정보 보안
1. 개요
정보 보안은 정보의 기밀성, 무결성, 가용성을 유지하는 것을 목표로 하는 일련의 조치이다. 이는 인가되지 않은 접근, 사용, 공개, 중단, 수정 또는 파괴로부터 정보와 정보 시스템을 보호하는 것을 의미하며, 기밀성(Confidentiality), 무결성(Integrity), 가용성(Availability)의 세 가지 요소, 즉 CIA를 핵심으로 한다. 정보 보안은 고대 암호화 기술 사용에서 시작되어 컴퓨터와 인터넷의 발달과 함께 중요성이 커졌으며, 위협으로는 소프트웨어 공격, 지적 재산권 절도, 신원 도용 등이 있다. 정보 보안은 물리적 및 비물리적 방법, 보안 등급 분류, 위험 관리, 접근 제어, 심층 방어, 법률 및 규정, 업무 연속성, 정보 보안 문화, 관련 표준 등을 포함한다. 정보 보안과 관련된 자격증으로는 정보처리기사, 정보보안기사, CISSP, CISA 등이 있다.
| 설명 | 정보 자산을 보호하여 위험을 완화하는 것. |
|---|
| 기밀성 | 인가된 사람만 정보에 접근할 수 있도록 보장하는 것. |
|---|---|
| 무결성 | 정보가 정확하고 완전하게 유지되도록 보장하는 것. |
| 가용성 | 인가된 사용자가 필요할 때 정보에 접근할 수 있도록 보장하는 것. |
| 위험 관리 프레임워크 | 정보 보안 위험을 식별, 평가, 완화하기 위한 체계적인 접근 방식. |
|---|---|
| 위험 완화 | 정보 보안 위험을 줄이거나 제거하기 위한 조치. |
| 정책 목적 | 조직의 정보 자산을 보호하기 위한 규칙과 지침을 설정하는 것. |
|---|---|
| 정책 구성 | 조직의 정보 자산을 보호하기 위한 규칙과 지침을 정의하는 것. |
| 사이버 공격 | 악성 소프트웨어, 피싱, 서비스 거부 공격 등을 포함한 다양한 형태의 공격. |
|---|---|
| 데이터 유출 | 무단 접근으로 인해 정보가 외부로 유출되는 것. |
| 내부 위협 | 조직 내부의 인원에 의한 위협. |
| 보안 취약점 | 시스템 또는 소프트웨어의 약점. |
| 암호화 | 정보를 읽을 수 없도록 변환하는 방법. |
|---|---|
| 접근 제어 | 정보에 접근할 수 있는 사람을 제한하는 방법. |
| 방화벽 | 네트워크 보안을 위한 보안 시스템. |
| 침입 탐지 시스템 | 네트워크 침입을 감지하는 시스템. |
| 바이러스 검사 소프트웨어 | 악성 소프트웨어를 탐지하고 제거하는 소프트웨어. |
| 인증 | 사용자 신원을 확인하는 방법. |
| 다요소 인증 | 여러 인증 요소를 사용하여 보안을 강화하는 방법. |
| 전문 분야 | 네트워크 보안 보안 감사 침해 사고 대응 보안 컨설팅 악성 코드 분석 암호학 보안 아키텍처 위험 관리 보안 교육 및 인식 |
|---|
| 디지털 전환 | 디지털 전환 시대에 정보 보안의 중요성이 더욱 커짐. |
|---|---|
| 데이터 표준화 | 데이터 표준화의 부족이 정보 보안을 저해할 수 있음. |
| 시장 반응 | 정보 유출과 같은 보안 사고가 시장에 부정적인 영향을 미칠 수 있음. |
-
방범 -
경비원
경비원은 시설 및 인력을 보호하고 출입을 통제하며 순찰, 위험 감지 및 보고 등의 업무를 수행하는 직업으로, 화재, 도난, 침입 등으로부터 보호하며 방문객 안내, 배달물 접수 등의 부가적인 서비스를 제공하기도 한다. -
방범 -
폐쇄회로 텔레비전
폐쇄회로 텔레비전(CCTV)은 영상을 촬영하여 특정 장소로 전송하는 감시 시스템으로, 기술 발전에 따라 범죄 예방 등 다양한 목적으로 활용되지만 개인정보보호 침해 문제와 함께 국가별 법률 및 안면 인식 기술과 결합된 감시 시스템에 대한 사회적 논의가 필요하다. -
국가안전보장 -
파이브 아이즈
파이브 아이즈는 미국, 영국, 캐나다, 오스트레일리아, 뉴질랜드 5개국 간의 정보 동맹으로, 각국의 정보기관을 통해 수집한 정보를 공유하며 냉전 시기부터 현재까지 국제 정세에 대응하기 위해 감시 및 정보 공유 범위를 확대하고 있다. -
국가안전보장 -
반역죄
반역죄는 역사적, 정치적 맥락에 따라 정의가 변화해 온 군주나 국가에 대한 충성 의무 위반 범죄로, 국가 안보 위협 행위, 정부 전복 시도 등을 포함하며, 각국 법률은 국가별로 상이하게 규정되어 있다. -
컴퓨터 보안 -
얼굴 인식 시스템
얼굴 인식 시스템은 디지털 이미지나 비디오에서 사람 얼굴을 감지하고 식별하는 기술로, 다양한 알고리즘 발전을 거쳐 보안, 신원 확인 등에 활용되지만, 편향성, 개인 정보 침해, 기술적 한계와 같은 윤리적 문제도 야기한다. -
컴퓨터 보안 -
워터마크
워터마크는 종이 제조 시 두께 차이를 이용해 만들어지는 표식으로, 위조 방지를 위해 지폐나 여권 등에 사용되며 댄디 롤 등의 제작 기법을 통해 만들어지고 컴퓨터 프린터 인쇄 기술로도 활용된다.
