I. 서론
2009년 7ㆍ7 대규모 DDoS 공격, 2011년 은행 전산망 마비, 재난 및 재해 발생 시 대규모의 국가ㆍ공공기관의 정보시스템의 운용이 중단되어 국가적 혼란이 발생 가능성이 잠재되어 있다. 대규모의 혼란이 발생하게 될 경우, 정보보안관리체계[1]가 확고히 정립되어 있지 않을 때, 재해 복구 및 연속성 유지에 상당한 시간이 소요될 것으로 예상되며, 피해를 최소화하고 신속한 정보시스템 운용의 정상화에 있어 정보보안관리체계가 중요하다.
정보보안관리체계 연구는 대상이 민간기관 또는 국가기관을 대상으로 하고 있으며, 민간기관은 물론 국가기관은 관련 데이터 공개를 매우 꺼리는 실정이다. 따라서 연구자가 활용할 수 있는 기존 선행 연구가 부재한 실정이다. 선행 연구의 부재는 정보보안관리체계를 이론적으로 흠결 없는 체계 개발에 있어서 큰 장애가 된다. 이론 연구가 부재하고, 본 연구와 관련된 베스트 프랙티스(best practice) 등 정보보안 관리체계와 관련된 우수 사례 등이 거의 공개되어 있지 않아 다양한 정보보안 관리체계 수용 과정, 수용 결과의 성공 또는 실패 여부, 관리체계 도입의 효과성 등이 거의 보고되지 않고 있다.
따라서 위의 문제점을 보완하기 위해, 본 연구는 국가기관 정보보안 관리체계[6] 평가 항목 고도화를 주요 목적으로 한다. 국가기관의 정보보안 관리체계를 평가할 수 있는 프로세스 중심의 평가체계 개발과, 국가기관 정보보안 관리체계 평가 항목 개발을 중점 목표로 한다.
II. 연구의 중요성
정보보안관리실태평가[3]는 2006년에 처음 도입된 이후 중앙정부의 정보보안 수준 향상에 중요한 역할을 담당하고 있다. 특히 정보보안관리실태[2] 평가결과가 기관장 평가점수에 반영됨으로 실효성이 높은 제도로 정착되고 있으며, 정보보안 거버넌스의 중심축이 되고 있는 실정이다. 그러나 정보보안관리실태평가가 중앙 및 지방 행정기관, 정부출연연구기관 등으로 확대됨에 따라 정보보안관리실태 평가항목이 정보보안 수명주기(life cycle)를 기반으로 유연하게 적용할 수 있는 체계로 확대 발전될 필요가 있다.
정보보안관리실태평가가 국가기관의 정보보안 수준을 지속적으로 개선시키고 있지만, 동 평가는 정보 자산의 중요성, 업무영향도, 정보보안속성(기밀성, 무결성, 가용성) 및 정보보안 자산의 선택, 구현, 평가, 개선 등에 따른 정보보안관리 수명주기를 고려하지 않음으로 정보보안의 연속성 및 효과성의 개선이 필요하다.
현 평가체계는 국가기관의 정보보안 환경 및 위험이 동일하다고 가정하고, 보안 대책 및 보안 활동을 평가하는 체계이다. 따라서 기관 고유의 위험 및 환경을 고려한 정보보안 계획 수립 및 자율 이행 과정을 평가하는 프로세스 평가 개념 및 체계를 도입해야 하며, 지속적으로 변화하는 정보보안 환경 및 기술을 비교적 빠른 시간 내에 국가기관이 자율적으로 수용할 수 있는 관리체계를 프로세스를 촉진 및 관리프로세스의 지속적인 성숙을 강화하는 성숙도 모델을 도입할 필요가 있다.
III. 정보보안관리실태 분석 및 개선 방향
현 평가체계는 정보보안규정준수 평가, 기관의 계층별 구성원(기관장, 정보보안담당자 및 일반직원)의 보안인식 평가, 기관자체 보안평가결과를 단기간의 실사 확인 등의 장점을 가지고 있다. 또한, 구성원에 대한 인터뷰, 테스트 등은 정보보안인식 개선에 상당한 성과를 거두고 있는 것으로 판단되며, 국가 기관의 기본적인 보안대책수준을 평균적으로 향상시키는 효과를 가지고 있다.
