DOI QR코드

DOI QR Code

A Study on the Efficiency of Auditing for Security Vulnerabilities in the Public Sector

공공부문 보안취약점 감사 효율화 방안에 관한 연구

  • Received : 2021.11.11
  • Accepted : 2021.12.14
  • Published : 2022.02.28

Abstract

The purpose of information security activities is to reduce large-scale material and human accidents that are concerned about hacking damage to important systems, such as control systems, through periodic preventive activities in addition to finding the cause and taking follow-up measures after damage caused by hacking. For this reason, although each institution is using a security work audit model in accordance with the relevant regulations, it is not easy to conduct company-wide inspection activities due to the constraints of manpower and time. Therefore, in this paper, we will analyze the major vulnerabilities of public institutions over the past 10 years and present a security audit model that can perform efficient security activities compared to the models for domestic and foreign security audits.

정보보안 활동의 목적은 해킹 등으로 인한 피해가 발생한 이후 그 원인을 찾아 후속 조치하는 것 뿐만 아니라 주기적인 보안 활동을 통해 제어시스템 등 중요 시스템의 해킹 피해 시 우려되는 대규모 물적·인적사고를 줄이는 데에 있다. 이에 각 기관에서는 관련 규정에 따른 보안감사모델을 활용하고 있지만 시간과 인력의 제약으로 인해 전사적 점검활동을 수행하는 것이 쉽지 않다. 본 논문에서는 최근 10년간 공공기관의 주요 취약점에 대해 분석해보고 국내외 보안감사를 위한 모델과 비교하여 효율적인 보안활동을 수행할 수 있는 보안감사모델을 제시하고자 한다.

Keywords

I.서론

정보통신기술의 발달로 사이버 공간과 일상생활이 병존하는 시대가 도래하면서 사이버공격의 형태가 단순정보탈취를 위한 해킹수준을 넘어서 테러․전쟁의 양상으로 변화되는 등 국가․사회의 안전을 위협 하기에 이르렀다.또한 해킹에 의한 개인정보유출사고('15.3월행안부아이핀 75만건 부정발급, '20. 6월우리카드12억건)로 인해 국민과 기업의 사회 ㆍ경제적피해도 심각한 수준에 이르고 있다.

2020년 11월 국회 정보위 국정감사결과에 따르면 공공기관에 대한 사이버 공격 건수가 하루평균 162만 건으로 2016년 41만 건에 비해 약 4배가 급증한 것으로 나타나는 등 앞으로 지능화·대형화되고있는 사이버 공격이 지속될 것으로 예상되어 각 기관은내·외부 감사수단을 활용하여 정보시스템과 개인정보의 안전성 여부를 주기적으로 점검할 필요가 있다.

한편,보안감사를 준비하거나 대비하기 위한 업무가 일상업무에 있어서 중요도가 높고 많은 비중을 차지하지만, 감사를 하는 입장에서 제한된 시간 내에 별도 우선순위없이 모든 세부사항의 준수여부를 확인하는 것은 제한될 뿐만 아니라 투입시간대비 비효율적이다.또한 감사자의 개인역량에 따라 감사결과가 달라질 수 있고 감사중점선정시 필수적으로 점검해야 할 사항이 매번 달라지게 되면 일관성있는감사결과를 기대하기 어렵다. 이에 취약부문부터 우선적으로 점검하는 등 점검 모델에 기반한 보안 감사가 필요하다.

본 논문에서는 감사원에서 최근 10년 간(’11년∼ ’20년) 공공기관들을 대상으로 보안감사를 실시하여 처분요구한 268건의 감사결과들을 분석하고이를바 탕으로 취약점들을 유형화하여 필수 점검 항목 선정을 위한 감사모델을 제시하고자 한다. II 장에서는 제안모델과의 비교를 위해 6가지 국내·외 정보보안 기준 및 감사 모델을 살펴보고 III 장에서는 268건의 감사 결과들을 유형별로 분류하며 IV장에서는 유형별 취약점들을 분석하여 모델로 제안,기존감사모델과비교분석한다.이를통해공공분야보안취약점에대비 하기 위한 발전방향을 제시하고 마지막 V장은 결론으로 마무리한다.

