관리적 보안
관리적 보안이란 회사의 정보보호 및 운영에 대해 기본정책을 수립해 임직원(협력사 포함) 및 기업이 대내외적 경영활동을 할 때 회사의 핵심 자산을 관리하고 기업 정보를 체계적으로 보호하기 위한 구성 단계 중 하나를 말한다.
개요
기술적 보안에 초점이 맞춰진 위험관리와 보안 대책에는 결국 기술적인 한계가 발생한다. 그리고 기술의 발전 속도에 비해 사람이 기술적 위협을 인식하는 속도는 훨씬 느리다는 점을 고려해 볼 때 기술적 위협을 기술적 보안으로 대응하는 것도 부족하다. 그래서인지 정보 보안의 관점에서는 관리적 보안의 중요성이 점점 더 커지고 있다. 특히 고도화된 기술 사회에서는 기술적 운영이나 기술 기반 시스템의 보호를 위한 관리적 보안의 강화가 필수적으로 선행되어야 함이 강조되고 있다. 관리적 보안은 조직과 기업에서 구현할 수 있는 예방적 통제로서 정보 보안의 시작임과 동시에 마무리이기 때문이다.[1]
특징
필요성
관리적 보안의 시작은 조직에 적용될 '보안 정책'을 수립하는 것이다. 보안 정책을 수립해야 할 책임은 조직의 경영진이 할 일이며, 경영진이 보안 정책 수립을 하지 않아서 발생한 보안사고에 대해서는 전적으로 경영진이 법률적 책임을 진다. 조직의 모든 직원들은 경영진이 수립한 보안 정책을 준수해야 할 책임이 있으며, 보안 정책을 위반하는 경우에는 도덕적 비난을 받게 된다. 기술적 보안에만 의존하기 보다는 정보 보안을 구현하기 위하여 먼저 관리적 보안을 적절하게 수립한다면 조직의 내부 직원들에게는 '나에게 보안 정책 준수에 대한 책임이 있구나'라는 정서적 반응을 일으킬 수 있으며, 조직의 소속원으로서 정보 보안에 대한 동기 부여를 할 수 있다. 이처럼 보안 정책 수립으로 나타나는 내부 직원의 정서적 반응과 동기 부여는 조직의 가장 중요한 자산인 내부 직원이 스스로 업무상의 보안 취약점을 낮출 수 있게 만드는 최고의 방법이 될 수 있다. 한편 국내에서 금융기관을 목표로 하여 발생한 보안 사고 및 사이버 범죄의 사례를 보면 내부감사 및 수사 과정에서 보안 사고에 대응하기 위한 기술적 수단의 적절성보다는 보안 사고나 사이버 범죄를 예방하기 위한 관리적 보안으로서의 보안 정책 수립과 그 시행 여부를 주의 깊게 파악하고 있다. 즉, 경영진에게 부여된 관리적 보안에 과실이 없었는지 그리고 내부 직원에게 부여된 정보 보안 업무에 관리적 과실이 없었는지를 중요하게 판단하고 있다는 의미다. 이를 다르게 표현한다면 기술적 보안 대책을 아무리 많이 구현한다고 해도 보안 사고는 발생할 수밖에 없을 것이고, 이런 상황에서 조직의 경영진과 내부 직원이 수행한 관리적 보안의 적절성에 따라 그 책임의 유무 또는 책임의 가감이 결정될 수도 있다는 의미가 된다. 그리고 예방적 통제로 대응하지 못한 보안 사고나 사이버 범죄는 예방의 범위를 넘어선 것이기 때문에 탐지 및 교정 통제로서 사이버포렌식 기법이 적용되는데, 이 단계에서 조직의 관리적 보안 미비점이 발생된다면 조직에 해를 가한 당사자를 징계하거나 처벌하는 것은 물론 관리적 보안에 과실이 있는 자도 책임을 진다.[1]
강화 방법
