1. 정보보호 관리체계
가) 정보보호 관리체계(ISMS)의 개요
(1) 정보보호 관리체계의 개념
- 정보자산의 기밀성, 무결성, 가용성을 유지하기 위하여 정보보호 대책을 관리하고, 위험을 기반으로한 정보보호 구축, 대책 구현, 운영, 모니터링 및 검토, 개선 등의 과정을 지속적으로 관리, 운영하는 체계
- 기업은 정보보호 관리체계의 구축, 운영을 통해 기업 전반의 종합적인 정보보호 대책을 구현함으로써 침해사고 발생시 신속하게 대응하고 피해에 의한 손실 최소화 가능
(2) 정보보호 관리체계의 구성
나) 위험관리(Risk Management)
조직이 관리하고 있는 정보자산을 식별하여 가치를 산정하고 각 자산별 법적, 관리적, 물리적, 기술적 관점에서 위험을 식별하고 수용하능한 목표위험 수준(DoA, Degree of Assurance)을 초과하는 위험에 대해서는 효과적인 보호대책을 마련하는 일련의 과정
(1) 위험식별
- 위험: 예측하지 못한 상황이 발생하여 조직에 영향(손실)을 미칠 가능성 의미
- 자산, 위협, 취약성의 함수로 표한 가능
- 할일 : 정보자산별 가치를 산정하고, 각 자산이 가지는 위험을 식별하는 것
(2) 위험평가
위험평가: 업무, 조직, 위치, 자산 및 기술적 특성에 따라 정보보화 관리 체계 범위에 근거한 위험분석 범위 산정
효율적인 위험분석 수행을 위하여 위험평가방법 분류
-. 계량화 여부:
- 정량적 방법
- 정성적 방법
-. 접근방법에 따른 접근법:
- 기준선접근법(Baseline Approach)
- 상세위험 접근법(Detailed Risk Approach)
- 복합적 접근법(Combined Approach)
(3) 위험평가방법
-. 계량화 여부에 따른 위험평가방법
| 구분 | 정량적기법 | 정성적기법 |
| 특징 | 손실크기를 화폐 단위로 측정이 가능할 때 사용함 과거 자료 접근법, 수학공식 접근법, 확률분포 추정법 |
손실크기의 측정이 어려워 위험을 구간 또는 변수(H3, M2,L1)로 표현 분석자의 경험 및 지식에 기초한 위험분석 방법 델파이법, 시나리오법, 순위결정법 |
| 장점 | 정량화된 자료의 사용으로 비용-효과 분석 및 예산 계획이 용이함 수리적 방법의 사용으로 계산이 논리적임 |
정량화가 어려운 정보의 평가 시 활용 용어의 이해가 쉬움 분석의 소요시간이 짧음 |
| 단점 | 정확한 정량화 수치를 구하기 어려움 수리계산에 많은 시간과 노력이 필요함 |
주관적 판단의 남용 여지가 있음 비용-효과 분석이 어려움 |
-. 접근방법에 따른 위험평가방법
| 구분 | 내용 |
| 기준선 접근법 | 모든 시스템에 대하여 정보보호의 기본수준을 정하고 이를 달성하기 위한 보호대책 수립 적은 시간과 비용 소요, 모든 조직에서 기본적으로 필요한 보호대책의 선택 가능 조직의 특성을 고려하지 않으므로 조직 내 부서별로 적정 보안수준보다도 높거나 낮은 보안통제 적용 |
| 전문가 판단법 | 정형화된 방법이 아닌 전문가의 지식과 경험에 따른 위험분석 작은 조직에서 비용 효과적 구조화된 접근 방법이 없기 때문에 위험의 객관적 평가가 어려움 |
| 상세위험 접근법 | 자산의 가치 측정, 자산에 대한 위협의 정도와 취약성 분석 후 위험의 정도를 결정 조직 내에 적절한 보호대책 수립 가능 전문적인 지식, 시간 및 노력 필요 |
| 복합적 접근법 | 주요 시스템 또는 위험도가 높은 시스템을 식별하여 ‘상세위험 접근법’을 적용하며 그 이외의 시스템에 대해서는 ‘기준선 접근법’등을 적용 보안전략을 빠르게 구축하여 시간과 노력을 효율적으로 활용가능 두 가지 방법의 적용대상을 명확하게 설정하지 못하는 경우 자원의 낭비발생 |
다) 정보보호 및 개인정보보호 관리체계(ISMS-P)
(1) ISMS-P의 개요
기존 정보보호 관리체계(ISMS)와 개인정보보호관리체계(PIMS)를 단일 제도에서 체계적으로 보호할 수 있도록 인증제도를 통합
(2) ISMS-P의 구성
16개의 관리체계 수립 및 운영, 64개의 보호대책 요구사항 및 22개의 개인정보 처리단계별 요구사항 등 102개의 인증기준 항목으로 구성
2. 개인정보보호
가) 개인정보보호 수칙
(1) 개인정보 수집시 동의 획득방안 반영
- 개인정보 수집 동의는 이용자의 개인 정보 및 입력 전 단계에서 동의 사항을 공지해야 하며 동의 여부를 선택가능하도록 구현해야 한다.