II. 국내외 정보보안 표준 감사 모델

보안 감사와 관련하여국외감사원중미연방감사원은 IT분야 국제표준인 ISO27001[3]을 반영하여 2009년부터 선진국형 감사 모델인 FISCAM[1]을구현하였고, 세계감사원장 회의에서는 2014년에 정보보안 분야를 포함한 IT감사핸드북[2]을 개발하여전세계감사원에배포하기도하였다.국내에서는공 공부문의 경우, 보안감사 주 무기관인 국정원에서 주요 정보통신기반시설 보호대책 이행 여부 확인해설서 [6]를 바탕으로 점검을 하고 있고, 민간부문의경우, ISMS-P[4]를기반으로보안수준에대한인증을받 도록하고있으며금융부문의경우,금융감독원에 의해 IT감사매뉴얼[5]을 활용하여 감사 시 활용하고 있다. 이에 본 논문에서는 대표적인 국외 감사모델, 국제표준, 국내 부문별 점검 모델들을 분석하고 감사원에서 그간 중앙행정기관, 지방자치단체, 공공기관, 금융회사들을 대상으로 감사한 결과를 분석하는데 활용하고자한다.

2.1 미 연방감사원(GAO)의FISCAM 모델

미 연방감사원(GAO)은 2009년 연방정보시스템 감사모델로 FISCAM(Federal Information System Controls Audit Manuals)[1]을 채택하였다. 이 모델은 Table 1과같이일반통제는5 개분야25개점검항목으로, 응용프로그램통제는4 개분야12개점검항목으로구성되어있다.

Table1. GAO’sFISCAMmodelJBBHCB_2022_v32n1_109_t0001.png 이미지

여기서 일반 통제란 정보시스템 보안 정책 개발, 직무분리가명확한정보시스템관리인원조직화, 재난복구계획수립 등을 말하고, 응용통제란 각 응용프로그램에서 이루어지는 데이터 입력, 교환, 처리, 암호화등을말한다.

2.2 INTOSAI IT Audit Handbook

INTOSAI(세계감사원장회의)의 IT감사워킹그룹 (WGITA)과INTOSAI개발기구(IDI)는2014년2 월 감사관들에게 IT 감사에 관한 표준과 보편적으로 인정된 모범사례를 제공하고자 IT감사핸드북을 발간하였다.이핸드북은IT감사를수행하면서감사관 들이살펴보아야할중요한분야에대하여포괄적으 로설명하면서ISSAI(International Standards for Supreme Audit Institutions, 감사원 data-국제기준)이 제시하는 일반적인 감사원칙들에 대해 기술되어 있다.

그중 정보보안과 관련한 부분은 Table 2와같이별도로 감사 매트릭스[2]를 마련하였고 해당 data-리스트들은“평가방법(AssessmentMethods)”등7가지 분야로 나누어 감사 목표와 감사 이슈(점검 항목)를 제시하고 있다.

Table2. Information Security Audit MatrixJBBHCB_2022_v32n1_109_t0002.png 이미지

2.3 국제표준 모델 ISO27001

국제표준기구(ISO/IEC)에서는 정보보호 관리에 관한 표준안 및 인증체계로ISO27001[3]을 개발하여국제표준으로 확정하였다.이모델은 Table3과 같이 11개분야 133개점검항목으로 구성되어 있고, 이후 한국인터넷진흥원이 국내 정보보호 표준을 정립하기 위해 정보보호관리체계(ISMS:Information Security Management System)를 개발하는 근간이 되었다.

Table3. ISO27001’s control modelJBBHCB_2022_v32n1_109_t0003.png 이미지

2.4 정보보호 및 개인정보보호 관리체계(ISMS-P)

과학기술정보통신부는 정보시스템의 보안표준 모델로 정보통신망법 제47조에 따른 정보보호 관리체계 인증(ISMS)을 고시하였고, 개인정보보호위원회는 개인정보보호 표준 모델로 개인정보 보호법 제32조의 2에 따른 개인정보보호 관리체계 인증 (PIMS)을 각각 고시하였다. 두 인증 모델은 data-현재 정보보호 및 개인정보보호 관리체계(ISMS-P)[4]로 통합되어 기관과 기업이 정보보호 및 개인정보에 관한 국내 표준 인증을 받기 위해 활용되고 있다.

