관점에서 정보보호 프로그램을 수립하고 운영관리해야 할 당위성은 모두가 인식해야 할 것이다.

전사적 정보보호 프레임워크으로 참고할 수 있는 몇 가지 참조모델이 존재한다.

  • SABSA framework and methodology
  • Enterprise Security Architecture (Network Applications Consortium)
  • Meta Group's Information Security Service Framework
  • IATF(Information Assurance Technical Framework)
  • Managing for Enterprise Security (SEI)
  • Accenture Security Framework

아래의 그림은 당사가 프로젝트를 수행하면서 개발한 전사적 정보보안 프레임워크 사례이다.

전사적 정보보호 프레임워크


전사적 정보보호 프로그램은 기술적 취약점 점검과 같이 부분적으로 수행해온 활동에서 벗어나 전사적 차원에서 정보보호 활동에 대한 책임과 권한을 명확히 정의하여 역할을 분담함으로써 이해관계자들이 막연하게 생각하는 정보보호의 위협으로부터 체계적으로 관리운영하기 위한 하나의 모델로서 의사소통의 역할로 활용될 수 있다.

그러기 위해서는 기업이나 기관의 전략이나 비전과 연계됨으로써 기업이나 기관의 비즈니스 전략에 변화가 있을 때 이를 반영할 수 있는 유연한 정보보호 전략과 정책이 수립되어야 하며, 정보보호 거버넌스를 기반으로 이해관계자들이 납득할 수 있는 전사적 차원의 정보보호 프레임워크가 개발되어야 한다.

Information Security Drivers

기업이나 기관의 정보보호 전략 및 거버넌스에 영향을 주는 요소는 아래 4개의 요소가 해당한다.

Compliance

대부분의 기업과 기관들은 상위기관의 감독을 받고 관련 법률이나 제도하에 있기 때문에 관련 사항들이 제정 또는 개정은 기업이나 기관의 정보보호 전략이나 거버넌스의 영향을 받게 된다. 금융기관의 경우에는 준수해야 하는 전자금융감독규정을 비롯하여 전자금융 사기예방서비스 등에서 요구하는 사항에 따라 정보보호 전략과 거버넌스의 변경관리가 이뤄져야 한다.

Security Threat

정보보호 위협은 지속적으로 발전되기 마련이다. APT attack과 같은 공격이 가장 비근한 사례이며, 스마트폰 보안위협은 다양한 루팅 또는 탈옥기법이 개발되면서 새로운 공격에 적합한 대응방안 마련을 촉구하고 있다. 이러한 정보보호 위협은 새로운 보안 솔루션의 도입 또는 기존의 정보보호 정책과 프로세스의 개선 원인이 되기 마련이다.

Business Requirements

B2C/G2C, B2B/G2G, B2G/G2G와 같이 기업이나 기관에서 제공하는 비즈니스는 안전성, 기밀성, 무결성과 같은 것들이 함께 제공됨으로써 상호 신뢰를 갖게 되는 경우에 정보보호가 역할을 한다. 국내에는 아직 영향이 없지만, PCI-DSS의 경우는 국외 카드 산업계에서는 비즈니스를 위한 기본적 요건으로 작용하고 있어서 서비스 런칭과 더불어 PCI-DSS의 요건에 만족하게 하기 위한 개발 및 구축을 한다. 국내의 사례는 일정 기준에 해당하는 기업이나 기관이 안전진단제도 또는 K-ISMS인증을 의무화되어 있다.

Business Opportunity

기업이나 기관이 추구하는 비즈니스는 경쟁 관계에 있는 경우가 대부분이다. 이러한 경쟁에 우의를 가지려고 정보보호와 관련된 각종 인증을 획득하고 이를 홍보함으로써 비즈니스의 기회 창출에 기여하는 경우이다. ISO27001 또는 ISO2000, BS10012 같은 경우에는 국제 정보보호 표준체계에 대비하여 그 간의 정보보호 활동을 객관적 입장에서 평가를 받고 인증을 받음으로써 기업이나 기관의 비즈니스 진흥을 위한 액세서리로서의 역할을 하게 된다.

전략 및 거버넌스

정보보호의 기본적인 전략과 정책적 방향은 다른 모든 정보보호 활동에 영향을 주는 중요한 요소이며, 이를 구성하는 기업이나 기관의 정보보호 전략 및 거버넌스의 구성요소로는 아래와 같은 것들이 있다.

  • 정보보호 전략 수립, 운영
  • 정보보호 조직 관리
  • 정보보호 정책, 지침
  • 정보보호 위험 관리
  • 정보보호 감사 체계
  • 정보시스템 연속성 관리
  • 정보보호 홍보, 커뮤니케이션 관리
  • 정보보호 인식재고 관리
  • 정보보호 법제도 준수 및 수준 관리
  • 정보보호 표준화 관리
  • 정보보호 예산, ROI, 성과관리

침해사고 관리

기업이나 기관의 정보보호 관련사고를 탐지하고 대응하는 것은 예방, 탐지 및 분석, 대응, 복구의 사이클을 구성하고 있으며, IT서비스의 의존도에 따라 이를 상시 운영함으로써 안전성을 제공하기 위한 영역이다.

계층적 보안 기술

기술적 정보보호 요소들로 구성된 도메인으로써 계층적인 방어체계를 위해 네트워크, 서버, 응용계층 등으로 나뉘는 측면과 식별/인증, 접근권한, 부인방지, 암/복호화, 감사추적 등의 측면 등으로 크로스체크가 필요한 도메인이다.