ISMS-P 결함사례 고찰 #1.2 위험 관리

1.2.1 정보자산 식별

인증기준: 조직의 업무특성에 따라 정보자산 분류기준을 수립하여 관리체계 범위 내 모든 정보자산을 식별·분류하고, 중요도를 산정한 후 그 목록을 최신으로 관리하여야 한다.

 

결함사례 #1

ISMS-P 관리체계 범위 내의 자산 목록에서 중요정보 취급자 및 개인정보 취급자 PC를 통제하는 데 사용되는 출력물 보안, 문서암호화, USB매체제어 등의 내부정보 유출통제 시스템이 누락된 경우가 있다. 자산을 식별한다는 것은 언제나 힘든 일이다. 자산이라는 게 세부적으로 들어가면 종류가 워낙 많기에 놓칠 수도 있을 것이다. 따라서 자산을 구분해서 문서화하는 것이 중요하다고 생각한다. 그러면 실수 없이 놓치지 않고 관리할 수 있을 것이다.

 

결함사레 #2

ISMS-P 관리체계 범위 내에서 제3자로부터 제공받은 개인정보가 있으나, 해당 개인정보에 대한 자산 식별이 이루어지지 않은 경우가 있다. 이 역시 #1의 연장선이라 할 수 있다. 정보자산은 사소한 것도 모두 하나하나 빠짐없이 잡도록 주의를 기울여야 할 것이다.

 

결함사레 #3

내부 지침에 명시된 정보자산 및 개인정보 보안등급 분류 기준과 자산관리 대장의 분류 기준이 일치하지 않은 경우가 있다. 보안등급은 결코 늘 똑같이 유지되지 않는다. 사람의 일이 매번 가변적인데, 정보 자산의 중요도도 당연히 가변적일 수밖에 없으니 말이다. 단순히 자산 목록을 최신으로 관리하는 데 그쳐서는 안 된다. 기존에 판단한 등급이 현재에도 타당한지에 대한 검사가 필요할 것이다.

 

결함사레 #4

온프레미스 자산에 대해서는 식별이 이루어졌으나, 외부에 위탁한 IT 서비스(웹호스팅, 서버호스팅, 클라우드 등)에 대한 자산 식별이 누락된 경우가 있다. 유독 외부로 나가거나, 내부로 새롭게 들어왔거나 하는 자산에 대한 관리가 누락되는 경우가 많은 것으로 보인다. 이는 이런 인&아웃은 워낙 비정기적으로 일어나기 때문에 놓치기 쉬운 경우이지 않을까 추측하고 있다. 우리가 데이터를 볼 때 그것의 흐름을 중요시 여기듯, 자산의 흐름도 항상 잡고 있어야 한다. 인&아웃이 있을 때 그것을 항상 수칙화해서 식별에 누락되지 않도록 해야 할 것이다.

 

결함사례 #5

고유식별정보 등 개인정보를 저장하고 있는 백업서버의 기밀성 등급을 (하)로 산정하는 등 정보자산 중요도 평가의 합리성 및 신뢰성이 미흡한 경우가 있다. 이것은 #3과도 연계될 수 있는 문제일 것이다. 등급을 제대로 판단하는 것이 중요하다. 그리고 정보자산의 중요도는 언제든 바뀔 수 있으므로 기존에 매긴 등급을 너무 맹신해서도 안 될 것이다. 기존에 판단했을 때의 자산에서 무엇이 변했는지, 판단 기준이 달라지지는 않았는지 생각해볼 필요가 있다.

 

1.2.2 현황 및 흐름분석

인증기준: 관리체계 전 영역에 대한 정보서비스 및 개인정보 처리 현황을 분석하고 업무 절차와 흐름을 파악하여 문서화하며, 이를 주기적으로 검토하여 최신성을 유지하여야 한다.

 

결함사례 #1

관리체계 범위 내 주요 서비스의 업무 절차·흐름 및 현황에 문서화가 이루어지지 않은 경우가 있다. 사실 이 흐름도 같은 것은 특히나 문서화하기 다소 어려울 수도, 귀찮을 수도 있다. 현황이나 흐름을 문서화한다는 것은 전체적인 그림을 파악하고 있어야 한다는 의미이고, 그것은 결코 쉬운 일이 아니다. 그런데 이 업무 흐름을 문서화하는 업무를 맡고 있는 사람은 그 능력이 필요하기에 그 자리에 있는 것이라 생각한다. 기업 내 개인정보가 어떤 흐름을 보이는지, 정보서비스가 어떤 흐름을 보이는지, 이것을 명확히 문서화하는 것은 업무에도 도움이 될 것이다.

