교안12-보안컨설팅 및 유의사항 PDF
Document Details
Uploaded by WellBalancedConnemara
Chung-Ang University
이 재균
Tags
Related
- GetFips.com: FIPS 140-3 Compliance Solutions PDF
- GetFips.com - FIPS 140-3 Compliance Services PDF
- Certified Cybersecurity Technician Exam 212-82 PDF
- Information Systems Security PDF
- Lumière Supporting a Virtual Workspace on the Cloud Case Study PDF
- Revision Notes: Cybersecurity Midterm Questions PDF
Summary
This document, titled "교안12 보안컨설팅 및 유의사항", provides a detailed overview of security consulting. It delves into various aspects such as security characteristics, the inevitability of security breaches, and the necessity of proactive security measures. Different approaches to security failures and their cost-benefit analysis are discussed. Furthermore, the document stresses the importance of the role of management in establishing a robust security culture within an organization and highlights the limitations of relying solely on technical measures.
Full Transcript
기술경영과 보호 교안12 보안컨설팅 및 유의사항 담당교수 : 이 재 균 [email protected] M.P: 010 2939 2852 1. 보안관리의 특성 ① 보안은 100% 완벽할 수 없다 - 보안체계 및 보안활동이 미흡하지 않더라도, 침해자를 이길 수는 없다 - 보안대책을 강구해도 보안상황이 바뀌면 또 다른 문제가 생길 수 있다 ② 보안사...
기술경영과 보호 교안12 보안컨설팅 및 유의사항 담당교수 : 이 재 균 [email protected] M.P: 010 2939 2852 1. 보안관리의 특성 ① 보안은 100% 완벽할 수 없다 - 보안체계 및 보안활동이 미흡하지 않더라도, 침해자를 이길 수는 없다 - 보안대책을 강구해도 보안상황이 바뀌면 또 다른 문제가 생길 수 있다 ② 보안사고 발생은 이미 예고되어 있다 - 보안사고가 발생하느냐 아니냐가 아니라, 언제 발생하느냐가 문제다 - 예견된 보안사고는 미리 대비한다면 침해 위험도를 낮출 수는 있다 ③ 보안의 비용대비 효과는 보안실패 비율을 낮추는데 달렸다 - 보안대책은 보안취약점과 그에 대한 비용을 비교하여 위험을 감수한다 【위험관리 관점에서의 보안】 o 위험수용: 해당 위험의 잠재 손실비용을 감수하고 추가 보안대책을 수립하지 않는다 o 위험감소: 해당 위험을 감소시킬 수 있는 대책을 채택하여 실행한다 o 위험회피: 위험이 존재하는 프로세스나 사업은 수행하지 않고 포기한다 o 위험전가: 보험이나 외주 등으로 잠재적 비용을 제3자에게 이전하거나 위임한다 ④ 보안의 성과는 일반적 경영활동에 비해 성과측정이 어렵다 - 보안은 기업의 목적달성(이윤창출)에 직접적인 기여는 하지 않는다 - 다만, 목적달성 구조를 안전하게 보호하고 유지하며 경영활동에 기여한다 ⑤ 기업의 보안문화는 보안담당자의 노력만으로는 달성하기 어렵다 - 임직원보다 경영진이 적극 참여할수록 보안문화를 정착하는데 효과가 크다 ⇒ 경영자가 보안업무에 관심을 가질 수 있도록 보안용어 개선 및 소통 필요 - 보이지 않는 보안보다 보이는 보안의 효과가 더 좋다 산업스파이 예방을 위한 황금률 <출처: 독일 헌법보호청> 2. 