◆IS 보안 성숙 모델
비즈니스를 추진하는 데 있어 보안문제가 더욱 중요해짐에 따라 기업체들은 보안 업무처리 과정과 조직의 성숙도를 평가할 필요가 있다. 이에 가트너는 기업이 이런 평가를 쉽게 할 수 있도록 4단계의 모델을 제시하고자 한다.
보안을 기업 환경의 근본적인 요소로 제도화하려면 IT인프라를 구축하는데 사용하는 기술만 가지고는 안된다. 기업 안에서 보안문제를 중요하게 생각하는 인식, IS부서의 보안관련 예산, 기업 보안담당 조직의 성숙도 등도 중요하다.
일반적인 보안조직 모델에는 국제시스템보안엔지니어링협회(International Systems Security Engineering Association)가 제시한 시스템보안 엔지니어링능력 성숙도모델(SSE-CMM:Systems Security Engineering Capability Maturity Model)이 있다. 이 모델은 정부의 지원으로 광범위한 분야 전문가들이 참여해 만든 것이다. 하지만 5단계로 나뉜 이 모델은 주로 정책적인 면에 치중해 변화하는 기업의 현실과는 거리가 멀어 기업이 적용하기에는 적합하지 않다.
이에 비해 가트너가 개발한 모델은 기업의 보안 성숙도를 탐구·수집 단계, 봉건(feudal) 단계, 문예부흥(Renaissance) 단계, 산업(industrial) 단계 등 4단계로 나뉘어 있다. 기업은 보안 처리과정의 성숙도를 단계적으로 이루어가고 있다. 전통적인 메인프레임 데이터센터는 서비스 관리의 3단계까지 이르는 데 10∼20년이 걸렸다. 이와 대조적으로 대부분의 기업체들은 각기 다른 기종의 분산컴퓨팅 체제를 갖추는 데 있어 아직 초기 단계에 있다. 지난 2000년에 와서 많은 기업체들이 보안 전문인을 채용하고 보안정책을 수립하기 시작했다.
◇1단계:탐구·수집 단계=이 단계에서는 기업체들이 보안문제의 중요성을 제대로 인식하지 못하고 있다. 보안 담당 조직이나 예산이 없고 기초적인 보안조치만 취할 뿐이다. 이에 속하는 기업체들은 일반적으로 시스템을 설치한 직원 또는 업체로 하여금 이를 관리하게 한다.
◇2단계:봉건 단계=이 단계에 있는 기업체들은 보안문제를 기본적으로 기술적인 문제로 취급하고 관련 예산은 IT예산에 포함돼 있다. 바이러스 백신과 방화벽을 설치하는 등 1차적인 보안조치를 취하고 있다. 이 단계에 있는 기업체들은 분산시스템에 대한 보안기술을 채용하더라도 이를 처리하는 과정이 미숙하다. 그 결과 보안 환경이 혼란스럽고 기업이 보안 상황을 정확하고 종합적으로 파악하지 못하고 있다. 사용자와 사업부서 관리자들이 보안문제가 발생했다고 보고하면 그제서야 알고 침투를 지켜보기만 한다. 바이러스 백신, 가상사설망(VPN), 보안소켓계층(SSL), 방화벽 등 여러 가지 보안기술을 채택하지만 많은 응용 프로그램과 컴포넌트에 대한 보안조치가 돼있지 않다. 응용 프로그램의 보안문제는 사업담당 관리자들이 책임지도록 하고 있다. 지난 2001년 현재 기업의 55%가 2단계에 속하는 것으로 추정된다.