 

결함사레 #2

개인정보 흐름도를 작성하였으나, 실제 개인정보의 흐름과 상이한 부분이 다수 존재하거나 중요한 개인정보 흐름이 누락되어 있는 경우가 있다. 이는 둘 중 하나일 것이다. 과거 자료를 복붙하였거나, 흐름도를 작성하는 능력의 부족인 경우다. 작성하는 능력이 부족한 경우면, 업무 자체에서 이해도가 적을 수밖에 없다. 특히나 이걸 정리해야 하는 위치에 있는 사람이라면 말이다. 관리자라는 직급은 말 그대로 관리를 할 줄 알아야 한다고 생각한다. 매번 문서화를 할 때만 바뀐 흐름에 대해 알게되는 것이 아니라, 평상시에도 흐름을 파악할 줄 알아야 할 것이다.

 

결함사레 #3

최초 개인정보 흐름도 작성 이후에 현행화가 이루어지지 않아 변화된 개인정보 흐름이 흐름도에 반영되지 않고 있는 경우가 있다. 이는 #2와 동일한 경우다.

 

1.2.3 위험평가

인증기준: 조직의 대내외 환경분석을 통하여 유형별 위협정보를 수집하고 조직에 적합한 위험 평가 방법을 선정하여 관리체계 전 영역에 대하여 연 1회 이상 위험을 평가하며, 수용할 수 있는 위험은 경영진의 승인을 받아 관리하여야 한다.

 

결함사례 #1

수립된 위험관리계획서에 위험평가 기간 및 위험관리 대상과 방법이 정의되어 있으나, 위험관리 수행 인력과 소요 예산 등 구체적인 실행계획이 누락되어 있는 경우가 있다. 구체적인 실행계획이 누락되어 있다는 것은, 구체적으로 실행할 생각이 없다는 의미로 해석해도 될 것이다. 기업에서 예산을 편성하지 않는다는 것은 그런 의미일 수밖에 없으니 말이다. 내가 고객이라면 이런 결함을 받은 기업에 대해서는 향후 ISMS-P 인증 마크를 얻어도 신뢰하지 못할 것 같다. 이는 임원의 의지와 직결된 부분일 것이기 때문이다.

 

결함사레 #2

전년도에는 위험평가를 수행하였으나, 금년도에는 자산 변경이 없었다는 사유로 위험 평가를 수행하지 않은 경우가 있다. 정말 세부적으로 파고든다면, 위험평가는 그 결과가 매일 매순간 바뀌는 것이 당연하다. 특히나 자산 변경이 없었다는 이유로 위험 평가를 수행하지 않았다는 것은 도무지 이해가 안 간다. 차라리, 자산을 전부 최신식으로 업데이트하고, 비싼 방어 시스템을 구축했기에 위험평가를 안 했다고 하면 이해가 될지도 모르겠다. 공격자는 매년 더욱 날카로운 공격을 하는데, 방어는 그대로라면 더 취약해지는 것은 당연한 수순인데 말이다. 내가 말한 논리를 해당 관리자가 모를 리가 없다. 그럼에도 이런 결함사례가 발생했다는 것은 안일함이라는 말 외에는 설명할 도리가 없다.

 

결함사레 #3

위험관리 계획에 따라 위험 식별 및 평가를 수행하고 있으나, 범위 내 중요 정보자산에 대한 위험 식별 및 평가를 수행하지 않았거나, 정보보호 관련 법적 요구 사항 준수 여부에 따른 위험을 식별 및 평가하지 않은 경우가 있다. 이건 생각보다 흔한 경우일 수 있다. 요구사항이 적지는 않기 때문에 정확히 어떤 요구사항이 있는지를 확인하는 것이 중요하다.

 

결함사레 #4: 위험관리 계획에 따라 위험 식별 및 평가를 수행하고 수용 가능한 목표 위험수준을 설정하였으나, 관련 사항을 경영진에 보고하여 승인받지 않은 경우가 있다. 언제나 모든 일에는 경영진의 참여가 있어야만 한다. 최고책임자 같은 경우는 참여의지가 없는 것이 아닐 텐데 이런 일이 일어나는 것은 조금 이해하기 어렵다.