2. 정의
정보보안은 정보의 수집, 가공, 저장, 검색, 송신, 수신 과정에서 발생할 수 있는 훼손, 변조, 유출 등을 방지하기 위한 관리적, 기술적 방법을 의미한다. 이는 정보를 제공하는 공급자와 사용자 모두에게 중요한데, 공급자는 내외부 위협으로부터 정보 자산을 보호하고, 사용자는 개인 정보 유출 및 남용을 방지해야 한다.
정보보안의 정의는 다양하지만, 일반적으로 다음과 같은 공통된 목표를 가진다.
* [[기밀성]] (Confidentiality): 허가된 사람만 정보에 접근할 수 있도록 보장한다.
* [[데이터 무결성|무결성]] (Integrity): 정보가 정확하고 완전하며, 위변조되지 않았음을 보장한다.
* [[가용성]] (Availability): 허가된 사용자가 필요할 때 정보에 접근할 수 있도록 보장한다.
ISO/IEC 27000:2009에서는 정보보안을 "정보의 기밀성, 무결성, 가용성"을 보장하고, 추가적으로 "진정성, 책임성, 부인 방지, 신뢰성"과 관계가 있을 수 있다고 정의한다. CNSS(미국 국가안보시스템위원회)는 2010년에 "인가되지 않은 접근, 사용, 폭로, 붕괴, 수정, 파괴로부터 정보와 정보 시스템을 보호해 기밀성, 무결성, 가용성을 제공하는 것"이라고 정의했다.
JIS Q 27000(즉, ISO/IEC 27000)은 정보보안을 정보의 기밀성, 무결성, 가용성을 유지하는 것으로 정의한다. 이 세 가지 속성은 정보보안의 3요소 또는 CIA라고 불린다.
경제협력개발기구(OECD)와 ISO/IEC JTC 1/SC 27 등은 진정성, 책임추적성, 부인방지, 신뢰성의 네 가지 속성을 추가하여 정보보안의 정의를 확장했다.
* 진정성(authenticity): 정보 시스템 사용자가 본인임을 확인하고 위장을 방지한다.
* 책임추적성(accountability): 특정 동작을 한 주체를 추적할 수 있도록 보장하는 특성이다.
* 부인방지(non-repudiation): 정보를 보낸 사람이 나중에 부인하지 못하도록 증명하는 능력이다.
* 신뢰성(reliability): 의도한 동작 및 결과와 일치하는 특성이다.
위의 네 가지 요소를 추가한 것을 정보보안의 7요소라고 한다.
일본산업규격(JIS)에서는 정보보안을 “정보의 기밀성, 무결성 및 가용성을 유지하는 것. 더 나아가 진정성, 책임추적성, 부인방지 및 신뢰성과 같은 특성을 유지하는 것을 포함할 수도 있다.”라고 정의하여, 이 네 가지를 정보보안의 특성에 포함하지 않아도 된다고 하였다.
2.1. 정보보안의 3요소 (CIA)
정보 보안의 핵심에는 기밀성(Confidentiality), 무결성(Integrity), 가용성(Availability)의 "CIA 삼각형"이 있다. 이 개념은 1972년 앤더슨 보고서에서 처음 소개되었고, 이후 컴퓨터 시스템의 정보 보호(The Protection of Information in Computer Systems)에서도 반복되었다. 약어는 스티브 립너가 1986년경에 만들었다.
