2009년 9월 8일

[특집] 
보안솔루션 구축시 공공기관의 체크포인트 

안정적인 보안체계 구축으로 국민 개인정보와 주요 국가정보 보호해야






보안 솔루션은 구축하는 것도 중요하지만 관리하고 운영하는 것이 더 중요하다. 보안 수준을 너무 강하게 운영하면 현업에서 업무를 수행하는 데에 불편이 따르고 현업의 업무편이성에 중점을 두면 보안에 허점이 생긴다. 때문에 적정한 보안 수준을 찾아가는 것과 함께 내부적으로도 정보보안의 중요성을 인식시키는 노력을 같이 해야 안정적인 보안체계를 만들 수 있다. 특히 공공기관은 국민의 개인정보와 주요 국가정보를 관리하기 때문에 안정적인 보안체계는 필수다. 이를 위한 공공기관 보안담당자들이 알아야할 것은 무엇인지 알아보자.


공공기관은 국가에 소속된 기관으로 국민의 개인정보 및 주요정보를 관리한다. 무한경쟁의 시대에 다양한 시스템을 사용하면서 빠르고 효율적인 업무처리가 가능해 지고 있다.


하지만 반대급부로 다양한 보안 이슈가 수반되면서 보안 솔루션의 필요성도 같이 증가하고 있다. 보안 솔루션 구축은 솔루션 선택, 구축 방식, 서버 사이징 등과 같이 확정되고 나면 변경이 쉽지 않은 부분과 보안정책과 같이 필요에 의해 변경 가능한 설정 관련 부분으로 구분할 수 있다. 이를 감안하여 보안 솔루션 구축 시 공공기관의 보안 담당자들은 다음과 같은 사항만은 꼭 체크해야 한다.


기본 자격


공공기관에서 보안 솔루션 도입 시 필수 자격으로 CC인증 획득 또는 그에 준하는 자격을 가지고 있는지를 확인해야 한다. 그리고 필요에 따라서는 검증필 암호화 모듈을 탑재한 솔루션인지 여부를 확인해야 한다.


구축 방식


보안 솔루션이 지원하는 여러 구축 방식 중 해당기관에 적합한 하나의 구축 방식 또는 두 가지 이상을 혼용하여 적용해야 한다. 사전에 관련 전문가의 컨설팅을 통해서 최적의 구축방식을 정하여 솔루션 검토 시에 이를 감안해야 한다.


서비스의 가용성 확보


보안 솔루션의 종류나 구성에 따라서 장애가 발생 시 서비스에 문제가 생길 수도 있다. 이런 경우 서비스의 중요도에 따라서는 Bypass Switch(FOD; Failover Device)를 이용하여 장애를 우회하거나 보안 솔루션에 따라 이중화가 지원되는 경우 이중화 구성에 대한 비용 대비 효과에 대한 검토가 필요하다.


구축 범위


전체 시스템에 영향을 최소화하는 것도 중요하므로 구축 기간이나 안정화 기간이 너무 많이 소요되지 않도록 구축 범위를 조정하거나 단계별로 적용하는 것도 하나의 방법이다. 안정화 기간을 줄이려면 보안 정책에 대한 사전 검토 및 검증을 충분히 하는 것이 중요하나, 정책설정이 간단하고 인지하기 쉬운 솔루션을 선택하는 것도 영향이 있다.


서버 사이징


현재의 구축 범위와 향후 보안 대상의 확장을 감안하여 관련 리소스에 대한 사이징 검토가 필요하다. 구축 과정 또는 구축 완료 후 얼마 되지 않아 보안 솔루션의 리소스가 부족하여 보안대상의 범위를 축소하거나 계획하지 않았던 증설이 발생하지 않도록 해야 한다.


솔루션 선택


다른 기관의 구축사례를 참고로 하는 경우가 많다. 하지만 해당기관의 업무적 특징 및 제약사항 등의 상이한 점을 고려해야 한다. 현재 보유하고 있는 기존 시스템의 변경 또는 충돌을 최소화 하여야 하며 사용자의 업무환경에도 영향이 적어야 한다. 다양한 솔루션에 대하여 특장점을 파악하여 도입 목적과 실효성에 적합한 솔루션 중에서 검토를 통하여 선택해야 한다.


사용자 관리


정보 보안에 있어서 최고의 위협은 사람이며 좀 더 정확히 말하자면 ‘내부자’이다.