인증심사 항목에 해당하는 정보보호 및 개인정보관리체계요구사항[4]은 Table4와 같이 관리체계 기반 마련(Management System Establishment and Operation)등 16개의 관리체계수립 및 운영에 대한 항목과 인증 및 권한 관리 등 64개의 보호대책에 대한 항목, 그리고 개인정보와 관련하여 수집부터 파기에 해당하는 22개 항목으로 구성되어 있다.

Table 4. Information Protection and Personal Information Management System Certification Criteria

JBBHCB_2022_v32n1_109_t0004.png 이미지

2.5 금융감독원 IT 감사(보안 분야) 매뉴얼

금융감독원은 전자금융거래법 및 전자 금융 감독규정에 따라 종합검사 또는 IT 부문 검사 시 매뉴얼에 따라 Table 5와 같이 IT 보안 절차, IT 보안리스크평가, IT보안 및 정보보호 전IT보안 통제안통제 구현, IT 보안 모니터링 등 5개 평가항목 17개세부평가항목[5]으로 구분하여 평가하고 세부평가항목에 대한 점검방식은 착안사항을 포함하여 점검해야할 항목을 기술하고 있다.

Table5. Audit manual detailed evaluationl itemsJBBHCB_2022_v32n1_109_t0005.png 이미지

2.6 주요 정보통신기반시설 보호 대책 확인 모델

기반시설 관리기관은 정보통신기반보호법에 따라매년취약점분석평가를실시한후보호대책을수 립하여 이를 시행하고 국정원과 과학기술정보통신부는 관리기관이 자체수립한 보호대책을 이행하였는지 여부를 점검하기 위해 “주요 정보통신기반시설 보호대책 이행 여부 확인 해설서”[6]를 활용하여 제어시스템과 정보시스템을 점검하는 데 Table 6과 같이 9개분야 세부68개 항목으로 구분하여 평가하고 있다.

Table 6. Checkpoints for the implemetation of major infrastructure

JBBHCB_2022_v32n1_109_t0006.png 이미지

2.7 기존 감사 모델에 대한 분석

앞서 살펴본 6가지 감사모델에 대해 평가 항목기준으로 분석한 결과 감사 모델들 중[1-4] 의 경우, 정형화된 점검 모델의 성격을 띄고있고[5]의경우, 평가항목과 세부 평가 항목으로 구분한 뒤 세부평가항목에서 ‘필수’, ‘선택’으로구분하고있으나17개세부평가항목전체가 ‘필수’로 지정되어 있어 중요도구분이 되어 있지않다.[6] 의 경우, 평가항목 중 세부항목에 대해‘상’, ‘중’, ‘하’로 구분하고 있으나, 세부항목 중 “취약점 분석 평가 결과 문제점 보완 조치”의 경우 ‘상’으로 구분한 반면 “보호대책 이행 여부 확인결과문제점보완조치”는‘중’으로 구분하고있고 “용역 업체 보안관리”평가항목 내 “용역업체 외부원격작업금지”는‘하’로구분되어있는데“용역업체전산망 분리운영및접근통제”는‘상’으로 되어 있는 등 유사성격업무들에 대해 중요도등급 부여기준이 모호하다.이와 같이 기존 감사모델들은 각 개별모델 내에서 평가항목의 중요도에 따른 구분이나 유사평가항목 내 필수점검여부를 확인하기 어려운점이 있었다. 이에 본 논문에서는 기확인된 감사결과들을 분석한뒤 각각의 중요점검항목을 도출하고자 한다.

III. 감사 결과 및 주요 취약점유형 분석

3.1 감사 결과 분석

공공기관은 정보보안 활동을 하기 위해 정보시스템 보안관리 및 개인정보보호를 위한 물리적·관리적·기술적 보안활동 등을 분석하고, 각 기관의 주요 정보 및 개인정보 시스템, 웹서버 등 업무시스템, 주요 정보통신기반시설의 제어시스템, 용역업체 보안관리업무등정보시스템과 업무별 취약점을 분석한다.