* 기밀성 (Confidentiality): 허가받지 않은 사용자 또는 객체가 정보의 내용을 알 수 없도록 하는 것이다. 비밀 보장이라고 할 수도 있다. 원치 않는 정보의 공개를 막는다는 의미에서 프라이버시 보호와 밀접한 관계가 있다. 개인 정보 보호와 유사하지만 두 용어는 서로 바꿔 사용할 수 없다. 오히려 기밀성은 무단 열람으로부터 데이터를 보호하기 위해 구현되는 개인 정보 보호의 구성 요소이다. 전자 데이터의 기밀성이 침해된 예로는 노트북 도난, 비밀번호 도난 또는 중요한 이메일이 잘못된 사람에게 전송되는 경우 등이 있다.
* 무결성 (Integrity): 허가받지 않은 사용자 또는 객체가 정보를 함부로 수정할 수 없도록 하는 것이다. 다시 말하면, 수신자가 정보를 수신했을 때, 또는 보관돼 있던 정보를 꺼내 보았을 때 그 정보가 중간에 수정 또는 첨삭되지 않았음을 확인할 수 있도록 하는 것이다. IT 보안에서 데이터 무결성은 데이터의 전체 수명 주기 동안 정확성과 완전성을 유지하고 보장하는 것을 의미한다. 즉, 데이터가 무단으로 또는 탐지되지 않은 방식으로 수정될 수 없다는 것을 의미한다.
* 가용성 (Availability): 허가된 사용자 또는 객체가 정보에 접근하려 할 때 이것이 방해받지 않도록 하는 것이다. 최근에 네트워크의 고도화로 대중에 많이 알려진 서비스 거부 공격(DDoS 공격, Distributed Denial of Service Attack영어)이 이러한 가용성을 해치는 공격이다. 어떤 정보 시스템이든 그 목적을 달성하려면 필요할 때 정보가 가용해야 한다.
JIS Q 27000(즉, ISO/IEC 27000)은 정보 보안을 정보의 기밀성, 무결성, 가용성을 유지하는 것으로 정의한다.
JIS Q 27001에서는 정보보안의 3요소를 다음과 같이 정의하고 있다. (ISO/IEC 27001의 정의를 번역) 여기서 엔티티는 단체 등을 가리킨다.
* 정보보안 (information security): 정보의 기밀성, 무결성 및 가용성을 유지하는 것. 더 나아가, 진정성, 책임 추적성, 부인 방지 및 신뢰성과 같은 특성을 유지하는 것을 포함할 수도 있다.
* 기밀성 (confidentiality): 허가받지 않은 개인, 엔티티 또는 프로세스에 대해 정보를 사용 불가능하거나 비공개로 만드는 특성
* 무결성 (integrity): 자산의 정확성 및 완전성을 보호하는 특성
* 가용성 (availability): 허가된 엔티티가 요청했을 때 접근 및 사용이 가능한 특성
이것들을 정보보안의 3요소라고 하며, 영어 머리글자를 따서 정보의 CIA라고도 한다.
2.2. 추가적인 보안 목표
경제협력개발기구(OECD)는 1992년에 제정되고 2002년에 개정된 「정보 시스템 및 네트워크 보안 지침」에서 정보보안 의식, 책임, 대응, 윤리, 민주주의, 위험 평가, 보안 설계 및 구현, 보안 관리, 재평가라는 9가지 원칙을 제시하였다. 이를 바탕으로 2004년 NIST는 「정보기술 보안을 위한 엔지니어링 원칙」에서 33가지 원칙을 제안하였다.
1998년, 돈 파커(Donn Parker)는 고전적인 "CIA" 삼각형에 대한 대안 모델로 정보의 6가지 기본 요소라고 부르는 파커의 6가지 요소를 제안했다. 이 요소들은 기밀성, 소유, 무결성, 진정성, 가용성, 그리고 유용성이다. 파커 헥사드(Parkerian Hexad)의 장점은 보안 전문가들 사이에서 논쟁의 여지가 있다.
2011년, 오픈 그룹(The Open Group)은 정보 보안 관리 표준인 O-ISM3을 발표했다. 이 표준은 접근 제어(9), 가용성(3), 데이터 품질(1), 규정 준수 및 기술(4)과 관련된 "보안 목표"라는 요소를 포함하여 보안의 핵심 개념에 대한 작동 정의를 제시하였다.
ISO/IEC JTC 1/SC 27은 1996년에 진정성, 책임추적성, 신뢰성 세 가지 속성을 추가했고, 2006년에 부인방지 속성을 추가했다. 이 네 가지 특성의 의미는 다음과 같다.
* 진정성(authenticity): 특정 주체 또는 자원이 주장하는 대로임을 보장하는 특성. 사용자, 프로세스, 시스템, 정보 등의 엔티티에 적용된다. 정보 시스템 사용자가 확실히 본인임을 확인하고, 위장을 방지한다.