평가체계가 평가항목 중심으로 이루어짐으로 평가와 정보보안활동이 이원화 되는 경향이 있으며, 실태 평가를 통해서 지적된 보안취약성이 개선되지 않고 있다. 정보보호수명주기인 ‘계획-실행-점검-개선(Plan-Do-Check-Act)’의 관점에서 평가항목을 분석하면 대부분 평가항목은 실행(do)에 해당되고, 검토(check) 및 조치(act)에 해당되는 활동은 소수로 구성되어있으며, 현 평가체계는 기관이 보유한 정보 및 정보시스템의 분류 및 중요도를 감안하지 않고 있어 해당 기관의 정보보안 특성을 반영하지 못한다는 단점이 있다.
따라서 단점을 보완할 필요가 있다. 현 평가대상은 중앙행정기관, 지방자치단체, 정부투자기관, 출연연구소 및 준정부기관 등 이질적인 특성을 가진 기관을 동일한 체계로 평가할 수 없으며, 이질적인 평가대상의 특성을 반영할 수 있는 체계로 개선이 필요하다. 또, 기관의 특성을 기관이 보유하고 있는 정보자산(정보, 정보시스템, 업무, 환경) 등의 중요도 및 위험도를 기준으로 분류하고[4], 기관은 정보자산의 특성을 반영한 정보보안대책을 수립함으로 기관의 특성을 반영할 수 있는 보안평가체계로 개선이 필요하다[7].
본 연구에서는 정보시스템의 중요도를 기준으로 정보시스템 보안평가 방법을 제시한다.
IV. 정보시스템 중요도 평가 측정 및 사례
중요도(업무중단 시)는 재난 발생으로 이전 단계에서 산출된 대응정도에 근거하여 업무가 중단될 경우, 복구 활동에 미치는 영향을 측정한 것으로, 영향도 측정 기준의 고려 사항은 업무 세부 기능 수행주기, 투입 인력 정도, 비상대응/복구가능 범위 및 예상복구 소요 정도가 있다.
본 연구는 정보보안의 3요소인 기밀성(confidentiality), 무결성(intergrity), 가용성(availability)를 중점으로 업무영향도 평가 방법을 제시하고, 실제 공공기관을 대상으로 업무영향도 평가를 실시하였다.
4.1 중요도 측정 사례
본 연구의 실효성을 확인 위해 서울의 D공사의 해당 업무 담당자와 정보보안 담당자를 대상으로 인터뷰를 실시하였으며 업무영향도 평가에 대해 설명하고 실제로 업무 영향도에 따라 정보시스템의 중요도를 결정하는 설문을 수행하였고, 각 정보보안의 속성에 따른 항목별로 점수를 매겨 중요도를 평가하였다.
업무담당자와 정보보안 담당자와의 인터뷰를 통해 확보한 정보시스템의 중요도와 새로운 평가방법을 통해 도출된 정보시스템의 중요도를 비교하였다.
측정 방법은 설문지법을 이용하여 리커트 5점 척도를 활용하여 1점 ‘매우 그렇지 않다’ ~ 5점 ‘매우 그렇다’로 측정하였다. 본 연구에서는 D공사의 E-휴게소 시스템을 대상으로 설문하였다.
인터뷰를 통해, E-휴게소 시스템은 매출현황, 매출집계, 임대료 계산으로 구성되어있고 세부 시스템 별로 업무담당자와 정보보안담당자가 생각하는 정보보안의 등급은 아래의 Table 1과 같다.
Table 1. The Degree of importance by Owners
중요도를 계산하는 산식으로는 마크된 점수와 가중치를 곱하여 가중평균을 구하였다. 가중치(weight)는 업무 영향도에 있어 많은 영향을 미치는 것을 3점, 보통을 2점, 미미한 것을 1점으로 부여했다[8].
4.2 기밀성
허락 되지 않은 사용자 또는 객체가 정보의 내용을 알 수 없도록 하는 것이다[9]. 비밀 보장이라고 할 수도 있으며, 원치 않는 정보의 공개를 막는다는 의미에서 프라이버시 보호와 밀접한 관계가 있다[5].