이와 관련하여 감사원은 최근 10년간(’11년~’20 년)공공 및 금융권등을 대상으로 공공부문에서의 해 킹사고 등에 대비 한관리·감독실태를 확인하기 위해 “금융소비자보호등금융감독실태” 등36차례[7-42]에 걸쳐 공공기관의 보안활동실태를 감사하였다.

분석대상 36개 감사사항의 감사결과 268건 중 4개 감사사항의 감사결과 173건 1)(65%)이 정보보안전반에 대한 특정감사로 실시되었고 해당 특정감사들의 점검 중점은 “주요 정보시스템 점검”, “개인정보 보호 및 관리”, “추진체계 등 제도 운영”, “정보보호 인프라 구축” 등으로 구분되어 있으며 주요 감사대상 유형은 Table 7과 같다.

Table7. Subjects to audit by typeJBBHCB_2022_v32n1_109_t0007.png 이미지

특정감사들의 점검 중점을 기준으로, 본 논문에서는전체감사결과를“①정보시스템의안전조치부적 정, ② 개인정보보호 및 관리 부적정, ③정보보호 인프라구축 미흡, ④추진체계및제도운영부적정” 으로 분류한다. 그리고 분류 시, 각 유형별 감사결과 통계는 개별 감사결과내에 중복(예.하나의감사결과 내에 정보시스템의 안전조치 사항, 인프라 구축 사항 미흡, 제도 개선사항을 동시에 지적한 경우) 사례가 많아 별도 산정하지 않는다.

감사 결과 Table 8과 같이 36개 감사사항에서 268건[7-42]의위반사항이있었다.그리고17개감 사사항(table에서 음영표기)에서 정보보안 부문만 특정(나머지 19개 감사사항에서는 기관 정기감사 등의형태로감사중점에일부 포함하여 정보보안 위반 사항을 지적)하여 감사를 실시하였다[43].

구체적인 세부감사 결과는 전자정부법, 정보통신기반 보호법, 정보통신망법, 개인정보 보호법 등의 법령과 ‘국가정보보안 기본지침’, ‘국가사이버안전관리규정’ 등 제도적으로 규정된 정보보안 활동 및 점검활동 영역에 근거하여 공통적으로 확인된 보안취약점들을 중점으로 분석하였다.

Table 8. Information security related audits[7-42]JBBHCB_2022_v32n1_109_t0017.png 이미지

본 논문에서는 관련 법령이 다수이고 정보통신기술분야의 특성상 범위가 넓어 정보시스템과 관련된 기술 및 관리적 영역을 중점적으로 분석하면서, 최근 정보시스템에 대한 해킹목적으로 개인정보를 탈취하는 등의 사례가 많이 발생하고 있어 정보시스템 안전 조치와 관련된 정보보안(개인정보 감사 결과 사항 포함)에 국한하여 분석하였다.

3.2 주요 취약점 유형 분석

본 논문에서 분석한 취약점들의 유형을 살펴보면, 서버와 같은 주요정보시스템을 운용하는 관리자들이 계정관리를 부실하게 하여 외부로부터의 취약성을 방어하지 못하는 등 정보시스템의 안전조치를 미흡하게 한 사례, 내부직원들 중 고객정보 관리시스템과 같은 주요 응용시스템에 접근권한을 가진 일반 직원들이 사적 목적으로 시스템을 운용하는 등 개인정보보호 및 관리를 소홀하게 한 사례, 위두 가지 사례와같은 기술적 취약점에 해당되지는 않지만 재해 상황과 같이 사전에 대비할 수 있도록 정보보안기반을 갖추지 못해 발생하는 인프라 구축 미흡 사례, 그리고 감사대상기관에서 기술적·관리적취약점에 대한 조치를 하였으나 근본적으로 내부통제를 위한 보안규정 등 체계 및 제도 미흡으로 인해 보안취약성을 그대로 보이는사례 등 4가지 취약유형으로 구분할 수 있고 각 유형별 취약 사례는 다음과 같다.

