목차
* 사업 등 관련 문의: T) 02-322-4688, F) 02-322-4646, E) info@wikisecurity.net
A기관 사이버안전센터 ISP컨설팅 사례
[ 고객사 ]
A기관(분류:미래창조과학부 산하기관)
[ 배경 및 주제 ]
- 고객사는 타 기관에 비해 상당히 이른 시기인 2003년에 ESM시스템을 기반으로 통합보안관제시스템을 도입하였다. - 약 13년간 보안관제운영을 하면서 보안관제시스템 고도화와 업그레이드, 사업장 지방이전 등의 이슈들이 있었다. - 각종 보안정책과 가이드에 따라 도입된 보안시스템은 약 29종으로 이에 대한 효율적 운영방안 수립의 필요성이 제기 되었다. - 또한, 기존 침입탐지방식의 한계극복을 위한 기술적, 관리적 등 다양한 관점에서 향후 전략적 추진방향을 고민하게 되었다. - 최근에 회자되는 빅데이터, 인공지능, 머신런닝 등 보안관제 기술의 변화에도 대응할 수 있는 종합적이고 미래지향적인 추진방향의 필요성도 제기되었다.
[ 프로젝트 기간 ]
2015년 4개월 간
[ 비즈니스, IT 및 정보보안 환경 ]
- 고객사는 미래창조과학부의 산하기관이며 금융서비스, 우편서비스, 사무행정이 주요 비즈니스로 구성되어 있다. - 공공기관이면서 금융기관으로써 적용되어야 하는 관련법과 규정이 모두 적용되는 비즈니스상의 특성이 존재하였다. - 고객사는 정보보안과 개인정보보호에 대한 전반적이고 포괄적인 정책과 기획을 담당하는 본부와 보안관제 및 운영을 담당하는 보안관제센터로 나눠져 있다. - 또한 금번 컨설팅 대상업무가 사이버안전센터이므로 국가사이버안전관리규정과 상위기관의 관련규정을 준수해야 하는 환경이다. - 몇 년전 사업장의 지방이전으로 인하여 자체적인 정보보안부문의 전문인력 확보가 어려운 난제로 존재하고 있다. - 주요 IT서비스를 SM업무를 아웃소싱하고 있으며 보안관제센터도 보안관제전문업체에게 2년 또는 3년간의 장기 위탁으로 운영하고 있다. - 주요정보통신기반시설로 지정된 업무와 비기반시설에 대하여 정기적 취약점 점검을 주기적으로 아웃소싱하여 운영하고 있다.
[ 컨설팅 주요 Topic ]
고객사는 다 기종의 정보보호시스템의 통폐합 등 효율적이고 체계적 보안관제 방안을 마련하고 빅데이터 등 최신기술을 적용한 보안관제 강화와 정보보호 조직체계 강화를 위한 방안 마련을 목표로 아래 3개의 주요 주제를 선정하였으며 총 9개의 세부 요구사항을 제시되었다. 1. 정보보호시스템 기능개선(또는 재구성) 등 효율적 운영방안 마련 - 정보보호시스템 운영의 선진사례 분석과 전략적 추진방향 - 정보보호시스템 현황 분석과 재구성 방안 - 정보보호시스템 유지관리의 효율적 운영방안 2. 미래 지향적 보안관제 운영 전략 마련 - 공공 및 민간(금융)의 보안관제 기술 현황 및 동향분석 - 미래 지향적 보안관제 기술의 동향분석과 도입방안 3. 정보보호 체계, 조직, 인력의 효율적 운영방안 마련 - 위의 1,2번 과제 추진에 따른 정보보안 업무, 조직, 인력구성 방안
[ 컨설팅 주요과정 및 특이사항 ]
정보보안 ISP컨설팅 사업은 대체적으로 몇 가지 공통적인 특징이 있는데 이번 컨설팅에서도 이와 같은 공통사항을 고려해야 했다.
1. 근거가 명확한 현황 및 문제점 파악 필요하다 - 고객사가 인지하고 있는 현황과 문제점은 일반적으로 정확한 데이터에 입각하지 않은 수준이다. - 파악된 문제점이 조직 내 이해관계에 따라서는 문제점이 아닐 수도 있기 때문에 정확한 데이터분석에 입각한 문제점 제기가 필요하다. - 이해관계자가 수긍할 수 있는 정확한 데이터를 도출하기 위하여 3년 또는 5년간의 장기간의 이력정보를 시계열적으로 분석해야 하는 이슈도 있다. - 특히, 정보보호 예산과 조직정비와 관련된 현황과 추진과제는 장기간의 데이터 분석과 관련 법과 규정적용으로 그 당위성을 제시할 필요가 있다. - 정확한 데이터 마련이 어려울 이슈에 대해서는 선진사례와 유사기관 사례 또는 ROI분석 등으로 그 타당성을 제시해야 하는 이슈도 있다.
2. 이해관계자들간의 입장정리가 필요하다 - 컨설턴트뿐만 아니라 고객사 일부(예:정보보안 운영조직)의 의견만을 반영한 현황파악과 개선과제 도출은 자칫하면 상이한 이해관계자 간의 논란의 덫에 빠질 수도 있다. - 현황분석 결과 도출한 이슈사항과 개선과제 선정에서도 이해관계자들간의 입장차이가 다른 경우가 있으므로 상이한 이해관계자간의 인터뷰나 설문은 필수적이다.