* 책임추적성(accountability): 특정 엔티티의 동작을 그 동작으로부터 동작 주체인 엔티티까지 단일하게 추적할 수 있도록 보장하는 특성.
* 부인방지(non-repudiation): 부인 봉쇄(否認封鎖)라고도 한다. 정보를 보낸 사람이 나중에 정보를 보냈다는 것을 발뺌(부인)하지 못하도록 하는 것이다. 법률에서 부인방지는 계약상 의무를 이행하려는 의도를 의미한다. 또한 거래의 한 당사자가 거래를 받았다는 것을 부인할 수 없으며, 다른 당사자가 거래를 보냈다는 것을 부인할 수 없다는 것을 의미한다. 암호 시스템과 같은 기술이 부인방지 노력에 도움이 될 수 있지만, 이 개념은 본질적으로 기술 영역을 초월하는 법적 개념이라는 점에 유의해야 한다.
* 신뢰성(reliability): 의도한 동작 및 결과와 일치하는 특성.
기본적인 정보보안 3요소에 상기 4요소를 추가한 것을 정보보안 7요소라고 한다.
일본산업규격(JIS) Q 27002 (ISO/IEC 27002)에서는 정보보안을 “정보의 기밀성, 무결성 및 가용성을 유지하는 것. 더 나아가 진정성, 책임추적성, 부인방지 및 신뢰성과 같은 특성을 유지하는 것을 포함할 수도 있다.”라고 정의하고 있다. 즉, 일본산업규격(JIS)에 따르면, 이 네 가지를 정보보안의 특성에 포함하지 않아도 된다.
3. 역사
율리우스 카이사르는 기원전 50년경에 자신의 비밀 메시지가 다른 사람에게 넘어가도 읽히지 않도록 카이사르 암호를 발명했습니다. 19세기 중반, 각국 정부는 정보의 민감도에 따라 관리하는 분류 시스템을 개발했습니다.
제1차 세계 대전 당시에는 여러 전선과 정보를 주고받는 다층 분류 시스템을 사용했고, 외교 및 군사 본부에서 암호 작성 및 해독 부서의 활용이 증가했습니다. 전쟁 사이에는 정보를 암호화하고 해독하는 데 기계가 사용되면서 암호화 기술은 더욱 정교해졌습니다.
제2차 세계 대전 동안에는 공유되는 정보의 양이 증가하면서 분류 시스템과 절차를 정렬해야 할 필요성이 커졌습니다. 독일군이 전쟁 데이터를 암호화하는 데 사용했고 앨런 튜링에 의해 해독된 에니그마 암호기는 안전한 정보를 생성하고 사용하는 대표적인 예시입니다.
냉전 기간 동안 메인프레임 컴퓨터는 더 복잡한 작업을 수행하기 위해 온라인으로 연결되었고, 미국 국방부의 고등 연구 계획국(ARPA)은 미국군 내에서 정보를 교환하기 위한 네트워크 시스템의 가능성을 연구하기 시작했습니다. 1968년, 래리 로버츠는 ARPANET 프로젝트를 공식화했는데, 이는 나중에 인터넷으로 발전했습니다.
1973년, 인터넷 개척자 로버트 메트칼프는 ARPANET 보안에 "암호 구조 및 형식의 취약성, 전화 접속에 대한 안전 절차 부족, 사용자 식별 및 권한 부여 부재"와 같은 여러 결함이 있음을 발견했습니다.
20세기 말과 21세기 초, 통신, 컴퓨팅 하드웨어 및 소프트웨어, 데이터 암호화 분야에서 급속한 발전이 이루어졌습니다. 1980년대 초, 전송 제어 프로토콜/인터넷 프로토콜(TCP/IP)이 설립되면서 서로 다른 유형의 컴퓨터가 통신할 수 있게 되었습니다. 이러한 컴퓨터는 인터넷을 통해 빠르게 상호 연결되었습니다.
인터넷을 통해 수행되는 전자 데이터 처리 및 전자 비즈니스의 급속한 성장과 국제 테러리즘 사건은 컴퓨터와 정보를 보호하는 더 나은 방법의 필요성을 증폭시켰습니다.
4. 위협
정보 보안 위협은 여러 가지 형태로 나타난다. 오늘날 가장 일반적인 위협은 다음과 같다.
* 소프트웨어 공격: 바이러스, 웜, 피싱 공격, 트로이 목마 등이 있다.
* [[지적 재산권 침해|지적 재산권 절도]]: 기업의 영업 비밀, 기술 정보 유출 등이 있으며, 많은 기업들에게 광범위한 문제가 되고 있다.