3.2.1 정보시스템의 안전조치 적정성

일반 사용자 단말기(PC 또는 노트북 등)에서제어시스템또는업무시스템등 정보시스템에 접속했을 때제어망과 업무망을 연동하여 운영하거나 주요시스템의관리자계정ㆍ비밀번호를 시스템구축시초기값으로 운영하는 등 취약점 미조치 사례들이 있고 주요 취약점 유형은 Table 9와 같다.

Table9.Vulnerable types by information system JBBHCB_2022_v32n1_109_t0008.png 이미지

3.2.2개인정보 보호 및 관리 적정성

개인정보와 관련하여 사적으로 개인정보를 열람하거나 권한없는 자에게 공인인증서와 같은 인증정보를 주고무단으로 개인정보를 열람하게 하여 관리가 부실하게 된 유형이다.

(사례1) XX시등시ㆍ도산하X개시ㆍ군ㆍ구대상으로 X 정보시스템에 입력된 열람용도와 실제 열람용도를 확인한 결과 총 X건 중 X건 (X%)이‘ㆍ, ㅁ, 111’ 등과 같이 열람 용도를 알 수 없게 입력되어 있을 뿐만 아니라 X 시 공무원 등은 타인의 개인정보를 사적열람하거나가족의 부탁을 받고 제공하는 등 개인정보관리가 부실

(사례2)XX통합관리망접속기록을 확인한 결과 XX시 XX청 등 X 개시ㆍ군 ㆍ구 소속 공무원(X명)이 시스템 접속에 필요한 사용자 계정과 공인인증서를 자활근로자 등과 임의로 공유하고 있었고 자활근로자 X명은 업무와 관계없이 타인, 본인의 개인정보를 무단 열람하는 등 개인정보 관리가 부실

3.2.3 정보보안 인프라 구축 적정성

정보보안 인프라와 관련된 감사 결과는 정보보안 활동으로 규정된 보안 취약점 제거사업을 추진하면서 취약점을 식별하고도 이를 미이행하거나 보안 장비 구축 후 업데이트를 실행하지 않아 신규 취약점에 쉽게 노출되어 해킹공격의 대상이 되고 전체 시스템 마비 등 치명적인 피해가 우려되는 유형이다.

(사례1) XX 센터에서 X 기관과 협의하지 않은 채정보시스템 보안 취약점 점검 ․ 제거사업을 매년 추진하여 20XX년부터 20XX년까지 매년 X 건에서X건의취약점을발견하고도제거한건 수가 X건에서 X 건에 불과(평균 제거율 X%) 하여 외부인(해커)이위 보안 취약점들을 이용하여 정보시스템에 침입할 우려

(사례2) 정보시스템 보호를 위해 서버 보안 장비(X종, X세트) 및 방화벽(X종, X 세트)을 설치 ․운영하면서 서버 보안 SW(짧게는X개월에서길게는 X년) 와 방화벽 SW(짧게는 X개월에서 길게는 X년)를 최신 버전으로 업그레이드하지 않고 구형버전을 그대로 사용하고 있어 사이버침해에 제대로 대응하지 못할 우려

3.2.4 추진체계 및 제도 운영 적정성

언론에 가장 많이 보도된 취약사례 중 하나로 관리적 관점에서 보안취약성에대비할필요가있는사 항이며감사결과사례로는용역업체관리소홀에의 한 내부 자료 유출 위험이나 용역업체 직원에 대한 신원 조사미실시로 인해 향후 보안사고 발생 요인을사전에차단하지못하는경우등이있다.

(사례1) 각 기관에서 노트북 반입․반출시 자료 무단 반출 여부 등을 매번 확인하는 하는 것이 번거롭다는 이유 등으로 제대로 확인하지 않아 X 등 X개 기관에서 용역업체 직원이 노트북 등에 기관 대외비 자료(전산망 구성도,IP주소할당현황등)또는 개인정보 등을 저장하여 반입 ․반출하거나 상용 메일을 통해 전송하는 등 정보 유출 위험이 있었고 X등X개X에서 구축 비용1억원이상X개정보시스템중 X개(X%) 정보시스템에서 용역업체 직원이 운영중인 시스템에 직접 접근하여 작업을 하고있는 등 정보유출 및 보안사고 위험