본 연구에서는 업무영향도에 영향을 주는 기밀성에 관한 측정 도구로 29개의 문항을 포함한다.
Table 2. The Results of Confidentiality Assessment
4.3 무결성
허락 되지 않은 사용자 또는 객체가 정보를 함부로 수정할 수 없도록 하는 것이다[9]. 다시 말하면, 수신자가 정보를 수신했을 때, 또는 보관돼 있던 정보를 꺼내 보았을 때 그 정보가 중간에 수정 또는 첨삭되지 않았음을 확인할 수 있도록 하는 것이다[5].
본 연구에서는 업무영향도에 영향을 주는 무결성에 관한 측정 도구로 29개의 문항을 포함한다.
Table 3. The Results of Integrity Assessment
4.4 가용성
허락된 사용자 또는 객체가 정보에 접근하려 하고자 할 때 이것이 방해받지 않도록 하는 것이다[9]. 최근에 네트워크의 고도화로 대중에 많이 알려진 서비스 거부 공격(DoS 공격, Denial of Service Attack)이 이러한 가용성을 해치는 공격이다[5].
본 연구에서는 업무영향도에 영향을 주는 가용성에 관한 측정 도구로 29개의 문항을 포함한다.
Table 4. The Results of Availability
4.5 설문 결과
각 속성별로 나타난 측정치의 평균값과 가중평균값, 업무영향도를 정리하면 Table 5와 같다.
Table 5. The Results of Questionnaires
Table 1의 값과 비교하였을 때, 대동소이한 값이라고 볼 수 있다. 다시 말해, 업무 담당자와 정보보안 담당자가 생각하는 업무영향도가 설문 결과 값과 유사하게 도출되는 것으로 보아 어느 정도 신뢰성이 있다고 볼 수 있다.
V. 결론
본 연구는 국가기관 및 공공기관, 민관기간을 대상으로 정보보안 관리실태 평가체계의 선진화를 목표로 하며, 업무영향도 평가로 정보보안 평가체계 및 평가지표의 신뢰성 향상을 통해 정보보안 관리실태 평가가 정보보안 거버넌스의 핵심적인 역할을 수행할 것이라고 본다.
본 연구는 정보보안 관리실태 체계 및 지표는 국가 및 공공기관의 정보보안 활동 강화를 위한 일상적인 가이드라인으로 활용할 수 있다.
학문적 의의로는 정보보안 관리체계 개념의 이론적 기반에 대한 학계의 논의를 촉발시키며, 그 과정에서 위험관리 개념에 대한 복합적 이해, 컴플라이언스 및 거버넌스의 새로운 이론적 명제들을 제시하게 될 것이다.
앞으로 나아갈 방향으로, 먼저 본 연구에서 업무 영향도를 중심으로 측정하여 중요도를 등급별로 나누었다. 도출된 측정 결과를 토대로 재난·재해 발생에 대비하는 일련의 과정의 연구가 필요하다.
재난 발생으로 인한 정보시스템이 중단되는 경우, 발생할 영향과 손실을 측정하여 정보시스템이 업무에 미치는 영향을 정의하고, 정보시스템 복구 수준과 복구 우선순위를 설정하여, 재난 시 정보시스템을 우선순위에 따라 복구함으로 효과적으로 재난에 대처할 프로세스에 대한 연구가 필요하다.
References
- National Cyber Security Center, National Cyber Security Manual, Jan. 2012.
- National Cyber Security Center, The Explanation of Information Security Management Evaluation(Public Institution), pp. 3-7, 2013
- National Cyber Security Center, The Explanation of Information Security Management Evaluation(National Institution), pp. 3-7, 2013
- Youn, O.J., "The Methodology of Information Asset", M.S, Konkuk University, Aug. 2013.
- Choi, M.G., Management of Internet Enterprise, iumbooks, 5112p, 2013
- KISA, The Development of Information Security Managment Systems, pp. 8-24, Jun. 2009
- KISA, The Method and the Criteria in Information Security Management, pp. 94-147, Sep. 2010
- KISA, The Guide of Information Security Grade, 2010.3
- http://vlex.com/vid/sec-definitions-19256373