◇3단계:문예부흥 단계=이 단계에 있는 기업체의 경영진은 보안이 비즈니스를 추진하는 데 중요하다는 것을 잘 알고 있고 거래시스템 및 인프라의 보안을 위한 예산이 책정돼 있다. 사이버 사고에 대비하는 팀이 구성돼 있다. 이 단계에 속하는 기업체들은 시스템 기능의 저하, 서비스에 대한 거부, 불법거래 등의 사고가 일어나지 않도록 미리 적극적으로 대처하고 예측하며 위기를 관리한다. 불가피하게 어떤 사고가 발생하면 가능한 한 신속하게 이를 시정한다. 이런 기업체들은 거래를 위해 사용되고 있는 전체적인 기술 환경에 걸친 보안을 관리할 수 있는 거래사고관리(TIM)를 시행할 것이다. 이들 기업은 사업 보안 사양과 서비스 계약조건을 준수하고 운영과정이 성숙돼 처리과정별로 해당 팀이나 관리자에게 책임을 맡도록 한다. 모든 직원들이 거래상의 사고를 동시에 파악할 수 있다. 이 단계에 있는 기업체의 IS부서와 사업부서는 IT서비스의 범위를 명확히 정하고 보안 정도를 측정한다. 이 단계에 있는 기업체들의 특징은 독립 보안업체와 기업의 내부 및 외부 감사기능과 협조가 이루어진다는 것이다. 지난 2001년 기업의 10%가 이 단계에 있었던 것으로 추정된다.
◇4단계:산업 단계=이 단계에서는 보안문제가 기업문화의 일부가 되고 있고 기업은 보안문제를 사람, 처리과정 및 툴의 기능으로 인식하고 있다. 기업의 보안구조에 대한 책임을 맡는 정보보안책임자(CISO)가 임명돼 있다. 이 단계에서는 기업의 비즈니스 보안 및 위험평가가 IT평가와 연계돼 이루어진다. 경영진과 비즈니스 응용 프로그램에서 나온 데이터는 기존 비즈니스 처리과정의 능률성과 효과를 감시하는 데 사용한다. 이를 통해 업무처리를 위한 보안 수준을 높이게 된다. 정보보안책임자는 이사회에 보고할 뿐 아니라 모든 정보보안 문제를 감사, 법률 및 사업부서 관리자들과 협조하도록 돼 있다. 지난 2001년 기업체의 5% 미만이 이 단계에 속한 것으로 추정된다.
기업체들은 보안 처리과정, 기술, 조직체계, 하드웨어, 소프트웨어, 툴 등을 검토해야 한다. 근본적으로 보안은 제품보다는 업무 처리과정에 효과적으로 적용돼야 한다. 충분한 검토없이 툴에 성급하게 투자하면 문제를 더욱 악화시키거나 전체적으로 통합되지 않고 솔루션이 고립될 가능성이 있다. 이렇게 되면 불필요한 통합작업을 벌이는 부담을 가져올 수 있다.
현재 많은 기업체들이 2단계에서 3단계로 들어가고 있다. 이들 업체는 보안이 안된 인터넷기술을 통합해야 하는 고객관계관리(CRM), 전사적자원관리(ERP), 공급망관리(SCM) 등의 새로운 사업을 실험하고 있다. 이들은 대부분 합리적인 계획도 세우지 않고 기업 내외의 보안문제에 대처하려 하고 있다. 이런 자세는 보안솔루션을 단편적으로 설치함으로써 무용지물이 되게 만들 위험성이 있다. 이런 경우 툴은 만병통치약으로 간주될 가능성이 있다.
기업은 자사가 어느 단계에 속하는지를 확인함으로써 효과적인 투자를 통해 보안체제를 더욱 성숙시킬 수 있을 것이다. 오는 2005년까지 기업의 20%가 1단계에 머물고 35%가 2단계에 속하며 30%가 3단계에 속하고 15%가 4단계에 속할 것으로 예상된다.
◆거래의 취약성
모든 IT시스템은 보안에 취약하며 특히 외부에 개방된 시스템은 사고, 오류, 침투 등으로 인해 손상될 가능성이 높다. 따라서 기업 보안 처리과정의 성숙도가 어느 정도이든지 상관없이 보안담당자들은 시스템의 취약부분에 대해 사전에 대응조치를 취해야 한다. IT시스템의 보안문제는 각 컴포넌트는 물론 사업처리과정과 거래사항을 관장하는 조직체계가 약하면 일어난다. 또 새로운 사업을 위한 응용 프로그램의 기술적 구조와 컴포넌트를 설치할 때 취약성이 나타날 수 있다. 하지만 이런 컴포넌트를 각기 다른 업체로부터 개별적으로 구입하면 안된다. 기업은 IT시스템 전체 환경에 걸쳐 보안기능을 수행할 수 있는 제품을 선정해야 한다.