(사례2) XX 센터에서 출입자의 인적 위해요 소를 차단하기 위해 상시 근무용역업체 직원에 대한 신원조사를 하면서 업무담당자가 X명에 대한 신원조사를 요구받고 X명에 대해서 신원조사를 의뢰하지 않는가 하면 미의뢰 사실을 숨기기위해 X명에 대해 신원 조사 결과 이상이없는 것처럼 해당 부서에 허위 통보

IV. 감사 모델 제안 및 비교 분석

보안감사를 수행함에 있어서 제한된 시간과 인력으로 전사적 감사활동을 수행하는 것은 현실적으로 어려우며 점검분야의 중요도를 고려한 필수점검영역을 식별하고 이를 반영한 모델을 개발하는 것이 필 요하다.

이에 제안 모델은 실제 감사 결과 취약부문으로 식별된 사항을 점검항목에 포함하도록 중요도를 부여함으로써 보안 감사 세부 점검항목 작성 및 감사계획수립 시 활용하는 데 목적이 있다.

4.1 정보시스템의 안전조치 분야

제안 모델의 첫 번째 분야는 정보시스템 안전조치 분야로, 취약점들을 종합하여 분석한 결과 필수점검 사항으로 정보시스템 서버 관리자 계정관리 (Information system server administrator account management) 등 9가지 점검 항목을 도출하였으며 전체항목은 Table 10과 같다.

Table 10. Inspection items for informationsystemsafety

JBBHCB_2022_v32n1_109_t0009.png 이미지

그리고 위 9가지 점검항목을 기존모델들의점검항목과비교해본결과, Table11과같이‘I-1. 정보시스템 서버 관리자 계정관리(Information system server administrator account management)’ 항목은 FISCAM 모델의 ‘일반통제의 접근통제(Access Control)’ 점검 항목에 해당되는 것을 확인할 수 있고 나머지 정보 시스템안전성조치 분야 점검 항목들도 기존 모델들의 점검항목에 포함됨을 알 수 있다.

Table 11. Checklists for information system safety measures by domestic and foreign audit models

JBBHCB_2022_v32n1_109_t0010.png 이미지

4.2 개인정보보호 및 관리 분야

개인정보보호 및 관리 분야 취약점들을 종합하여 분석한 결과, 필수점검 사항으로 퇴직자에 대한 계정관리(Accountmanagement forretirees)등 9 가지 점검 항목을 도출하였으며 전체 항목은 Table 12와같다.

Table12. Inspection items for personal informationJBBHCB_2022_v32n1_109_t0011.png 이미지

그리고 위 8가지 점검항목을 기존모델들의 점검항목과 비교해본 결과, ‘P-1. 퇴직자에 대한 계정관리(Insufficient account management for retirees)’항목은INTOSAI IT Handbook 모델의‘교육훈련(Audit Issue 13: Training)’ 점검항목에 해당되는 것을 확인할 수 있고 나머지 개인정보 보호 및 관리분야 점검 항목들도 Table13과 같이 기존 모델들의 점검 항목에 포함됨을 알 수 있다.

Table 13. Checklists for personal informationprotection and management by domestic andforeign audit models

JBBHCB_2022_v32n1_109_t0012.png 이미지

4.3 정보보호 인프라 구축 분야

정보보호 인프라 구축 분야 취약점들을 종합하여 분석한 결과, 필수 점검 사항으로 재난 복구 조치 확립의 적정성(Adequacy of establishment of disasterrecoverymeasures)등10가지 점검 항목을 도출하였으며 전체 항목은 Table14와 같다.

Table 14. Inspection items for construction of information security infrastructur

JBBHCB_2022_v32n1_109_t0013.png 이미지

그리고 위 10가지점검 항목을 기존 모델들의 점검 항목과 비교해본 결과, ‘F-1. 재난 복구 조치확립의적정성(Adequacyofestablishmentofdisaster recovery measures)’ 항목은 INTOSAI IT Handbook 모델의 정책과 절차 ‘Audit Issue 8: Policies and Procedures’ 점검 항목에 해당되는 것을 확인할 수 있고 나머지 정보보호 인프라구축분야점검항목들도 Table15에서와 같이 기존 모델들의 점검항목에 포함됨을 알 수 있다.

