[배은] 정보보안서비스와 보안관리

지난 6월 국방연구원, 해양경찰청, 원자력연구소, 국방과학연구소 등 핵심 국가기관의 PC가 감염된 사건은 보안 관리에 대한 중요성을 부각시킨 또 하나의 계기였다.

어찌보면 평범한 트로이목마인 '변종 피프(Peep)' 하나를 막아내지 못한 것은 보안 시스템이 없어서라기 보다는 관리 프로세스 부실이 부른 인재란 지적이 설득력을 얻고 있다.

'슬래머웜' 하나에 국가 인터넷 네트워크가 붕괴된 '1.25 인터넷 대란' 역시 원인을 파고들면 허술한 보안 관리가 똬리를 틀고 있다.

이제 기업들은 보안이 부족하면 경영에 치명타를 입을 수 있는 시대에 살고 있다. 단 한번의 사고에 고객들로부터 외면받는 비참한 상황에 직면할 수 있다. 기업 경영자들이 보안 관리에 신경을 써야 하는 것은 바로 이 때문이다.

이같은 상황을 감안, 아이뉴스24는 한국조기경보시스템 연구포럼과 공동으로 앞으로 8회에 걸쳐 기업 경영자들이 알아두면 좋을 보안 관리 가이드 연재를 시작한다.

연재 내용은 연구포럼 산하 '공격피해수준 및 자산복구기간산정기업 워킹그룹'에서 연구중인 '중요 자산 보호를 위한 효과적인 정보보호관리'를 기반으로 하고 있다. (편집자주)

▲ 연재순서

1)정보보안 서비스와 보안관리 2) 아이디 도용과 사용자 인증 및 권한 3) 영업기밀 유출과 기밀성 및 책임 추적성 4) 데이터 위/변조와 가용성 및 정확성 5) 위험관리 및 위험분석 6) 공격피해수준 및 피해액 산정 7) 취약성 확인 및 점검방법 8) 올바른 보안 관리 의식

◆ 정보보안서비스와 보안 관리

한 기업이나 조직에서 보호해야 할 중요자산은 무엇인가.

자산이란 하드웨어, 소프트웨어 데이터, 데이터베이스 사용자 시스템, 관련문서, 저장매체, 통신망 관련 장비 등을 말한다.

중요 자산이란 이러한 자산중 평가 순위에서 우선적으로 보호해야 할 시스템 자원을 의미한다. 이같은 자산들은 적절한 정보보안 서비스 제공을 통해 보호돼야 한다.

흔히 정보보안 서비스라 함은 가용성(Availability), 무결성(Integrity), 기밀성(Confidentiality) 세가지를 꼽는다.

가용성은 정보는 필요한 사람에게 언제든지 제공될 수 있어야 한다는 것이고, 무결성은 정보가 위조나 변조되지 않아야 한다는 것을 의미한다. 기밀성은 정보 유출 없이 정보의 비밀이 지켜진다는 것을 뜻한다.

조직이나 기업 내 모든 자산은 침해를 받을 수 있는 소지를 갖고 있다. 위협은 원인에 따라 내부위협과 외부위협, 가해자에 따라 인간 위협과 비인간 위협, 의도 유무에 따라 우연적 위협과 의도적 위협으로 구분된다.

이러한 위협들은 적절한 관리와 정보보안 서비스를 제공받아 통제해야 한다.

위협으로부터 중요 자산을 지켜내기 위해서는 정보보안 서비스 중 어떤 것에 가치를 둬야 할까.

중요 자산의 정보보안 서비스 침해 사례를 갖고 접근해 보도록 하자.

보안 서비스인 가용성, 무결성, 기밀성이 손상되는 경우를 살펴보기 위해 부자은행에서 인터넷뱅킹 시스템을 도입해 서비스를 제공중이라고 가정해 보자.

사용자는 인터넷망을 통해 인터넷에 접속하며 부자은행의 라우터와 방화벽을 통해 인터넷뱅킹 시스템에 접근하게 된다.

인터넷뱅킹 시스템은 인터넷뱅킹 서버와 사용자 거래내역이 담겨 있는 고객데이터 베이스와 연동돼 있는 것이다.

여기에서 정보보안 서비스가 침해되는 경우는 다음과 같은 3가지일 것이다.

1. 인터넷 뱅킹 시스템 다운 : 가용성 침해

부자은행이 시스템 해킹으로 인해 일주일 동안 다운됐다면 은행 고객은 그 기간 동안 인터넷 뱅킹 시스템을 이용 할 수 없게 된다.

이는 정보는 필요한 사람에게 언제든지 제공될 수 있어야 한다는 가용성이 침해된 경우에 해당된다.

2. 거래원장 데이터 베이스 숫자 위조 및 변조 : 무결성 침해

해킹에 의해 부자은행 고객DB에 저장된 고객 거래원장내용이 위조나 변조 됐다면 이는 정보가 변하지 않았음을 뜻하는 무결성이 침해를 받은 것이다. 이 경우 원장 내용은 더 이상 신뢰 할 수 있는 정보가 아니다.

3. 거래원장이 복사돼 외부로 유출 : 비밀성 침해

고객 정보가 담긴 거래원장이 복사돼 외부로 유출됐다면 외부의 제3자가 고객 정보를 볼 수 있을 것이다. 이는 정보를 보호해주는 비밀성이 침해된 것으로 봐야 한다.

그렇다면 위에서 설명한 세가지 사건중 어떤 사건이 부자은행에 가장 치명적일까.

일주일 동안이나 가용성이 침해됐다면 고객은 부자은행을 떠날 것이다. 그러나 시스템이 원상 복귀돼 가동된다면 재기의 여지는 있다.

비밀성이 손상됐다면 일정 기간 동안 고객불만 사항이 접수 되겠지만 시간이 지나면 하나의 사건으로만 기억 될 것이다.

그렇다면 무결성이 침해됐을 경우는. 아주 꼼꼼하고 세심한 성격의 소유자가 아니라면 거래내역을 하루하루 확인하고 잔액을 기억하고 있지는 않을 것이다.

다시 말해 고객 거래원장의 숫자가 위변조돼 이를 확인할 방법이 없다면 부자은행은 해결책을 제시하지 못할 것이다. 결국 부자은행을 떠난 고객들은 돌아오지 않을 것이다.

완벽한 보안이란 없으며 모든 침해사고에 대비하기도 어렵다.

그러나 보안서비스 침해 정도에 대해 우선순위를 매김으로써 적절한 보안정책을 수립하고 위험을 관리해 나갈수는 있을 것이다.