보안자문의 필요성 ⓛ 보안 트렌드 변화에 따른 보안정책 변화 필요 - 사이버공격 및 임직원의 금전적 욕구(높은 연봉, 승진 등)에 의한 기술침해 사례증가, 대량의 정보를 무작위로 유출 가능 ⇒ 보호자산 분류 및 관리방법 등 기관중심의 보안체계를 실무자 중심 보안 관리체계 전환 등 보안책임과 의무를 부여하여 보안관리 변화도모 ② 기술혁신으로 인한 새로운 기술의 등장과 융복합화에 따른 보안정책 변화 - AI, IoT, 클라우드, 블록체인 등 새로운 기술로 인해 보안정책의 변화필요 ⇒ 기술 융복합상황에서 보안수행의 기준과 융합보안에 대한 역할정립 필요 ③ 보안업무 수행 방식과 사용자 행동에 필요한 세부지침 및 매뉴얼 제공 - 보안환경의 변화로 보안관리 내용과 방식에 대한 새로운 관리지침 제정 ⇒ 실제 업무수행 과정에서의 보안관리에 필요한 세부 매뉴얼 제공 4. 보안 피로감 및 보안정책의 무력화 방지 - 기존 보안을 유지하면서 새로운 규제 추가가 반복되면 보안 피로감 발생 - 보안규제가 지나치게 많아 지키기 힘들면 보안을 지키지 않고 회피시도 ⇒ 보안정책 집행이 느슨해 지고 무력화되지 않도록 주기적 보안자문 실시 5. 시대에 맞지 않는 보안정책의 개선과 보안규칙 간소화 - 현재 수행중인 보안정책과 보안요소들이 실제 작용하고 있는지 여부 점검 - 각 보안요소를 대상으로 준수여부, 성과여부를 진단하여 현실적으로 개선 ⇒ 규칙이 적을수록 수용도가 높아지므로 하나를 더하면 하나를 빼도록 자문 6. 보안정책 주기적 검토 및 개선 사항 교육∙홍보 실시 - 보안정책은 통상 1년, 보안수행 기준과 절차는 분기/반기 단위로 검토 - 새로운 시스템 도입 등 보안환경 변화 시 정책검토 및 교육∙홍보 시행 3. 자문(Consulting)의 개념 o 조직의 목적을 달성하는데 있어서 경영/업무상의 문제점을 해결하고, 새로운 기회를 발견/포착하고, 학습을 촉진하며, 변화를 실현하는 관리자와 조직을 지원하는 독립적인 자문서비스(국제노동기구, ILO) o 기업경영상 여러 가지 문제를 규명하고 해결할 수 있도록 실질적인 해결 방안을 제시하고 그러한 해결방안들이 적기에 실시될 수 있도록 도와주는 행위(중소기업 컨설팅산업백서) 보안자문(Security Consulting)은 보안관리상 문제와 해결방안을 강구하여 적시에 실행할 수 있도록 보안담당자의 업무를 도와주는 활동 4. 보안자문(Security Consulting)의 목적 o 조직의 보안목적 달성을 지원하는 자문활동 → 보안관리 시스템과 보안자산에 대한 보안위험과 취약점을 분석하고, 이에 대한 대책을 수립하여 보안관리자와 조직의 목적달성 실현 지원 o 기업경영 및 보안관리상 문제해결 → 경영자 등이 보안과 관련한 문제를 올바로 인식하고 해결할 수 있도록 지원 *‘문제’는 반드시 이루어져야 할 바람직한 상태와 현재 상태와의 차이를 말함 o 변화의 실행 및 학습 지원 → 기업 생존을 위한 보안환경과 트렌드 변화를 이해시키고 수행을 지원하며, 보안조직이 새로운 경쟁력을 갖출 수 있도록 보안에 대한 학습을 지원 5. 연구보안 자문의 기대효과 1. 연구기관의 보안수준제고 - 진단을 통해 보호대상 자산에 발생할 수 있는 위험요인 파악 및 대책 수립 - 대상기관의 보안현황 파악→ 문제점 개선 목표 정의→ 보안수준 제고 2. 보안관리체계 인증획득 등 보안신뢰도 제고 - 국내(KISA ISMS) 및 국제(ISO/IEC 27001) 보안 관리체계 기준 준수 평가 3. 