* 사업 등 관련 문의: T) 02-322-4688, F) 02-322-4646, E) info@wikisecurity.net

A기관 사이버안전센터 ISP컨설팅 사례

[ 고객사 ]

A기관(분류:미래창조과학부 산하기관)

[ 배경 및 주제 ]

- 고객사는 타 기관에 비해 상당히 이른 시기인 2003년에 ESM시스템을 기반으로 통합보안관제시스템을 도입하였다. - 약 13년간 보안관제운영을 하면서 보안관제시스템 고도화와 업그레이드, 사업장 지방이전 등의 이슈들이 있었다. - 각종 보안정책과 가이드에 따라 도입된 보안시스템은 약 29종으로 이에 대한 효율적 운영방안 수립의 필요성이 제기 되었다. - 또한, 기존 침입탐지방식의 한계극복을 위한 기술적, 관리적 등 다양한 관점에서 향후 전략적 추진방향을 고민하게 되었다. - 최근에 회자되는 빅데이터, 인공지능, 머신런닝 등 보안관제 기술의 변화에도 대응할 수 있는 종합적이고 미래지향적인 추진방향의 필요성도 제기되었다.

[ 프로젝트 기간 ]

2015년 4개월 간

[ 비즈니스, IT 및 정보보안 환경 ]

- 고객사는 미래창조과학부의 산하기관이며 금융서비스, 우편서비스, 사무행정이 주요 비즈니스로 구성되어 있다. - 공공기관이면서 금융기관으로써 적용되어야 하는 관련법과 규정이 모두 적용되는 비즈니스상의 특성이 존재하였다. - 고객사는 정보보안과 개인정보보호에 대한 전반적이고 포괄적인 정책과 기획을 담당하는 본부와 보안관제 및 운영을 담당하는 보안관제센터로 나눠져 있다. - 또한 금번 컨설팅 대상업무가 사이버안전센터이므로 국가사이버안전관리규정과 상위기관의 관련규정을 준수해야 하는 환경이다. - 몇 년전 사업장의 지방이전으로 인하여 자체적인 정보보안부문의 전문인력 확보가 어려운 난제로 존재하고 있다. - 주요 IT서비스를 SM업무를 아웃소싱하고 있으며 보안관제센터도 보안관제전문업체에게 2년 또는 3년간의 장기 위탁으로 운영하고 있다. - 주요정보통신기반시설로 지정된 업무와 비기반시설에 대하여 정기적 취약점 점검을 주기적으로 아웃소싱하여 운영하고 있다.

[ 컨설팅 주요 Topic ]

고객사는 다 기종의 정보보호시스템의 통폐합 등 효율적이고 체계적 보안관제 방안을 마련하고 빅데이터 등 최신기술을 적용한 보안관제 강화와 정보보호 조직체계 강화를 위한 방안 마련을 목표로 아래 3개의 주요 주제를 선정하였으며 총 9개의 세부 요구사항을 제시되었다. 1. 정보보호시스템 기능개선(또는 재구성) 등 효율적 운영방안 마련 - 정보보호시스템 운영의 선진사례 분석과 전략적 추진방향 - 정보보호시스템 현황 분석과 재구성 방안 - 정보보호시스템 유지관리의 효율적 운영방안 2. 미래 지향적 보안관제 운영 전략 마련 - 공공 및 민간(금융)의 보안관제 기술 현황 및 동향분석 - 미래 지향적 보안관제 기술의 동향분석과 도입방안 3. 정보보호 체계, 조직, 인력의 효율적 운영방안 마련 - 위의 1,2번 과제 추진에 따른 정보보안 업무, 조직, 인력구성 방안

[ 컨설팅 주요과정 및 특이사항 ]

정보보안 ISP컨설팅 사업은 대체적으로 몇 가지 공통적인 특징이 있는데 이번 컨설팅에서도 이와 같은 공통사항을 고려해야 했다.

1. 근거가 명확한 현황 및 문제점 파악 필요하다 - 고객사가 인지하고 있는 현황과 문제점은 일반적으로 정확한 데이터에 입각하지 않은 수준이다. - 파악된 문제점이 조직 내 이해관계에 따라서는 문제점이 아닐 수도 있기 때문에 정확한 데이터분석에 입각한 문제점 제기가 필요하다. - 이해관계자가 수긍할 수 있는 정확한 데이터를 도출하기 위하여 3년 또는 5년간의 장기간의 이력정보를 시계열적으로 분석해야 하는 이슈도 있다. - 특히, 정보보호 예산과 조직정비와 관련된 현황과 추진과제는 장기간의 데이터 분석과 관련 법과 규정적용으로 그 당위성을 제시할 필요가 있다. - 정확한 데이터 마련이 어려울 이슈에 대해서는 선진사례와 유사기관 사례 또는 ROI분석 등으로 그 타당성을 제시해야 하는 이슈도 있다.

2. 이해관계자들간의 입장정리가 필요하다 - 컨설턴트뿐만 아니라 고객사 일부(예:정보보안 운영조직)의 의견만을 반영한 현황파악과 개선과제 도출은 자칫하면 상이한 이해관계자 간의 논란의 덫에 빠질 수도 있다. - 현황분석 결과 도출한 이슈사항과 개선과제 선정에서도 이해관계자들간의 입장차이가 다른 경우가 있으므로 상이한 이해관계자간의 인터뷰나 설문은 필수적이다.