* [[신원 도용]]: 타인의 개인 정보를 도용하여 금융 사기, 명예 훼손 등을 일으키거나, 사회 공학을 통해 중요한 정보에 접근하는 것을 의미한다.
* [[파괴 행위]]: 조직의 웹사이트를 파괴하여 고객의 신뢰를 잃게 하려는 시도 등을 포함한다.
* 정보 갈취: 랜섬웨어와 같이 정보 또는 재산을 소유자에게 돌려주는 대가로 금품을 요구하는 행위이다.
이러한 공격에 대한 가장 효과적인 예방 조치 중 하나는 정기적인 사용자 인식 교육을 실시하는 것이다.
5. 정보보안의 특성
정보보안은 100% 완벽하게 달성할 수 없다. 정보보안 대책은 실패율에 의해 그 효과가 측정된다. 둘 이상의 정보보안 대책을 함께 사용하면 위험을 크게 줄일 수 있다.
6. 정보보안의 방법
정보보안은 크게 물리적인 방법과 비물리적인(소프트웨어적인) 방법으로 나눌 수 있다. 물리적인 방법은 자물쇠를 사용하거나 보초를 활용하는 것이 대표적이다. 비물리적인 방법으로는 암호학 기술을 사용하여 권한을 가진 사람만 정보에 접근하도록 하거나, 정보 유출 경로를 감시하고 통제하여 유출 위험을 미리 막는 방법이 있다.
6.1. 물리적 보안
물리적 보안은 자물쇠를 사용하거나 보초를 활용하는 등 물리적인 방법을 통해 정보를 보호하는 것을 의미한다. 이는 정보 보안을 위한 방법 중 하나로, 비물리적인(소프트웨어적인) 방법과 함께 사용될 수 있다. 출입 통제, CCTV 설치, 잠금 장치 사용 등이 물리적 보안의 예시에 해당된다.
6.2. 비물리적 보안
암호학 기술을 사용하여 권한을 가진 인물에게만 접근을 허용하거나 유출 경로를 모두 모니터링, 통제하여 유출 위험을 사전에 차단하는 방법이 비물리적 보안에 해당한다.
* DB 또는 어플리케이션: 외부, 내부자가 DB 내에 저장된 정보에 불법 접근하는 것을 막는 방식을 사용한다. 사용자 실수, 오용, 내부자 권한 남용, 비정상적인 접근 행위 및 DB 관련 취약점으로부터 보호하는 방식을 사용한다.
| 종류 | 설명 |
|---|---|
| DB 암호화 | DBMS나 DBMS 외부에서 정보에 대해 암/복호화가 수행되는 방법. 비인가자에 대한 정보 오용을 방지하기 위해 도입. |
| DB 방화벽 | 접근 제어로도 불림. 권한 있는 사용자의 접근만 허용하는 방식과 권한에 따라 접근 권한을 차등 부여하는 방식이 있다. |
| 개인정보 접속 기록 관리 | 접속한 내역을 기록하는 기술이다. 쿼리문, 쿼리 결과값, 정보 패턴, IP, 접속 시간 등을 저장한다. 사용자들은 자신의 행위가 모두 '로깅'되는 것을 인지하고 있기 때문에 과다 조회를 통제하는 효과도 볼 수 있다. |
* 엔드포인트 (PC, 서버, 모바일) : 단말에서 개인 정보나 기밀 정보 등을 보안하는 기술.
| 종류 | 설명 |
|---|---|
| 엔드포인트 DLP | Data Loss Prevention의 약자로 내부 정보 유출을 방지하는 기술 |
| PC 내 개인 정보 및 기밀 정보 암호화 | PC 내 저장된 정보가 비인가자, 외부인에게 노출되지 않도록 보호하는 기술. 대칭형, 비대칭형, 단방향 암호가 있다. |
| DRM | Data Rights Managements의 약자. 권한자에게만 복호화 키를 주어서 문서 유출 시 불법적인 사용자가 문서를 무단으로 열어보지 못하게 하는 기술. |
| 백신 | 엔드포인트 내 숨어있는 악성 소프트웨어를 찾아내서 제거하는 기술. 악성 소프트웨어는 정보 탈취의 원인이 되기도 한다. |
* 네트워크 (메일, 웹서비스): 네트워크를 통해 보안을 위협하는 모든 문제들을 해결하는 방식이다. 정보 유출, 악성 코드 감염 및 디도스 공격 예방 등이 해당된다.