보안문제의 객관화를 통한 해결 추진 - 보안상 문제점과 해결책을 알고 있어도 이를 반영하기가 어려운 경우 상존 - 보안자문을 통해 문제점과 해결책 제시 등 제3자를 통해 객관화 하여 해결 4. 연구원 교육 등 법적 준거성 확보 - 컨설팅 결과를 연구원에게 교육 실시 → 보안업무 이해 및 적용 용이 - 대상기관 입장에서는 보안관련 법/제도적 이해가 쉽고, 효과적 활용가능 6. 보안 컨설턴트(Consultant)의 역할 o 보안 컨설턴트(consultant)는 보안수요자의 의뢰를 받아 특정 문제 또는 분야 업무수행에 관한 전문가적 조언을 제공하거나 업무를 수행하는 전문가 o 컨설턴트는 보안업무 개선의 실질적 권한 없음, 도움지원 차원의 역할 수행 → 보안을 변화시키거나 개선에 대한 조언만 가능, 직접적 실행통제는 불가 o 따라서 컨설턴트는 → 전문적인 보안지식과 경험을 바탕으로 보안에 대한 합리적인 해결책을 제시하고 교육 등을 통해 보조적으로 도움을 주는 것임 → 보안문제 개선은 조직의 경영자나 보안담당자들이 주축이 되어야 함 7. 보안 컨설턴트의 자세 1. 보안컨설팅에 대한 자신감을 갖어야 함 → 보안에 대한 설명과 설득 과정임. 보안지식 및 대인관계 자신감 필요 2. 보안컨설팅은 보안업무에 대한 조언자임을 명심해야 함 → 보안업무 개선의 조력자임을 인식, 자신의 지식과 경력을 과신하거나 지시 또는 가르치려는 태도는 바람직하지 않음 3. 해당기관 보안담당자의 의견을 존중해야 함 → 기관의 보안취약점을 가장 잘 아는 것은 내부 직원임 → 담당자의 의견이나 설명을 충분히 듣고, 그 의견을 최대한 반영하여야 함 4. 개선사항의 실천이 필요하다는 것을 설득해야 함 → 기업이 필요를 느끼고 스스로 개선하도록 설득하는 것이 가장 좋음 → 긍정적인 태도로 설명에 임하고, 회사에 도움이 되도록 해야 함 5. 제3자적 입장에서 객관성을 유지해야 함 → 자기중심적 기업중심적 시각에서 바라보면 정확한 진단이 곤란함 → 제3자적 입장에서 객관적으로 바라보고 분석하는 태도를 가져야 함 6. 보안환경과 관련된 보안 트렌드를 인식하고 있어야 함 → 국내외 경제 및 산업동향, 보안트렌드 등 변화를 분석/인식하여야 함 7. 보안컨설팅 결과에 대한 신뢰를 주어야 함 → 보안대책에 대한 최종결정과 실행은 결국 대상기관이 해야 할 몫임 → 컨설턴트 개인적 의견이나 주장을 내세우지 말고 신뢰성 있는 의견제시 8. 보안경험과 지식을 종합적으로 활용해야 함 → 보안사고사례와 국제적 추세 등 다양한 화재로 담당자와 대화 유지 8. 컨설턴트(Consultant)의 유의사항 o 보안컨설팅의 성공여부는 대상기관의 수용 태도와 자세에 달려 있음 → 컨설팅은 내부 보안주체와 합동으로 수행하여야 성공확률이 높음 ⇒ 사전에 내부의 보안조직 및 인력과 사전에 교감하면서 준비해야 함. o 정보보안 컨설팅 수행 시 유의사항 - 정해진 진단 대상 이외의 내용에 대한 진단 금지 * 어떤 문제가 발생할지 모르기 때문에 보안취약점이 있다고 판단되어도 진단 수행하면 안됨 다만, 해당 기관에서 요청할 경우에는 범위내 진단 가능 - 정해진 진단 시간 외 진단수행 금지 * 문제가 발생할 경우 담당자의 부재로 적절한 대응을 못할 수 있음 - 취약점 컨설팅 결과는 허가없이 공개 금지 - 기타 대상기관으로 부터 요청 받은 금지사항 준수 9. 보안자문의 단계적 추진사항 1단계 착수 2단계 자문의 목적 진단 3단계 취약성분석 및 결과 4단계 결과종합 및 종료 결과설명단계 설명단계 위험평가단계 이행계획수립 보안실행설득 요구사항분석 정보자산식별 환경분석 및 범위/방법확정 및 가치평가 자산분석결과 경영과 보안의 업무현황분석 분야별 위험 보안문제도출 취약점 진단 분야별결과 및 해결과제선정 기업자가진단 임직원 보안 인식 실태조사 단계별 보안 계획 수립 보안현황파악 보완관계 설명 보안경영 통제항목 제시 임직원교육 및 사후관리
