정보보호 관리체계

키워드

• information (정보) : 가치가 있는 것
• data (정보) : 가치가 없는 것
• 정보보호 : 가치가 있는 정보를 보호하는 것
• 체계(system) : 앞으로 일어날 일에 대응하도록 미리 예측하고 대비하는 것
• 관리(management) : 규칙 체계 확립 및 관리감독
• 수준 제고 : 통제하여 수준을 울리는 것 (ex. 정보보호 수준 제고를 위한 제도 정비)
• 자산 (assets) : 재산
• 위협 (treat) : 외부의 어떠한 “주체” (해커)가 가하는 것
• 취약점 : 내부의 취약점
• 모니터링 : 위험 요소 감지
• 노출 vs 유출 : 정보가 공개 된 것 까지는 노출, 흘러가면 유출
• 온프레미스 보안관재 : 자체적 시스템
• 오프프레이스 보안관재 : 외부 서비스 사용 (ex. cloud)

컨설팅 최종 목표

: 인증 (자격증, 증명서 등)

ISMS

• 정보보호관리에 대한 표준적 모델 및 기준을 제시
• 정보보호 관리체계 수립운영 촉진
• 기업의 정보보호를 위한 일련의 활동 등이 인증 심사에 적합한지를 인증하는 제도

지속적인 정보보호 관리의 필요성

• 위험의 GAP이 점점 커진다
• ISMS 수립 필요
• 목표 : 안정성, 신뢰성

인증제도

: 주요 자산 유출 및 피해 예방, 대처

• 과학기술정보통신부 (대장)
  • 정책 결정
  • 인증기관 관리
• KISA(인증기관)
  • 인증 위원회 운영
  • 인증 제도 운영
  • 인증 심사원 양성 및 관리
• 인증 위원회
  • 심사 결과 심의 의결
• 인증 심사원
  • 인증 심사 수행
• 인증이란?
  • 정보보호 관리체계 인증 기준에 적합함을 증명하는 것
• 인증심사란?
  • 인증 기준 적합 여부를 서면심사 및 현장심사

정보보호 3요소

• 무결성 : 정보가 바뀌지 않는 것
• 가용성 : 필요할 때 쓸 수 있는 것
• 기밀성 : 허용된 사람만 정보를 열람할 수 있는 것

⇒ 3개 충족 시 “신뢰성” 충족

정보보호 관리 과정

1. 정보보호 정책 수립 및 범위 설정 : 사람들에게 알림
2. 경영진 책임 및 조직 구성 : 보안 팀 구성
3. 위험 관리 : 잠재적 피해원인 관리
4. 정보보호대책 구현 : 우선순위에 따라 시행
5. 사후 관리

의무 인증심사 대상자

• ISP : 정보통신망서비스 제공하는 회사 (SK, LG 등)
• IDC : 타인의 정보통신 서비스 제공 + 전년도 매출액 100억 이하인 회사 제외
• 정보통신서비스 제공자 : 전년도 매출액 100억 이상 또는 직전 3개월 일일 평균 이용자 수 100만명 이상 사업자

심사 이유

• 담당자 문책X
• 미흡한 점 발견 및 개선 O → 정보보호 수준 높이기

ISMS 관리과정

1. 정보보호정책 수립
   • 환경에 따라 3요소의 중요도가 바뀐다
     • 왠만하면 “가용성” But 은행이면 “무결성”
     • ⇒ 환경에 따라 맞춤 정책 필요
   • 정책과 조직 수립 → 문서화 되어야 한다 → 책임과 권한을 갖게된다
2. 정보보호관리체계 범위설정
   • 정보 자산 식별
3. 위험 관리
   • 위험 = 순해되는 금액 * 발생 확률 (1년 단위)
   • 과정
     • 전략 수립
     • 위험 분석
       • 위험 = 자산 + 위협 + 취약성 ⇒ 3가지 분석
     • 위험 평가
       • 정량적 점수를 매겨 중요도 판별
       • DoA (수용 가능 위험) 판별 (모든 회사가 다 같지 않음)
     • 대책 수립
       • 위험 수용 : 대응 비용보다 피해 금액이 더 적을땐 그냥 수용
       • 위험 감소 : 대책을 선정하여 수용 가능할 정도로 낮추는 경우
       • 위험 회피 : 예상 피해는 크지만 마땅한 대책이 없을 경우 위험한 상황 자체를 없애는 경우
       • 위험 전가 : 발생 가능성은 낮지만 피해가 큰 경우 보험 등으로 제3자에게 전가
     • 계획 수립
       • 우선순위 : 효과성 + 시급성 높은 것
       • 우선순위에 따라 마땅한 대책 선정
4. 구현
   • 우선순위에 따른 계획 수립
5. 사후 관리
   • 정보보호관리체계 재검토
     • 회사와 환경이 계속 변화하니 지속적 관리 필요
   • 모니터링
   • 내부감사

주의사항

• 경영측명
  • 실무자들이 이해할 수 있도록 도와야 함
  • 지속적 관심과 책임 완수 유도
• 실무자 측면
  • 위험관리 방법론에 대한 이해 필요
  • 모니터링 사고대응 조직구성

IOT 보안의 취약점

1. 기기 자체 보안 취약
2. 기기 사용자의 보안 인식 부족
3. 보안 업데이트 어려움

⇒ DDoS 공격 증가

다크웹 전문 브로커 IAB