3. 의사결정권자의 포괄적이고 전체적인 의견파악 필요하다 - 의사결정자의 관심사를 파악하는 것은 포괄적인 조직관리와 중장기적 전략의 관점에서 향후 전략을 설계하는데 중요한 역할을 한다. - 의사결정권자의 의견이 없는 이슈에 대해서는 이해관계자들간의 입장정리결과 또는 외부전문가의 의견을 분석한 결과를 활용하는 방법도 효과적이다.
이러한 공통점을 바탕으로 금번 컨설팅 수행의 절차는 아래와 같이 4단계로 수행을 하였다.
수행 단계 | 주요 수행 내용 |
---|---|
단계-1 국내.외 환경분석(동향 및 사례분석) | - 주변 환경의 정책과 기술은 어떻게 바뀌고 있는가? - 타기관은 어떻게 대응하고 있는가? |
단계-2 내부 현황분석 | - 현재 정보보호시스템 운영은 어떤 이슈와 문제점이 있는가? - 현재 보안관제의 운영은 어떤 이슈와 문제점이 있는가? |
단계-3 SWOT분석 및 개선벙향 도출 | - 환경과 현황을 분석한 결과 개선해야할 과제는 무엇인가? - 개산방안을 도출하기 위한 기본전략은 무엇인가? |
단계-4 개선과제 이행계획 수립 | - 분야별 중장기 개선과제는 무엇인가? - 개선과제를 이행하기 위한 세부 테스크는 무엇인가? |
[ 수행 단계별 주요사항 ]
- 국내.외 환경분석 단계 주요사항
국내.외적인 정책동향으로는 아래와 같은 이슈사항과 시사점이 파악되었다. - 고객사 비즈니스와 관련 있는 최근 보안사고 사례와 유형이 변하고 있는 환경적 변화 - 상위기관인 미래창조과학부 사이버안전센터운영규정, 개인정보보호법 등의 개정에 따른 환경적 변화 - 선진국가인 미국, 영국, 일본의 정보보안 전략에서는 몇 가지 시사할만한 사례들이 파악되었다. - 국내 주요 사이버안전센터에서 기 도입한 빅데이터기반 보안관제 기술을 방문하여 숨겨진 애로사항과 문제점들을 파악하였다. - 빅데이터 기술기반의 SOC기술요소로써 ELK, Spark, Kibana, Logstash 등의 오픈소스가 적용된 사례들을 확인할 수 있었다. - CISCO OpenSOC 등은 빅데이터 기반 SOC구현의 대표적인 오픈소스로써 자칫 특정벤더의 의존도로 인한 문제를 해소할 수 있는 사례들로 파악되었다. - 빅데이터의 트랩에 빠지지 않기 위한 기술전략으로써 AI기술과 인공지능기술, 머신런닝 기술을 SOC에 적용한 사례들도 조사되었다. - 이러한 환경분석의 결과에서 금번 사업의 이슈와 관련 있는 시사점들을 도출하여 공유하였다.
- 내부 현황분석 단계의 주요사항
고객사의 내부 환경분석 단계에서는 3가지 영역(보안관제, 정보보호시스템운영, 조직 등 관리운영 영역)으로 나누어 현황을 분석하였다. - 보안관제 영역에서는 보안관제의 대상과 업무현황을 파악하였으며 최근 3년간의 보안관제에 대한 비용, 인력운영, 아웃소싱, 적용기술, 사이버대응 체계 등의 관점에서 세부 운영내역을 파악하여 현황과 문제점을 파악하였다. - 정보보호시스템운영 영역에서는 시스템운영현황, 시스템 성능, 시스템 아키텍처, 선진사례대비 현황과 문제점을 파악하였다. - 조직 등의 운영관리영역에서는 보안관제센터를 포함한 보안조직, 정책 및 프로세스 관점에서 3년간의 데이터를 바탕으로 이슈사항 등을 파악하였다.
- SWOT분석 및 개선벙향 도출 단계의 주요사항
SWOT분석으로 전략수립을 위한 기본원칙(Key Direction)을 도출하고 앞서 분석된 국내.외 환경과 내부 현황에서 파악된 이슈와 문제점을 3가지 영역으로 재정의하였다, - 일반적인 전략수립 기법인 SWOT분석으로 내부적 강점과 약점을 도출하고 외적 위협과 기회를 파악하여 전략수립의 기본원칙을 수립하였다. - 이 기본원칙은 세부 추진과제들을 수립과 선정, 목적과 방향설정에 중요한 역할을 하였다. - 이 단계에서 추진과제 후보목록을 도출하고 요약 정의서를 작성하여 이해관계자들과 여러 차례의 논의를 통해 정비하였다.
- 개선과제 이행계획 수립 단계의 주요사항
이전 단계에서 이해관계자들과의 논의과정을 거쳐 선정된 추진과제들은 그 속성에 따라 비용효과성과 긴급성 및 세부과제별 연관성을 고려하여 우선순위를 평가 및 선정하고 단기 중기, 장기로 나누어 정렬하였다. - 이해관계자들과의 논의과정을 거쳐 선정된 추진과제는 3개 그룹, 7개 추진과제, 28개 세부태스크로 정의되었다. - 선정된 세부과제는 5점 측도로 비용효과성과 긴급성을 평가하고 과제간의 연관성을 파악하여 우선순위에 따라 단기, 중기, 장기 추진과제를 구분하였다. - 각 세부과제는 TO-BE 설계안을 마련하고 소요예산을 조사하여 단계별 총 소요예산을 산출하여 정보보호 예산에 반영할 수 있도록 하였다. - 단기과제 일부는 본 사업이 완료되는 시점에 제안한 추진과제를 반영하여 발주되었다.