- 정보 수집 동의시에는 a. 개인정보 수집, 이용목적, b. 수집하는 개인정보의 항목, c. 개인정보의 보유, 이용기간, d, 동의 거부시 불이익을 모두 이용자에게 알리고 동의를 받아야 한다.
(2) 개인정보 파기 방안 반영
수집한 개인정보의 보유기간이 경과하거나 이용목적이 달성된 경우에는 지체없이 개인정보를 재생 불가능한 형태로 파기해야 하며, 다른 법령상 근거에 따라 계속 보유하여야 할 경우에도 반드시 현재 이용중인 개인정보와 별도로 분리하여 보관하여야 한다.
분리 보관 방법은 별도의 DB를 생성하여 저장하거나 물리적으로 다른 서버에 저장하는 방법이 있다. 별도로 보관하는 개인정보 DB의 경우 일반 개인정보 DB의 접근권한과 다르게 설정하여 불필요한 접근, 조회, 유출을 방지할 필요가 있다.
(3) 개인정보처리시스템에 대한 접근통제
개인정보처리자는 개인정보처리시스템에 대한 불법적인 접근 및 침해사고 방지를 위해 접속 권한을 제한하여 인가받지 않은 접근을 제한하고 접속한 IP 주소 등을 분석하여 불법적인 개인 정보 유출 시도를 탐지해야 한다. 접근 통제 방법으로는 ACL(Access Control List), 방화벽, 무료 침입탐지시스템(Snort) 등이 있다.
(4) 개인정보 저장 및 전송시 암호화 적용
- 개인정보를 개인정보처리시스템에 저장하거나 네트워크를 통해 전송할 때에는 불법적인 노출 또는 위, 변조 방지를 위해 암호화
- 비밀번호는 복호화되지 않도록 일방향 암호화하여 저장
- 비밀번호 분실시 복호화가 불가능하므로 임의의 비밀번호 제공 또는 재설정을 할 수 있는 기능을 포함하여 개발
- 주민등록번호, 여권번호, 운전면허번호, 외국인등록번호 등 고유식별번호 및 지문, 홍채, 음성, 필적 등 바이오 정보는 안전한 암호알고리즘으로 암호화하여 저장
- 개인정보를 전송하는 전송구간에서는 SSL/TLS등의 암호화 방식을 적용
(5) 접속기록, 권한변경에 대한 로깅 및 저장 관리
개인정보처리자는 개인정보시스템의 접속 기록을 최소 6개월 이상 보관 및 관리하여야 한다. 접속기록은 개인정보의 입,출력 및 수정 데이터 접근 내역 등을 기록하는 로그 파일을 생성하여 불법적인 접근을 확인할 수 있는 자료이다.
3. 정보보호 표준 및 관련 체계
가) ISO 27001:2013
정보보호관리체계 및 인증제도 국제 표준 규격인 ISO 27001:2011113은 기존 품질경영인증(ISO9001), 환경경영인증(ISO 14001) 등을 정보보안 부문의 인증인 ISO/IEC 27001, 27002(ISMS2.0)와 함께 인증 받을 수 있도록 하였으며, 부속서에 체크리스트는 기존 12개 분야 133개 통제 항목에서 14개 분야 114개 항목으로 변경되었다.