3. 의사결정권자의 포괄적이고 전체적인 의견파악 필요하다 - 의사결정자의 관심사를 파악하는 것은 포괄적인 조직관리와 중장기적 전략의 관점에서 향후 전략을 설계하는데 중요한 역할을 한다. - 의사결정권자의 의견이 없는 이슈에 대해서는 이해관계자들간의 입장정리결과 또는 외부전문가의 의견을 분석한 결과를 활용하는 방법도 효과적이다.

이러한 공통점을 바탕으로 금번 컨설팅 수행의 절차는 아래와 같이 4단계로 수행을 하였다.

수행 단계 주요 수행 내용
단계-1
국내.외 환경분석(동향 및 사례분석)
- 주변 환경의 정책과 기술은 어떻게 바뀌고 있는가?
- 타기관은 어떻게 대응하고 있는가?
단계-2
내부 현황분석
- 현재 정보보호시스템 운영은 어떤 이슈와 문제점이 있는가?
- 현재 보안관제의 운영은 어떤 이슈와 문제점이 있는가?
단계-3
SWOT분석 및 개선벙향 도출
- 환경과 현황을 분석한 결과 개선해야할 과제는 무엇인가?
- 개산방안을 도출하기 위한 기본전략은 무엇인가?
단계-4
개선과제 이행계획 수립
- 분야별 중장기 개선과제는 무엇인가?
- 개선과제를 이행하기 위한 세부 테스크는 무엇인가?

[ 수행 단계별 주요사항 ]

  • 국내.외 환경분석 단계 주요사항

국내.외적인 정책동향으로는 아래와 같은 이슈사항과 시사점이 파악되었다. - 고객사 비즈니스와 관련 있는 최근 보안사고 사례와 유형이 변하고 있는 환경적 변화 - 상위기관인 미래창조과학부 사이버안전센터운영규정, 개인정보보호법 등의 개정에 따른 환경적 변화 - 선진국가인 미국, 영국, 일본의 정보보안 전략에서는 몇 가지 시사할만한 사례들이 파악되었다. - 국내 주요 사이버안전센터에서 기 도입한 빅데이터기반 보안관제 기술을 방문하여 숨겨진 애로사항과 문제점들을 파악하였다. - 빅데이터 기술기반의 SOC기술요소로써 ELK, Spark, Kibana, Logstash 등의 오픈소스가 적용된 사례들을 확인할 수 있었다. - CISCO OpenSOC 등은 빅데이터 기반 SOC구현의 대표적인 오픈소스로써 자칫 특정벤더의 의존도로 인한 문제를 해소할 수 있는 사례들로 파악되었다. - 빅데이터의 트랩에 빠지지 않기 위한 기술전략으로써 AI기술과 인공지능기술, 머신런닝 기술을 SOC에 적용한 사례들도 조사되었다. - 이러한 환경분석의 결과에서 금번 사업의 이슈와 관련 있는 시사점들을 도출하여 공유하였다.

  • 내부 현황분석 단계의 주요사항

고객사의 내부 환경분석 단계에서는 3가지 영역(보안관제, 정보보호시스템운영, 조직 등 관리운영 영역)으로 나누어 현황을 분석하였다. - 보안관제 영역에서는 보안관제의 대상과 업무현황을 파악하였으며 최근 3년간의 보안관제에 대한 비용, 인력운영, 아웃소싱, 적용기술, 사이버대응 체계 등의 관점에서 세부 운영내역을 파악하여 현황과 문제점을 파악하였다. - 정보보호시스템운영 영역에서는 시스템운영현황, 시스템 성능, 시스템 아키텍처, 선진사례대비 현황과 문제점을 파악하였다. - 조직 등의 운영관리영역에서는 보안관제센터를 포함한 보안조직, 정책 및 프로세스 관점에서 3년간의 데이터를 바탕으로 이슈사항 등을 파악하였다.

  • SWOT분석 및 개선벙향 도출 단계의 주요사항

SWOT분석으로 전략수립을 위한 기본원칙(Key Direction)을 도출하고 앞서 분석된 국내.외 환경과 내부 현황에서 파악된 이슈와 문제점을 3가지 영역으로 재정의하였다, - 일반적인 전략수립 기법인 SWOT분석으로 내부적 강점과 약점을 도출하고 외적 위협과 기회를 파악하여 전략수립의 기본원칙을 수립하였다. - 이 기본원칙은 세부 추진과제들을 수립과 선정, 목적과 방향설정에 중요한 역할을 하였다. - 이 단계에서 추진과제 후보목록을 도출하고 요약 정의서를 작성하여 이해관계자들과 여러 차례의 논의를 통해 정비하였다.

  • 개선과제 이행계획 수립 단계의 주요사항

이전 단계에서 이해관계자들과의 논의과정을 거쳐 선정된 추진과제들은 그 속성에 따라 비용효과성과 긴급성 및 세부과제별 연관성을 고려하여 우선순위를 평가 및 선정하고 단기 중기, 장기로 나누어 정렬하였다. - 이해관계자들과의 논의과정을 거쳐 선정된 추진과제는 3개 그룹, 7개 추진과제, 28개 세부태스크로 정의되었다. - 선정된 세부과제는 5점 측도로 비용효과성과 긴급성을 평가하고 과제간의 연관성을 파악하여 우선순위에 따라 단기, 중기, 장기 추진과제를 구분하였다. - 각 세부과제는 TO-BE 설계안을 마련하고 소요예산을 조사하여 단계별 총 소요예산을 산출하여 정보보호 예산에 반영할 수 있도록 하였다. - 단기과제 일부는 본 사업이 완료되는 시점에 제안한 추진과제를 반영하여 발주되었다.