| 종류 | 설명 |
|---|---|
| 네트워크 DLP | 사외망으로 통하는 네트워크 끝단에서 내부 정보 유출을 통제하는 기술. 메신저, 웹하드, 웹메일, 클라우드 서비스를 통한 기밀 정보, 개인 정보 유출 차단 |
| 네트워크 접근 제어 | 비인가자의 통신망 접속을 적절하게 조절하는 기술. 특정 보안 기능을 적용한 후에 접속할 수 있게 하므로 네트워크 장애를 발생시키는 빈도를 줄임. |
| 악성 코드 차단 | 악성 코드 종류는 다양하다. 컴퓨터 바이러스, 웜, 스파이웨어, 트로이목마, 랜섬웨어 등이 그 예다. 스파이웨어는 PC에 몰래 설치되어 사용자 정보를 빼간다. 랜섬웨어는 특정 파일을 암호화하여 복구 불가 상태로 돈을 요구한다. 악성 코드는 정보보안에 위해가 가는 존재다. 보안 회사들은 해당 악성 코드 배포 원천 사이트를 차단해 감염 위험을 사전에 차단한다. |
정보 보안은 암호학을 사용하여 권한이 없는 사용자에게는 사용할 수 없도록 정보를 변환하며, 이 과정을 암호화라고 한다. 암호화된 정보는 암호화 키를 소지한 권한 있는 사용자가 복호화 과정을 통해 원래 사용 가능한 형태로 다시 변환할 수 있다. 암호학은 정보 보안에서 정보가 전송 중(전자적으로 또는 물리적으로)이거나 저장 중일 때 무단 또는 우발적인 공개로부터 정보를 보호하는 데 사용된다.
암호학은 향상된 인증 방법, 메시지 다이제스트, 디지털 서명, 부인방지, 암호화된 네트워크 통신을 포함하여 정보 보안에 유용한 다른 응용 프로그램도 제공한다. 텔넷 및 파일 전송 프로토콜(FTP)과 같은 이전의 안전하지 않은 응용 프로그램은 암호화된 네트워크 통신을 사용하는 SSH(Secure Shell)과 같은 보다 안전한 응용 프로그램으로 천천히 대체되고 있다. 무선 통신은 WPA/WPA2 또는 이전의(그리고 덜 안전한) WEP과 같은 프로토콜을 사용하여 암호화할 수 있다. 유선 통신(예: ITU-T G.hn)은 암호화에 AES(Advanced Encryption Standard)를, 인증 및 키 교환에 X.1035를 사용하여 보호된다. GnuPG 또는 PGP와 같은 소프트웨어 응용 프로그램을 사용하여 데이터 파일과 이메일을 암호화할 수 있다.
암호학은 올바르게 구현되지 않으면 보안 문제를 야기할 수 있다. 암호화 솔루션은 암호학 분야의 독립적인 전문가들에 의해 엄격한 동료 검토를 거친 업계에서 허용되는 솔루션을 사용하여 구현되어야 한다. 암호화 키의 길이와 강도도 중요한 고려 사항이다. 약하거나 너무 짧은 키는 약한 암호화를 생성한다. 암호화 및 복호화에 사용되는 키는 다른 기밀 정보와 같은 수준의 엄격함으로 보호해야 한다. 공개 키 기반 구조(PKI) 솔루션은 키 관리와 관련된 많은 문제를 해결한다.
7. 보안 등급 분류
보호할 대상을 중요성에 따라 분류해, 각각의 중요도에 따라 보호 방법에 차등을 두는 것을 말한다. 정보 보안 및 위험 관리의 중요한 측면은 정보의 가치를 인식하고 정보에 대한 적절한 절차와 보호 요구 사항을 정의하는 것이다. 모든 정보가 동일한 가치를 지니는 것은 아니므로 모든 정보에 동일한 수준의 보호가 필요한 것은 아니다. 따라서 정보에 보안 등급을 할당해야 한다.
정보에 어떤 분류를 할당해야 하는지에 영향을 미치는 요소로는 해당 정보가 조직에 얼마나 가치가 있는지, 정보가 얼마나 오래되었는지, 정보가 쓸모없게 되었는지 여부 등이 있다. 정보를 분류할 때 법률 및 기타 규제 요구 사항도 중요한 고려 사항이다.
선택 및 사용되는 정보 보안 분류 레이블의 유형은 조직의 성격에 따라 달라진다.
* 기업 부문에서는 공개, 민감, 개인, 기밀과 같은 레이블을 사용한다.
* 정부 부문에서는 비밀 취급 불필요, 비공식, 보호, 기밀, 비밀, 최고 기밀 및 그에 상응하는 비영어권 레이블을 사용한다.
* 부문 간 형성에서는 트래픽 라이트 프로토콜을 사용하며, 이는 흰색, 녹색, 노란색, 빨간색으로 구성된다.
* 개인 부문에서는 재정과 같은 하나의 레이블을 사용한다. 여기에는 온라인 뱅킹과 같은 돈 관리와 관련된 활동이 포함된다.