| ISO/IEC 27001:2013 2.0 | |
| 통제분야 | 통제항목수 |
| 정보보안정책 | 2 |
| 정보보안조직 | 7 |
| 자산관리 | 10 |
| 인적자원보안 | 6 |
| 물리적 및 환경적 보안 | 15 |
| 통신 보안 | 7 |
| 접근통제 | 14 |
| 정보시스템 취득, 개발 및 유지보수 | 13 |
| 정보보안 사고 관리 | 7 |
| 업무 연속성 관리 | 4 |
| 준수 | 8 |
| 공급자 관계 | 5 |
| 암호통제 | 2 |
| 운영보안 | 14 |
| 합계 | 114 |
나) OWASP TOP 10
OWASP TOP 10-2017은 주로 어플리케이션 보안을 전문으로 하는 회사에서 제출한 40개 이상의 데이터와 500명 이상의 사람들이 완료한 업계 설문 조사를 기반으로 한다. 이 데이터는 수백 개의 조직과 10만 개가 넘는 실제 어플리케이션 및 API 에서 수집된 취약점을 포괄하고 있다. Top10의 항목은 공격 가능성, 탐지 가능성 및 영향도를 합의 추정한 값으로 보정한 널리 퍼진 데이터에 따라 선별되고 순위가 정해진다.
| OWASP Top 10-2013 | -> | OWASP Top 10-2017 |
| A1- 인젝션 | -> | A1:2017- 인젝션 |
| A2- 취약한 인증과 세션관리 | -> | A2:2017- 취약한 인증 |
| A3- 크로스 사이트 스크립팅(XSS) | -> | A3:2017- 민감한 데이터 노출 |
| A4- 인전하지 않은 직접 객체 참조(A7, 항목과 병합됨) | U | A4:2017- XML 외부 개체(XXE)(신규) |
| A5- 잘못된 보안구성 | -> | A5:2017- 취약한 접근 통제 (합침) |
| A6- 민감한 데이터 노출 | -> | A6:2017-잘못된 보안구성 |
| A7- 기능 수준의 접근 통제 누락(A4 항목과 병합됨) | U | A7:2017- 크로스 사이트 스크립팅(XSS) |
| A8- 크로스 사이트 요청변조(CSRF) | X | A8:2017- 안전하지 않은 역직렬화(신규, 커뮤니티) |
| A9- 알려진 취약점이 있는 구성요소 사용 | -> | A9:2017- 알려진 취약점이 있는 구성요소 사용 |
| A10- 검증되지 않은 리다이렉트 및 포워드 | X | A10:2017- 불충분한 로깅 및 모니터링(신규, 커뮤니티) |
다) CWE(Common Weakness Enumeration)
CWE는 미국 국토보안부(U.S Depertment of Homeland Security) 내 국가사이버보안국(National Cyber Security Division)의 지원으로 미국방성 산하기관인 MITRE에서 소프트웨어 취약점(weakness) 항목을 뷰, 카테고리, 취약점, 복합요소를 기준으로 분류하여 정리한 분류체계이다.
라) CWSS(Common Weakness Scoring System)
CWSS는 소프트웨어에서 이키텍쳐, 설계, 코드 또는 구현상에서 존재하는 다양한 취약점들 및 소프트웨어의 보안상 중요 문제가 될 수 있는 취약점들에 대해 상대적인 중요도를 결정하기 위한 점수체계이다.
마) CVE(Common Vulnerabilities and Exposures)
CWE는 일반적인 취약점의 분류체계라고 한다면 CVE는 시간 경과에 따라 발견된 보안 취약점을 정리한 목록으로 발견된 보안 취약점의 히스토리 기록이라고 볼 수 있으며 'CVE-년도-순번'의 식별체계로 관리된다.
바) CVSS(Common Vulnerabilities Scoring System)
CVSS는 보안 취약점들을 평가하고 확인할 수 있도록 제공된 오픈 프레임워크로서, 기본 메트릭 그룹, 입시 메트릭 그룹 및 환경 메트릭 그룹 등 3가지 매트릭 그룹으로 구성되어 있다. 3가지 매트릭 그룹에 의해 계산된 결과는 취약점의 종합 점수이며, 취약점의 우선순위가 된다.
사) SANS(SysAdmin, Audit, Networking, and Security) top 25
MITRE와 SANS 협회에서 CWE를 기반으로 컴포넌트 사이의 안전하지 않은, 위험한 자원 관리, 적절하지 못한 보안대응의 사용에 관련된 내용 등 3가지 범주에서 소프트웨어 취약점을 야기하는 가장 중요한 프로그래밍 오류들을 목록화한 것이다.
'TOPCIT > TOPCIT교재' 카테고리의 다른 글
| VIII. 네트워크보안 이해하기-(안혜진) (0) | 2022.08.09 |
|---|---|
| VII. 시스템 아키텍쳐 보안(손선희) (0) | 2022.08.09 |
| II. 정보보안 기반기술 - 김도현 (1) | 2022.08.08 |
| 8. 장애 대응 처리 기술 - 배준호 (0) | 2022.08.01 |
| 16. 최신기술 - 이강욱 (0) | 2022.08.01 |