현재의 보안 취약점을 식별하고 이에 대한 보안 대책을 수립해야 한다. 대형 사고 직전에 나타나는 전조 징후의 식별 내지 탐지는 기술적 보안으로 가능하므로, 이러한 징후와 연관된 관리적 보안의 공백이 있는지를 내부 직원이 재검토함으로써 위험의 발생 손실을 최소화할 수 있고, 설령 위험이 발생하지 않는다고 하더라도 관리적 보안의 재검토로 인해 보안 대책에 투입될 자원의 누수를 방지할 수 있을 것이다. 기술적 보안과 비교하면 조직과 기업에서 실천할 수 있는 관리적 보안 강화 방법은 복잡하지 않으면서도 비용도 낮다. 그럼에도 조직 내에 존재하는 핵심 자산의 취약성을 낮추는 데에는 기술적 보안보다 관리적 보안이 더욱 효과적이며, 법률의 강제사항이나 컴플라이언스 준수에도 도움이 된다. 효율적인 보안 대책인 관리적 보안을 조직 내에서 좀 더 강화할 수 있는 방법은 다음과 같다.[1]
- 탑다운방식(top-down approach)
조직 내에서 효과적인 보안 대책을 수립하는 과정에서 가장 큰 장애물은 최고 경영진의 지원 부족이다. 따라서 조직과 기업에서 성공적인 관리적 보안을 수립하기 위해서는 최고 경영자의 적극적인 도움과 실천의지가 있어야 한다. 즉, 조직 내에서 정보 보호를 위한 최우선 사항인 보안 정책 수립을 통해 조직 내 모든 직원들에게 정보 보호에 관한 경영진의 목소리를 듣게 하고 정보 보호에 관한 경영진의 의지를 정책에 반영하여야 한다. 이렇게 수립된 조직 보안 정책은 조직의 모든 직원과 공유돼야 하며, 조직의 소속원으로서 보안 관리에 대한 책임도 공유되어야 한다.[1]
- 최고위험관리자와 최고보안관리자의 협업 체계 구축
금융권이나 증권사 등에는 최고위험관리자(CRO)를 통해 조직에 악영향을 끼칠 수 있는 위험을 관리하고 있으나, 정보 시스템에 대한 지식이 부족하거나, 일상적인 정보보호 프로세스에 관심이 적을 수 있다. 따라서 위험 관리 부서에서는 업무상 관리되지 못하는 공백을 최소화하기 위하여 최고위험고나리자와 최고 정보보안관리자(CIS)의 정보보안 업무의 협업 체계를 구축하여 발생 가능한 위험을 전사적으로 사전 관리해야 한다.[1]
- 보고 체계 재정립
대부분의 조직에서는 정보 보안의 문제를 정보 관리 관점으로만 이해하고 있어 조직에 악영향을 끼칠 수 있는 보안 관련 사항을 운영 관리자에게 보고하지 않는다. 즉, 정보 보안의 문제를 IT의 문제로만 인식한다는 것이다. 그러나 모든 업무의 과정에서 IT 의존도가 더욱 높아지고 스마트 환경으로 인해 보안 취약점이 증가된 상황에서는 정보 보안 문제는 기업 존폐의 중요한 문제로 연결되므로 정보보안을 기업 운영의 차원에서 다루어야 한다. 이를 위해서는 발생 가능한 위협 및 위험의 정도에 따라 조직 내에서 상황을 보고하고 적절한 지시를 수령할 수 있는 보고 체계가 정립되어야 한다. 예를 들면 위험 평가의 결과에 따라 보안 대책을 구현하는 데 상당한 비용이 따를 경우 보안 관리자는 최고 경영자는 물론 이사회에도 직접 보고하여 보안 대책 및 필요 예산의 정당성을 보고할 수 있는 체계가 마련돼야 한다. 반면에 정보 보안 사항을 보안 관리자가 조직의 최고 경영진에게 직접 보고를 하게 되면 이러한 보고를 근거로 보안 정책이 수립될 것이므로 정보 보안의 민감성과 중요성을 조직 전체에 인식시킬 수 있을 것이다.[1]