 

결함사레 #5

내부 지침에 정의한 위험 평가 방법과 실제 수행한 위험 평가 방법이 상이할 경우가 있다. 이것은 여러 경우의 수가 있겠다만, 내부 지침을 제대로 작성하였으나 실제 수행이 따라가지 못하는 경우가 상당수이지 않을까 추측한다. 비단 보안 뿐만이 아니라, 무엇이든 여러 사람이 모인 조직에서 정해진 계획과 지침을 그대로 수행한다는 것이 생각보다 쉽지는 않기 때문이다. 그런데 어쩌겠는가. 그래도 해야만 하는 것이 보안이다. 다른 부서는 유도리를 따지는 것이 좋을 수도 있겠으나, 보안에서는 늘 지침을 따르고 준수하는 것이 정말 중요하다. 프레임워크를 늘 수행하는 습관 자체가 방어를 제대로 하기 위한 능력을 키우는 일이기도 하기 때문이다.

 

결함사레 #6

정보보호 관리체계와 관련된 관리적·물리적 영역의 위험 식별 및 평가를 수행하지 않고, 단순히 기술적 취약점진단 결과를 위험 평가 결과로 갈음하고 있는 경우가 있다. 흔히 기술적 취약을 중시하는 경우가 있는데, 개인적으로 생각할 때 정말 큰 기업을 제외한다면 물리적 영역의 위험 식별이 중요하다고 여긴다. 그도 그럴 게, 국내의 뉴스에서 쉽게 접할 수 있는 보안 관련 사고의 대부분은 물리적 영역을 경시하여 발생한 문제였기 때문이다. 뭐 무엇하나 중요하지 않은 게 없기야 하다만, 관리적, 물리적 영역을 경시하는 것은 정말 말이 안된다고 본다.

 

결함사레 #7

수용 가능한 목표 위험수준(DoA)을 타당한 사유 없이 과도하게 높이는 것으로 결정함에 따라, 실질적으로 대응이 필요한 주요 위험들이 조치가 불필요한 위험(수용 가능한 위험)으로 지정된 경우가 있다. 보안 등급을 제대로 매기는 것과 마찬가지로, DoA를 제대로 매기는 것도 중요하다. 조직에서 예산은 언제나 한정되어 있고, 인원도 한정되어 있고, 당연히 위험에 조치를 할 수 있는 여력도 한정적일 수밖에 없다. 모든 것은 조직의 특성에 비추어 상대적인 평가가 들어가야 한다. 그리고 그 결과는 반드시 실현가능성을 품고 있어야만 할 것이다.

 

1.2.4 보호대책 선정

인증기준: 위험 평가 결과에 따라 식별된 위험을 처리하기 위하여 조직에 적합한 보호대책을 선정하고, 보호대책의 우선순위와 일정·담당자·예산 등을 포함한 이행계획을 수립하여 경영진의 승인을 받아야 한다.

 

결함사례 #1

ISMS-P 대책에 대한 이행계획은 수립하였으나, 정보보호 최고책임자 및 개인정보 보호책임자에게 보고가 이루어지지 않은 경우가 있다. 항상 염두해야 한다. 경영진 또는 최고책임자의 참여는 필수라는 점을 말이다. 단순 서류로만, 형식적으로만이 아닌, 실질적인 것으로 말이다.

 

결함사레 #2

위험감소가 요구되는 일부 위험의 조치 이행계획이 누락되어 있는 경우가 있다. 위험을 평가하였다면, 각 위험을 어떻게 대처할 것인지 계획을 분명히 해야 한다. 이중 일부를 누락하면 제대로 위험평가를 했다고 볼 수 없을 것이다.

 

결함사레 #3

법에 따라 의무적으로 이행하여야 할 사항, 보안 취약성이 높은 위험 등을 별도의 보호조치 계획 없이 위험수용으로 결정하여 조치하지 않은 경우가 있다. 법에서 의무적으로 명시했다는 것은, 그럴 만한 이유가 있기 때문이라고 생각한다. 법에서 명시할 정도면 단순히 위험수용한다고 해서 끝나는 문제가 아니기 때문이다. 그런 식이면, 다 위험수용하고 말면 그만이지 않겠냐 이말이다. 법의 내용을 아는 것도 물론 중요하겠다만, 법에서 조차 명시되어 있는 것이라면, 당연히 받아들이는 업무 태도가 더욱 중요하다고 생각한다.

 

결함사레 #4

위험수용에 대한 근거와 타당성이 미흡하고, 시급성 및 구현 용이성 등의 측면에서 즉시 또는 단기 조치가 가능한 위험요인에 대해서도 특별한 사유 없이 장기 조치계획으로 분류한 경우가 있다. 단기, 장기를 명확하게 구분하는 것도 물론 중요하다. 예산 문제도 있겠다만, 그것은 부차적이다. 가장 핵심은 '시급성'일 것이다. 위험 수준에 대해서 명확한 평가를 하여 그것에 대한 처리 계획을 명확하게 세워야 할 것이다.