Table 15. Checklists in the field of information security infrastructure construction by domestic and foreign audit modelsJBBHCB_2022_v32n1_109_t0014.png 이미지

4.4 추진체계 및 제도 운영 분야

정보보호 인프라 구축 분야 취약점들을 종합하여 분석한 결과, 필수 점검 사항으로 재난 복구 조치 확립의 적정성(Adequacy of establishment of disaster recovery measures) 등 8가지 점검항목을 도출하였으며 전체 항목은 Table16과 같다.

Table 16. Inspection items for implementation systems and system operation

JBBHCB_2022_v32n1_109_t0015.png 이미지

그리고 위8가지 점검 항목을 기존 모델들의 점검 항목과 비교해본 결과, ‘S-1. 재난 복구 조치 확립의적정성(Adequacyofestablishmentofdisaster recovery measures)’ 항목은 FISCAM 모델의 ‘일반통제의 업무분리(SegregationofDuties)점검 항목에 해당되는 것을 확인할 수 있고 나머지 추진 체계및 제도운영 분야 점검 항목들도 Table17에서와 같이 기존 모델들의 점검 항목에 포함됨을 알 수 있다.

Table 17. Checklists for implementation systems and system operation fields by domestic and foreign audit models

JBBHCB_2022_v32n1_109_t0016.png 이미지

V.결론

본 논문에서는 감사자의 개인 역량에 독립적이면서 감사중점선정시 일관성있는 감사결과를 확보하 기위한 보안감사모델을 제시하고자 많은 감사결과를 분석하였다.이를 통해 정보시스템의 안전조치 등 4가지분야 35개 항목으로 구성된 모델을 제시함으로써 제한된 인력 및 시간으로 효율적인 점검이 이루어질 수 있도록 하였다. 물론 35개 항목만 점검하면 모든 취약점을 확인할 수 있는 것은 아니지만, 본 논문에서 제시하는 해당 분야별 필수점검항목이 최근 10년 간의 감사결과를 통해 확인된 실증적 점검항목이라는것에 의미가 있고 현재까지도이러한 보안취약점들은 지속적으로 점검대상이 되고 있어 보안감사 수행시 세부 점검 계획 작성 등에 활용할 수 있다. 향후 연구 방향으로는 최근 들어 랜섬웨어 공격이나 APT공격 등 과거와 달리 지능적인 공격양상을 띤 해킹사례가 많아지고 있는 만큼이를 점검할 수 있는 모델에 대한 연구를 진행하고자 한다.