- 인적 보안 관리
이미 조직 내에서 가장 중요한 자산은 단연 내부 직원이라 강조했다. 직원 관리는 단순히 인사 관리의 개념을 넘어서 이뤄져야 한다. 즉, 채용 전 단계에서부터 입사 지원자의 배경을 조사하고 교육 기록을 검증해야 하며, 특히 직원 채용 결정 시에는 반드시 기밀유지동의서에 해당 직원의 서명을 받아야 한다. 이 기밀유지동의서는 직원의 행동을 제한하려는 목적이 아니라 직원으로서 준수해야 할 보안 책임을 공식적으로 인정받기 위해 작성되고 서명되는 것이다. 따라서 기밀유지동의서를 통해서 조직은 조직 전체의 보안 책임을 공식적이며 절차적으로 부여할 수 있으며, 직원에 관해서는 보안 책임이 없어 그 부분에서는 보안 책임으로부터 업무상의 자유를 향유할 수 있다.[1]
- 직무기술서를 통한 변화관리 프로세스 유지
조직이 보유하고 있는 자산의 형태는 상당히 많다. 그 중에서도 가장 많은 변화를 하는 자산이 바로 내부 직원이다. 따라서 일상적인 업무뿐만 아니라 보안 책임에 관한 사항이 체계적으로 유지되도록 하고 설령 담당 직원이 변경되더라도 보안 책임이 시기 적절하게 인계될 수 있도록 변화관리 프로세스를 관리하여야 한다. 인적 보안과 관련하여 가장 좋은 변화관리 프로세스는 직무기술서를 활용하는 것이다. 즉 직무기술서에 일상적인 업무와 함께 비상 시 또는 보안 사고 발생 시 수행해야 하는 보안 관리 업무를 명확하게 기재해 둔다면, 직원이 교체되더라도 일상업무와 비상업무에서의 보안관리는 지속적으로 연계될 수 있다.[1]
- 주기적인 보안 인식 교육을 통한 태도 개선
정보보안에 있어서는 사람이 가장 중요한 요소이다. 즉, 조직에서 가장 중요한 자산이면서도 가장 취약한 부분이 바로 내부직원이며, 정보보안을 전사적으로 구현하는 데 가장 중요한 연결점이 고위 경영진이므로 결국 정보보안은 사람으로 귀결되는 것이다. 따라서 조직 구성원에 대한 주기적인 보안 인식 교육이 실시되어야 하며 이러한 교육의 대상자는 관리자보다는 실무자나 보안의 최전선에 있는 물리 보안 담당자, 청소 용역자, 전화 상담원 등에 초점이 맞추어져 한다. 한편 보안 실무자가 위탁교육이나 파견의 형식으로 보안 인식 훈련에 참여한다면 해당 직원의 부서에는 이 직원이 보안 인식 훈련에 전념할 수 있는 지원이 필수다. 보안 인식 훈련으로 습득한 지식은 일상 업무나 비상업무 중에서 발생 가능한 보안 사고의 상황에서 보안에 대한 직원의 태도를 개선하는 데 상당한 효과가 있으며, 이러한 직원의 태도 개선은 결과적으로 조직의 보안 구현에 결정적인 동인으로 활용된다.[1]
조건
개인 정보 및 기술 유출 예방을 위한 핵심은 결국 사람 관리, 그 가운데서도 내부자 관리라고 할 수 있다. 이를 위해서는 기술적 보안은 물론 관리적·물리적 보안이 많이 요구된다. 기술유출 사건을 경험한 중소기업의 경우 관리적 보안에 소홀한 경우가 대부분인다. 따라서 기업 및 일반인이 지켜야 할 관리적·물리적 보안 조건이 존재한다.