보안 담당자들은 시스템의 가용성, 접속성, 유용성 등 세 가지 목적을 추구하는 데 걸림돌이 되는 취약점이 무엇인지를 검토해야 한다.
대부분의 기업체들은 천재지변이나 재해에 대비한 전담부서를 두고 있다. 과거 이들의 역할은 화재나 홍수 또는 그와 유사한 자연재해에 대비하는 것이었다. 하지만 9·11테러사건 이후 가트너는 기업의 IS부서들이 중점을 두어야 할 문제점을 조사했다. 그 결과 네트워크, 데이터베이스 및 서버의 가용성이 가장 중요한 것으로 나타났다. 네트워크에 이상이 생기면 시스템 전체가 사용할 수 없게 된다. 따라서 광역 네트워크의 안전성을 확보하기 위해서는 예비 네트워크를 동시에 연결해야 한다. 하드웨어나 소프트웨어에 문제가 발생하면 데이터베이스를 사용할 수 없게 됨으로써 거래나 데이터의 처리가 이루어질 수 없게 된다. 이에 대비, 신속하게 복구할 수 있는 데이터베이스 롤백시설을 갖추어야 한다. 또 하드웨어와 소프트웨어 등 인프라에 문제가 발생하면 응용 프로그램 서버를 사용하지 못하게 돼 거래가 이루어질 수 없게 된다. 평균적으로 응용 프로그램이 다운되는 원인 중 약 40%는 응용 프로그램의 이상에서 비롯되고 40%는 운영자의 실수, 나머지 20%는 하드웨어의 문제와 재난 때문에 일어나는 것으로 나타났다. 이런 문제를 해결하기 위해서는 관련 직원을 교육시키고 IS 관리과정과 시스템 감시툴을 개발해야 한다.
시스템 접속은 네트워크, 거래 내용, 서버, 데이터베이스에 대한 접속으로 나누어 생각할 수 있다. 통신망의 보안이 허술하면 도청이나 비밀거래 사항이 유출될 가능성이 있다. 근거리통신망(LAN)이 특히 도청 위험이 있지만 간혹 이런 위험성을 의식하지 않고 설치하는 경우가 있다. 이밖에 응용프로그램 서버와 데이터베이스 서버 사이의 관계 데이터베이스용 언어(SQL:Structured Query Language) 전송 내용을 외부에서 포착, 복제하는 등의 여러 가지 문제가 일어날 수 있다. 또 거래사항에 대한 접속을 통제하지 않으면 거래인증이 유출될 수 있다. 외부 침입자가 응용 프로그램과 통신접속 통제지점 사이의 사용자 인터페이스를 통해 침투할 수 있는데 이를 막기 위해서는 인증기능을 강화해야 한다.
또한 서버와 데이터베이스에 대한 접속을 통제하지 않으면 거래사항이나 비밀사항, 개인 비밀 등이 유출될 위험이 있을 뿐 아니라 데이터와 거래사항이 손상될 가능성이 있다. 서브 시스템이나 미들웨어를 통한 접속도 마찬가지의 결과를 초래할 수 있다. 대부분의 비즈니스 응용프로그램 시스템은 서드파티의 관계형 데이터베이스 관리시스템(RDBMS:Relational DataBase Management System)에서 운용되는데 이 데이터베이스에 민감한 정보를 저장하면 안전하지 않을 수도 있다. 특히 RDBMS나 파일시스템, 백업파일 등에 들어 있지 않은 데이터는 암호화돼 있지 않기 때문에 쉽게 유출될 수 있다.
이밖에 사업 시스템을 외부의 다른 시스템과 통합하거나 몇개의 응용 프로그램 패키지를 기존 시스템과 통합할 경우 보안이 취약해질 가능성이 있다. 이를 막기 위해서는 기종이 다른 시스템 사이의 보안을 철저하게 강구하는 방침을 세우고 각 부서간에 긴밀히 협조해야 한다.
★관련 그래프/도표 보기
관련 통계자료 다운로드 거래상의 취약지점