[정보보안 정책] - 보안 정책과 보안 조직
* 목차
[1]. 정보보안 사고 발생 사례
[2]. 정보보안 사고 원인
[3]. 보안 정책의 역할
[4]. 보안 정책의 구조
[5]. 정보보안 표준
[6]. 정보보호 조직 필요성
[7]. 정보보호 조직 구성
[8]. 정보보호 조직 업무
[1]. 정보보안 사고 발생 사례
☑️ APT 공격 (Advanced Persistent Threat, 지능적 지속 위협)
- 목표를 정해 주로 정부기관, 단체, 기업 등을 대상으로 공격 수행
- 오랜 잠복 기간 흔적을 남기지 않고 정보를 수집
- 잠복하면서 흔적을 지우기 때문에 탐지가 어려움
- 장시간 동안 수집한 취약점 정보를 악용하여 특정 시점에 보안 사고 발생
ex) 고객 혹은 국가 기관을 사칭하여 악성코드가 첨부된 이메일 발송
| 구분 | 공격 예시 |
| 정부 기관 | • 기밀 문서 탈취 |
| 사회 기반 산업 시설 | • 사이버 테러리즘 활동 • 사회 기반 산업 시스템 작동 불능 |
| 정보통신기업 | • 첨단기술 자산 탈취 • 원천 기술 관련 기밀 탈취 |
| 제조 기업 | • 기업 지적 자산 탈취 • 영업 비밀 탈취 |
| 금융 기업 | • 금융 시스템 작동 불능 • 기업 금융 자산 정보 탈취 |
[2]. 정보보안 사고 원인
| 원인 | 세부내용 | |
| 1 | 임직원 보안 의식 수준 낮음 | 지속적인 교육 및 점검 활동 미흡 |
| 2 | 보호구역 무단 진입에 취약 | 물리보안 인프라 및 운영관리 미흡 |
| 3 | 해킹에 의한 업무 중단 위험 존재 | 해킹 방지 체계 미비, IT운영 미흡 |
| 4 | 컴플라이언스 리스크 | 낮은 개인정보보호 관련 법률 준수율 |
| 5 | 보안 통제 사각지대 발생 | 전담 인력 부족 및 유관 부서간 역할과 책임 불명확 |
[3]. 보안 정책의 역할
1. 임직원에게 책임할당 및 책임 추적성 제공
2. 기업의 비밀 및 지적 재산권 보호, 컴퓨팅 자원 낭비 방지
3. 임직원의 가치 판단 기준, 경영진의 목표 공유
---> 기업의 목적과 전략을 달성하기 위해 구체화하는 단계에서 정책이 필요
[4]. 보안 정책의 구조
| 정책 |
| 지침 |
| 절차 |
| Polciy | 조직의 보안 정책이 가진 기본 원칙과 목적 기술 |
| Standard | SW, HW 사용 등 일반적으로 지켜야 할 보안 사항 기술 |
| Baseline | 조직이 지켜야할 가장 기본적인 보안 수준을 기술 |
| Guildline | 특정 상황에 대한 충고나 방향등을 제시 |
| Procedure | 각각의 절차에 대한 세부 내용을 담고있는 메뉴얼 |
[5]. 정보보안 표준
☑️ 정보보호 국제표준
| 연도 | 표준명 |
| 2022 | ISO/IEC 27001:2022 |
| 2013 | ISO/IEC 27001:2013 |
| 2005 | ISO/IEC 27001:2005 |
| 2000 | ISO/IEC 17799 |
| 1995 | British Standards Institute BS 7799 (영국표준협회) |
[6]. 정보보호 조직 필요성
- 보안에 관심을 가지는 직무
1. CEO(Chief Executive Officer) : 최고경영자
2. CISO(Chief Information Security Officer) : 정보보호최고책임자
3. CIO(Chief Information Officer) : 최고정보책임자
4. CPO(Chief Privacy Officer) : 개인정보보호최고책임자
5. CFO(Chief Financial Officer) : 최고재무책임자
☑️ 정보보안 부서
- 대부분의 기업과 조직에서 정보보안의 중요성을 인지하고 있는 추세
- IT부서와 별도의 부서로 구성, 특화된 정보보안 기능
[7]. 정보보호 조직 구성
CEO
├── 사업부서
├── 지원부서
│ ├──총무
│ │ └── 물리적 보안
│ └── IT
│ ├── 개발
│ └── 운영
└── 보안팀
├── 기획
├── 관리
├── 운영
└── 대응
[8]. 정보보호 조직 업무 - 정보보안 기획 / 운영 /모니터링
| 구분 | 수행업무 | 상세내용 |
| 1. 정보보안 기획 | 정보보안 전략 및 계획 수립 | - 전사 경영 및 IT 전략과 연계된 정보보안 전략 수립 - 정보보안 동향, 타사 현황, 신기술 정보를 상시 파악하여 전략·사업 계획 수립에 반영 - 시스템 개발 또는 보안 장비 도입 시, 보안 검토 - 투자 우선순위 결정 및 사업 진행 |
| 정책 제정 및 관리 | - 정책, 규정, 지침 변경에 대한 요구 사항 검토 및 개정 | |
| 위험 관리 | - 정보 자산 식별 및 분류, 자산 목록 작성 - 실제 운영 현황을 주기적으로 확인하여 목록과 일치시킴 |
|
| 시스템 구축 및 보안 장비 도입 | - 보안성 심의 통과 후 시스템 테스트 및 보안 적용 - 설계에 반영된 보안 대책 점검 및 조치 - 보안 장비 도입 시 정책 적용 확인 - 시큐어 코딩 가이드 제공 및 교육 - 개발 이후 보안 대책 점검 |
|
| 2. 정보보안 운영 | 인프라 및 보안 장비 운영 | - 모니터링 장비로 시스템 상태 정기 확인 - 정보보호 시스템 유지보수 등 운영 관리 - 서버, 네트워크, DB 보안 운영 |
| 위협 및 취약점 관리 | - 데이터, 애플리케이션, 시스템, 네트워크 취약점 관리 - 보안 취약점 진단 및 모의해킹 수행 - 보호 대책 제시 |
|
| 보안 관제 | - 24×365 보안 이벤트 모니터링 - 알림(alert) 분석 및 조치 |
|
| 보안 교육 | - 대상별 주기적 보안 교육 계획 및 실시 - 교육 결과 평가 및 다음 계획 반영 |
|
| 보안 사고 대응 관리 | - 사고 발견 시 긴급성 판단 - 분석 및 선조치 수행 - 재발 방지 대책 수립 - 외부 유관기관 보고 |
|
| 3. 정보보안 모니터링 | 성과 모니터링 및 성과 관리 | - 활동 체크리스트 기반 평가 수행 - 평가 결과 임원 보고 및 정책 수립 반영 - 시스템 운영 현황 및 특이사항 분석 보고 |
| 내부 감사 | - 기업 내부 감사 참여 - 계획 수립, 실사, 보고, 모니터링 단계 수행 |
|
| 외주 보안 관리 | - 외주 서비스 업체 점검 - 이행 점검 기준 수립 및 조치 사항 관리 |
|
| 컴플라이언스 관리 | - 외부 기관 감사 대응 및 조치 계획 수립 - 내부 통제 계획에 따라 부서별 조치 사항 지속 관리 |