조직의 모든 직원과 비즈니스 파트너는 분류 체계에 대해 교육을 받고 각 분류에 대한 필요한 보안 통제 및 처리 절차를 이해해야 한다.
8. 위험 관리
리스크 관리는 위험 요소를 발견하고 최소화하거나 제거하기 위한 체계적인 관리 체제이다. 주로 다음과 같은 항목을 정의한다:
* 위험의 정의
* 위험 수준 분류
* 위험 요소 발견 시 제거를 위한 위험 수준별 처리 시간
* 위험 신고부터 제거까지 정보 공유 방법 및 절차
* 위험 기록
리스크는 정보 자산에 손해를 입히거나 자산을 잃게 하는 나쁜 일이 발생할 가능성을 의미한다. 취약성은 정보 자산을 위험에 빠뜨리거나 손상시킬 수 있는 약점이며, 위협은 인위적이든 자연적이든 손해를 야기할 가능성이 있는 모든 것을 의미한다. 위협이 취약성을 이용하여 피해를 입힐 가능성이 리스크를 만들고, 실제로 피해를 입히면 영향을 미치게 된다. 정보 보안에서 영향은 가용성, 무결성, 기밀성의 손실 및 기타 손실(소득, 생명, 부동산 손실 등)을 포함할 수 있다.
리스크 관리는 인증 정보 시스템 감사자(CISA) 검토 매뉴얼 2006에서 다음과 같이 정의된다. "조직이 사업 목표를 달성하는 데 사용하는 정보 자원에 대한 취약성과 위협을 식별하고, 정보 자원의 조직적 가치를 기반으로 수용 가능한 수준으로 리스크를 줄이기 위해 어떤 대책을 취할지 결정하는 과정".
이 정의에서 두 가지를 명확히 해야 한다. 첫째, 리스크 관리 과정은 지속적이고 반복적인 프로세스이다. 비즈니스 환경은 끊임없이 변화하며, 매일 새로운 위협과 취약성이 등장하기 때문이다. 둘째, 리스크 관리에 사용되는 대책(보안 통제)은 생산성, 비용, 대책의 효과, 그리고 보호되는 정보 자산의 가치 사이의 균형을 맞춰야 한다. 보안 위반은 드물게 발생하고, 쉽게 복제할 수 없는 특정 상황에서 발생하기 때문에 이러한 과정에는 한계가 있다. 따라서 모든 프로세스와 대책은 그 자체로 취약성에 대해 평가되어야 한다. 모든 리스크를 식별하거나 제거하는 것은 불가능하며, 남아 있는 리스크를 "잔여 리스크"라고 한다.
리스크 평가는 비즈니스의 특정 영역에 대한 지식을 갖춘 사람들로 구성된 팀이 수행한다. 팀 구성원은 비즈니스의 다른 부분이 평가됨에 따라 시간이 지남에 따라 달라질 수 있다. 평가는 정보에 입각한 의견을 바탕으로 주관적인 정성적 분석을 사용하거나, 신뢰할 수 있는 금액과 과거 정보를 사용할 수 있는 경우 정량적 분석을 사용할 수 있다.
연구에 따르면 대부분의 정보 시스템에서 가장 취약한 지점은 사람 사용자, 운영자, 설계자 또는 기타 사람이다. ISO/IEC 27002:2005 정보 보안 관리 관행 코드는 리스크 평가 중에 다음 사항을 검토할 것을 권장한다.
* 보안 정책
* 정보 보안 조직
* 자산 관리
* 인적 자원 보안
* 물리적 및 환경 보안
* 통신 및 운영 관리
* 접근 제어
* 정보 시스템 취득, 개발 및 유지 관리
* 정보 보안 사건 관리
* 비즈니스 연속성 관리
* 규정 준수
넓은 의미에서 리스크 관리 프로세스는 다음과 같이 구성된다.
주어진 리스크에 대해 관리자는 자산의 상대적으로 낮은 가치, 발생 빈도의 상대적으로 낮은 빈도 및 비즈니스에 대한 상대적으로 낮은 영향을 고려하여 리스크를 수용할 수 있다. 또는 경영진은 적절한 통제 조치를 선택하고 구현하여 리스크를 줄일 수 있다. 어떤 경우에는 보험에 가입하거나 다른 사업체에 아웃소싱함으로써 리스크를 다른 사업체로 이전할 수도 있다. 일부 리스크의 현실성은 논쟁의 여지가 있을 수 있으며, 이 경우 경영진은 리스크를 부인할 수 있다.
정보보안과 관련하여 사용되는 주요 용어는 다음과 같다:
* 위험 (risk): 어떠한 손실을 발생시키는 상황이나 상황에 대한 가능성. 위험 분석을 위험 분석이라고 한다.