- 기업
첫째, 출입 허가된 사람이나 허가받지 않는 사람의 동선을 고려하여 물리적 보안을 설계해야 한다. 둘째, 보안 요구 사항에 따라 출입통제 시스템과 프로세스에 대한 설계를 고려해야 한다. 셋째, 출입통제에 대한 모니터링 및 감사 방안을 강구해야 한다. 넷째, 퇴근 시 신건 장치 및 클린 데스크를 철저히 준수해야 한다. 다섯째, 출력물에 대해 입력, 출력, 보관, 복사, 반출 등 프로세스를 고려하여 중요(기밀) 문서에 대한 보호 대책을 강구해야 하며, 여섯째, 분실 및 물리적 보안 사고 발생 시 신고할 수 있는 프로세스와 담당자 등을 확실히 해야 한다. 마지막으로 사용자에 대한 보안 교육 내에 물리적 보안 부분도 포함해야 한다.[2]
- 일반인
첫째, 외부 컴퓨터 기기 방치 시 반드시 보안 케이블 잠금(Security Cable Lock)을 활용한다. 둘째, 퇴근 시 클린 데스크를 준수하고 업무 책상의 시건장치를 모두 잠가야 한다. 셋째, 보안상 중요 업무를 다룬다면 모니터 보안 필름 사용을 고려해야 하며, 넷째, 중요(기밀) 문서 출력 시 바로 회수하고, 페기 시에는 적법 절차를 따라야 한다. 마지막으로는 출입카드나 업무용 디바이스 분실 시, 혹은 보안 사고 의심 시 신고절차에 따라 보고해야 한다.[2]
기술요소
- ISO 17799 : 영국 표준협회(BSI) 주관으로 1993년부터 산업계의 보안 관련 표준을 수렴하여 1998년까지 제정한 정보보호관리체계 인증 규격 및 정보 보안 관리 시스템을 시작, 이행 또는 유지하는 책임자에게 정보 보안 관리에 있어 모범 실무를 제공한다.
- ISO 27001 : 정보 보안경영 시스템에 대한 규격 제시를 통해 기업의 정보 보안경영 시스템 평가 인증한다.
- 보안 정책 설정/매뉴얼 작성 : 보안을 위한 자원 사용, 통신 등에 대한 사용자의 로그 정보를 수집 및 감시, 정책 설정 및 문서화한다.
- CC(common criteria) : 국가마다 서로 다른 정보보호시스템 평가 기준을 연동하고 평가 결과를 상호 인증하기 위해 제정된 정보보호시스템 공통평가 국제 기준이다.
- PMI : 사용자 권한, 지위, 임무 등에 관한 사용자의 속성을 정의하고 관리하기 위한 권한 인증 체계와 권한 관련 자원과 이의 소유자 간의 관계를 신뢰 기관이 보증하고 유지하는 구조를 가지고 있다.
- SRM(security risk management) : 조직의 자산을 보호하기 위하여 자산에 대한 보안상의 위험 분석을 통하여 비용 효과적인 측면에서 적절한 보호 대책을 수립하여 이를 수행하는 보안 위험 관리 프로세스를 총칭한다.[3]
각주
- ↑ 1.0 1.1 1.2 1.3 1.4 1.5 1.6 1.7 1.8 차칸앙마, 〈관리적 보안의 중요성 증가 관리적 보안, 선택 아닌 필수〉, 《티스토리》, 2011-08-25
- ↑ 2.0 2.1 이규형·최이주, 〈정보보호 핵심은 사람! 관리적·물리적 보안 7계명〉, 《보안뉴스》, 2014-02-13
- ↑ 〈관리적보안, 물리적보안, 기술적보안〉, 《지-덤》
참고자료
- 〈관리적보안, 물리적보안, 기술적보안〉, 《지-덤》
- 〈“보안은 내부자 관리부터” 직원 보안교육 초점 맞춘 보안 솔루션 G-POST〉, 《그로비스인포텍》
- 차칸앙마, 〈관리적 보안의 중요성 증가 관리적 보안, 선택 아닌 필수〉, 《티스토리》, 2011-08-25
- 이규형·최이주, 〈정보보호 핵심은 사람! 관리적·물리적 보안 7계명〉, 《보안뉴스》, 2014-02-13
같이 보기