감시 대상 사용자에 대하여 권한의 정도와 취급하는 데이터의 중요도에 따라 사용자를 구분하여 관리해야 한다. 또한 감시 대상의 입사, 퇴사, 부서 이동 등을 인지하고 사용자의 업무담당 현황에 맞도록 보안정책을 재적용 해야 한다.


분기 또는 반기 마다 사용자의 접근현황을 파악하여 권한을 신청하고 사용하지 않는 사용자 권한에 대한 확인도 필요하다.


중요 데이터 관리


데이터의 중요도에 따라 보안 정책을 차등 적용해야 한다. 중요 정보가 있는 서버, 데이터 영역에 대해서는 일반 정책보다 높은 수준의 보안정책을 적용해야 한다. 


보안 정책 수립


보안 솔루션 구축 시 가장 많은 시간이 소요되며 안정화 시점까지 노력이 필요한 부분은 바로 솔루션에 적용할 보안 정책을 수립하는 것이다. 대부분 단계별로 적용을 하는 것을 기본으로 한다.


보안 정책은 보안 담당자와 현업 부서와의 협의과정이 필요하며 보안담당 부서에서 적극적으로 진행해야 한다. 상황에 따라서는 현업 부서장 결재 하에 권한이 필요한 부분을 신청 받아 보안 담당 부서에서 이를 검토하여 보안정책을 수립하기도 한다.


로그관리


보안 솔루션은 보안기능을 수행하고 이에 따라 로그를 생성하여 보안사고 발생시 이를 추적하는 것을 목적으로 한다. 그러므로 보안 솔루션에서 로그데이터는 중요한 역할을 한다.


로그데이터에서 원하는 자료에 대한 추출이 용이하고 다양한 통계 및 리포트 기능을 지원해야 한다. 로그에 대하여 백업 및 데이터 관리에 대한 업무 체계가 수행되어야 한다.


타 시스템 연동


보안 솔루션을 보다 효과적으로 사용하기 위해서는 보유하고 있는 기존 시스템과의 연동 가능 여부를 검토하여야 한다.


주로 검토 되는 것이 통합 보안을 위하여 감사로그를 타시스템과 연동하는 것이 있으며 그 외에 보안 정책의 수립 및 관리의 편의성을 위해서 인사시스템과 연동을 하는 경우를 예로 들 수가 있다.


업무 분장


업무담당자와 보안담당자의 역활은 구분되어져야 한다. 예를 들면 DB관리자가 DB보안업무를 겸하는 경우가 있다. 현업에서 인력이 충분하지 않아 발생하는 경우가 대부분이다.


하지만 DB에 대해서 최고의 권한을 가진 감시 대상이 보안 정책까지 관리하는 것은 자칫 악의적인 의도를 갖게 될 경우 보안 솔루션이 유명무실하게 된다.


기타 기술적 보안 대책 적용


보안 솔루션도 자체만으로 모든 것이 해결되지는 않으므로 내부망에 NTP서버가 있는 경우 시각 동기화를 권장하는 것과 같은 기술적 보안대책의 적용도 필요하다.


외부에서 ICMP Timestamp를 이용하여 내부 시스템에서 사용하는 시간 정보를 알 수 있으며 Traceroute를 이용하면 내부 전산망 구성 파악이 가능하므로 침입차단시스템 등에 의한 내부망으로의 ICMP차단 및 Trace route의 차단을 권장하는 것도 좋은 예가 된다.


구축 후 관리


무엇보다도 보안 정책에 대한 꾸준한 관리가 가장 중요하다. 그 외에도 일정기간 별로 서버, 네트워크 장비, 보안 장비 등에 대해서 취약점을 확인하여 보안 패치가 필요하다. 가능하다면 보안컨설팅을 통한 주기적인 점검 및 점검결과에 대한 보완을 권고한다.


보안 솔루션은 구축하는 것도 중요하지만 관리하고 운영하는 부분이 더욱 중요하다고 생각한다.


보안 수준을 너무 강하게 운영하면 현업에서 업무를 수행하는 데에 불편이 따르고 현업의 업무편이성에 중점을 두다보면 보안에 허점이 생기기 마련이다.


적정한 보안 수준을 찾아가는 것과 함께 내부적으로도 정보보안의 중요성을 인식시키는 노력을 같이 한다면 안정적인 보안 체계의 기반을 다질 수 있을 것이다.


<글 : 류승열 피앤피시큐어 정보보안기술연구소 차장(albert@pnpsecure.com)>




[월간 정보보호21c 통권 제109호(info@boannews.com)]


<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>