References

  1. GAO, Federal Information System Controls Audit Manuals(GAO-090232G), Feb. 2009
  2. INTOSAI WGITA-IDI, Handbook on IT Audit for Supreme Audit Institution, Appendix VII, pp. 107-115, 2014
  3. Wikipedia, ISO/IEC 27001, http://en.wikipedia.org/wiki/ISO/IEC_27001:2013 search
  4. Korea Internet & Security Agency, "Introduction of system" in "Certification of information protection and personal information protection management system" (isms-p.kisa.or.kr)
  5. Financial Supervisory Service, IT Audit Manual, pp. 474-497. 2019.
  6. Ministry of Science and ICT and Korea Internet & Security Agency, "Detailed Guide to Analysis and Evaluation Methods for Technical Vulnerabilities in Major Information and Communication Infrastructure", Dec. 2017.
  7. Board of Audit and Inspection, "Financial Supervision Act, including Financial Consumer Protection", pp. 68-76, Feb. 2012.
  8. Board of Audit and Inspection, "Actual status of social service e-voucher business selection (National Assembly audit)", pp. 37-42, Oct. 2011.
  9. Board of Audit and Inspection, "State of Crisis Management of National Core Infrastructure", pp. 102-105, Dec. 2012.
  10. Board of Audit and Inspection, "Public Institutions Information Protection and Cyber Safety Management Status", pp. 26-98, Mar. 2012.
  11. Board of Audit and Inspection, "Financial Consumer Protection and Supervision"(local action completed), 2013
  12. Board of Audit and Inspection, "Operation of diplomatic missions abroad and the implementation of major projects of the Ministry of Foreign Affairs", pp. 105-109, Nov. 2014.
  13. Board of Audit and Inspection, "Actual status of financial sector information protection and cyber safety management supervision", pp.10-12, Apr. 2014.
  14. Board of Audit and Inspection, "Financial Execution Management Status", pp. 46-50, Apr. 2014.
  15. Board of Audit and Inspection, "Institutional operation audit by the Ministry of Safety and Public Administration", pp. 31-39, Aug. 2014.
  16. Board of Audit and Inspection, "Actual Inspection and Supervision of Personal Information Leakage of Financial Companies", pp. 57-62, Jul. 2014.
  17. Board of Audit and Inspection, "The status of handling civil complaints in the first half of the year", pp. 25-28, Sep. 2014.
  18. Board of Audit and Inspection, "National Police Agency Operation Audit", pp. 55-58. Jun. 2015.
  19. Board of Audit and Inspection, "The Current State of Management of Public Institutions that Support Electricity", pp. 32-34, Jun. 2015.
  20. Board of Audit and Inspection, "Construction and Operation of the National Integrated Traffic Information System", pp. 14-19, Oct. 2016.
  21. Board of Audit and Inspection, "Local Office of Education Financial Management(5) (Ministry of Education, Seoul Office of Education)", pp. 61-65, Dec. 2015.
  22. Board of Audit and Inspection, "National Cyber Safety Management Status", pp. 140-146, Apr. 2016.
  23. Board of Audit and Inspection, "Main informatization business contract business promotion status", pp. 41-52, Aug. 2016.
  24. Board of Audit and Inspection. "Public Safety Threat Factor Response Management(Airport Safety and Firearms and Explosives)", pp. 46-47, Sep. 2016.
  25. Board of Audit and Inspection. "Checking the capability to respond to cyber breaches of major information and communication infrastructure"(Secret), Nov. 2016.
  26. Board of Audit and Inspection, "National Tax Information System Utilization and Security Status", pp. 31-32, Jan. 2017.
  27. Board of Audit and Inspection, "Construction and Utilization of National Geospatial Data", pp. 159, 2017.
  28. Board of Audit and Inspection, "Educational Information System Establishment and Operation Status"(local action completed), 2017.
  29. Board of Audit and Inspection, "Unauthorized reading and leakage of electronic medical records at Seoul National University Hospital", pp. 24-34, Mar. 2017.
  30. Board of Audit and Inspection, "Construction and Utilization of Information System for Land and Environment", pp. 58-69, Sep. 2017.
  31. Board of Audit and Inspection, "Status of National Public Official Personnel Management and Management", pp. 68-73, Nov. 2017.
  32. Board of Audit and Inspection, "Construction and utilization of public data", pp. 158-175, Jun. 2018.
  33. Board of Audit and Inspection, "Public Teacher Appointment Exam Management Status", pp. 31-34. Aug. 2018.
  34. Board of Audit and Inspection, "The Postal Business Management Status", pp. 53-65, Oct. 2018.
  35. Board of Audit and Inspection, "Inspection of allegations related to contract by the Korea Employment Information Service", pp. 15-21, Aug. 2018.
  36. Board of Audit and Inspection, "Management Status of Agricultural Product Price Stabilization Subsidy Support Project", pp. 25-28. Aug. 2019.
  37. Board of Audit and Inspection, "Regional Indigenous Corruption, etc. Startup Inspection III", pp. 32-42, Jun. 2019.
  38. Board of Audit and Inspection, "Korea Foundation, Overseas Koreans Foundation Institutional Operation Audit", pp. 49-52, Jul. 2019.
  39. Board of Audit and Inspection, "Operation of diplomatic missions abroad and the headquarters of the Ministry of Foreign Affairs", pp. 93-97, Jan. 2020.
  40. Board of Audit and Inspection, "The Status of Settlement Support for North Korean Refugees", pp. 43-46, Mar. 2020.
  41. Board of Audit and Inspection, "Pharmaceutical Safety Management Status", pp. 31-33, Jul. 2020.
  42. Board of Audit and Inspection, "Chungcheongnam-do Institutional Audit", pp. 121-125, Oct. 2020.
  43. Board of Audit and Inspection. "An Research on Efficient Audit Methodology for Information Security and Cyber Safety ", Dec. 2021.