95. 정보 보안 관리 (Information Security Management)

⚠️ 이 문서는 단순히 해커를 막는 방화벽을 설치하는 기술적 행위를 넘어, 기업의 핵심 자산(정보)을 식별하고 위험을 평가하여 사람, 프로세스, 기술 전반에 걸쳐 체계적인 통제(Control) 정책을 수립하고 운영하는 **관리적 차원의 정보 보안 체계(ISMS 등)**를 다룹니다.

핵심 인사이트 (3줄 요약)

  1. 본질: 정보 보안의 궁극적 목표인 **CIA 트라이애드(기밀성, 무결성, 가용성)**를 달성하기 위해 조직의 비즈니스 목표와 얼라인(Align)된 보안 정책을 세우고, 이를 P-D-C-A(계획-실행-점검-개선) 사이클로 끊임없이 고도화하는 경영 활동이다.
  2. 가치: 100억 원짜리 방화벽을 샀더라도 직원이 USB로 고객 DB를 빼돌리거나 포스트잇에 비밀번호를 적어두면 무용지물이 되는 현실에서, 임직원의 보안 인식 교육과 접근 통제 정책(프로세스)을 확립하여 빈틈없는 방어망을 완성한다.
  3. 기술 체계: 정보 자산 식별 $\rightarrow$ 취약점 및 위협 분석 $\rightarrow$ 위험 평가(Risk Assessment) $\rightarrow$ 위험 대응(수용, 회피, 전가, 감소)이라는 일련의 프로세스를 거쳐 최적의 보안 통제(Security Controls)를 구현한다.

Ⅰ. 정보 보안의 3대 목표 (CIA Triad)

모든 보안 통제 장치는 결국 이 세 가지 중 하나를 지키기 위해 존재한다.

  1. 기밀성 (Confidentiality):
    • 허가받지 않은 자가 정보를 읽거나 유출하지 못하게 막는 성질.
    • 대표 통제: 암호화(Encryption), 신분증과 지문을 통한 접근 통제(Access Control).
  2. 무결성 (Integrity):
    • 정보가 저장되거나 전송되는 도중에 해커나 시스템 오류에 의해 위조, 변조, 삭제되지 않고 원본 그대로 유지되는 성질.
    • 대표 통제: 파일의 위변조를 확인하는 해시(Hash)와 전자서명, DB 접근 기록을 남기는 감사 로그(Audit Trail).
  3. 가용성 (Availability):
    • 정당한 권한을 가진 사용자가 원할 때 언제든지 끊김 없이 서비스와 정보에 접근할 수 있게 보장하는 성질.
    • 대표 통제: DDoS 방어 장비, 이중화(HA) 아키텍처, 백업 및 재해 복구(DR).

📢 섹션 요약 비유: 기밀성이 '금고의 비밀번호를 아무도 모르게 하는 것'이라면, 무결성은 '금고 안의 수표 금액을 누가 고치지 못하게 도장을 찍어두는 것'이고, 가용성은 '주인이 원할 때 금고 문이 고장 나지 않고 항상 찰칵 열리게 기름칠을 해두는 것'입니다.

Ⅱ. 위험 관리 (Risk Management) 프로세스

보안에는 정답이 없다. 예산이 무한하지 않기 때문에 '위험의 크기'에 비례해 투자해야 한다.

  1. 자산 식별과 가치 산정:
    • 지켜야 할 것이 무엇인지(서버, DB, 소스코드, 고객 정보) 목록을 만들고, 유출 시 회사가 입을 피해액을 기준으로 자산의 등급(1등급~3등급)을 매긴다.
  2. 위협(Threat)과 취약점(Vulnerability) 평가:
    • 위협: 디도스 공격, 지진, 내부자 불만 등 사고를 일으키는 원인.
    • 취약점: 소프트웨어 버그, 비밀번호 1234 사용, 낡은 백신 등 방어벽의 구멍.
    • 위험도(Risk) = 자산 가치 $\times$ 위협의 발생 가능성 $\times$ 취약점의 정도.
  3. 위험 대응 전략 (Risk Treatment):
    • 위험 감소 (Mitigate): 방화벽을 사서 해킹 확률을 낮춤 (가장 일반적).
    • 위험 전가 (Transfer): 사이버 보안 보험에 가입해 사고 발생 시 보상금으로 메꿈.
    • 위험 회피 (Avoid): 해킹 확률이 너무 높은 구형 웹사이트 서비스 자체를 아예 폐쇄함.
    • 위험 수용 (Accept): 고치는 비용이 1억인데 해킹 피해액이 10만 원이라면, 쿨하게 방치함.

📢 섹션 요약 비유: 도둑(위협)이 들어올까 봐 걱정될 때, 금괴(가치 높은 자산)가 있는 방은 100만 원짜리 최신형 자물쇠(위험 감소)를 달고, 헌 옷(가치 낮은 자산)만 있는 방은 그냥 문을 열어두는(위험 수용) 합리적인 예산 집행 과정입니다.

Ⅲ. 관리적/물리적/기술적 통제 (Defense in Depth)

정보 보안 관리는 IT 부서만의 일이 아니다. 3개의 기둥이 균형을 이뤄야 한다.

  1. 기술적 통제 (Technical Control):
    • 침입 방지 시스템(IPS), DRM(문서 암호화), 망분리 등 IT 장비와 소프트웨어를 통한 직접적인 통제.
  2. 물리적 통제 (Physical Control):
    • 전산실(서버룸)의 지문 인식기, CCTV, 이중 출입문(Mantraps), 무정전 전원 장치(UPS) 등 해커가 직접 물리적으로 기계에 손을 대는 것을 막는 통제.
  3. 관리적 통제 (Administrative Control):
    • 임직원 보안 서약서 징구, 정기적인 악성 메일 모의 훈련, 보안 정책 지침서 작성, 정기적인 접근 권한 회수 등 사람이 지켜야 할 규칙과 문화. (보안의 가장 취약한 고리인 '사람'을 통제)

📢 섹션 요약 비유: 아무리 비싼 최첨단 홍채 인식 금고(기술적 통제)를 콘크리트 벙커(물리적 통제) 안에 두었더라도, 직원이 술에 취해 금고 문을 열어둔 채 퇴근해 버리면(관리적 통제 실패) 다 털리게 마련이므로, 세 가지 방어선이 빈틈없이 맞물려야 완벽한 보안이 됩니다.