* 취약성 (vulnerability): 위험을 발생시키는 원인.
* 위협 (threat): 취약성을 이용(exploit)하여 위험을 현실화시키는 수단. 자연재해도 포함된다.
* 사건 (incident): 발생 가능성이 높은 위협.
* 대응책 (countermeasure): 위협이 위험을 현실화하는 것을 억제(최소화)하려는 수단. 대책이라고도 한다.
JIS Q 27001에서는 이들을 다음과 같이 정의하고 있다. (ISO/IEC 27001의 정의를 번역)
* 위험 (risk): 사건의 발생 확률과 사건의 결과의 조합.
* 취약성 (vulnerability): 하나 이상의 위협이 이용할 수 있는 자산 또는 자산 그룹이 가지는 약점.
* 위협 (threat): 시스템 또는 조직에 손해를 줄 수 있는 사건의 잠재적 원인.
* 정보보안 사건 (information security incident): 원하지 않거나 예기치 못한 단독 또는 일련의 정보보안 사건으로서, 사업 운영을 위태롭게 할 확률 및 정보보안을 위협할 확률이 높은 것.
* 정보보안 사건 (information security event): 시스템, 서비스 또는 네트워크에서 특정 상태의 발생. 특정 상태란 정보보안 기본 방침 위반 또는 관리 대책의 결함 가능성, 또는 보안과 관련이 있을지도 모르는 미지의 상황을 나타내는 것을 말한다.
9. 접근 제어
접근 제어는 인가된 접근을 허용하고 비인가된 접근 시도를 차단하는 것을 의미한다. 보호된 정보에 대한 접근은 해당 정보에 접근할 권한이 있는 사람, 정보를 처리하는 컴퓨터 프로그램, 그리고 컴퓨터 자체로 제한되어야 한다. 이를 위해 접근 제어 메커니즘이 필요하며, 정보의 가치와 민감도에 따라 제어 메커니즘의 강도가 결정된다.
접근 제어는 식별, 인증, 권한 부여의 세 단계로 구성된다. 각 단계에 대한 자세한 내용은 하위 섹션을 참조하면 된다.
9.1. 식별 (Identification)
식별은 누군가 또는 무엇인가가 무엇인지 주장하는 행위이다. 어떤 사람이 "안녕하세요, 제 이름은 존 도(John Doe)입니다"라고 말하면 자신이 누구인지 주장하는 것이다. 하지만, 그 주장이 사실일 수도 있고 아닐 수도 있다. 존 도가 보호된 정보에 접근하기 전에, 존 도라고 주장하는 사람이 실제로 존 도인지 확인하는 것이 필요하다. 일반적으로 이러한 주장은 사용자 이름(username)의 형태를 취한다. 사용자 이름을 입력함으로써 "나는 그 사용자 이름에 해당하는 사람이다"라고 주장하는 것이다.
9.2. 인증 (Authentication)
인증(Authentication)은 신원을 확인하는 행위이다. 예를 들어 존 도우(John Doe)라는 사람이 은행에서 돈을 찾으려면, 은행 직원에게 자신이 존 도우라고 말한다. 이것은 신원을 주장하는 것이다. 은행 직원은 사진이 있는 신분증을 요구하고, 존 도우는 운전면허증을 제시한다. 은행 직원은 면허증의 이름과 사진을 확인하여 존 도우가 정말로 자신이 주장하는 사람인지 확인한다. 마찬가지로, 올바른 비밀번호를 입력하면 사용자는 자신이 해당 사용자 이름의 소유자임을 증명하는 것이다.
인증에는 세 가지 유형의 정보를 사용할 수 있다.
* 알고 있는 정보: 비밀번호, PIN, 어머니의 옛 성 등
* 소지하고 있는 정보: 운전면허증, 마그네틱 카드 등
* 본인의 생체 정보: 생체 인식 (예: 손바닥 정맥 인식, 지문 인식, 음성 인식, 망막 스캔)
강력한 인증은 두 가지 이상의 인증 정보 유형을 요구하는 이중 인증을 필요로 한다. 오늘날 컴퓨터 시스템에서 가장 일반적인 식별 방법은 사용자 이름이며, 가장 일반적인 인증 방법은 비밀번호이다. 그러나 사용자 이름과 비밀번호는 점점 더 정교한 인증 메커니즘(예: 시간 기반 일회용 비밀번호)으로 대체되거나 보완되고 있다.
9.3. 권한 부여 (Authorization)
사람, 프로그램 또는 컴퓨터가 식별 및 인증을 성공적으로 마치면, 해당 주체가 접근할 수 있는 정보 자원과 수행할 수 있는 작업(실행, 보기, 생성, 삭제, 변경)이 결정되어야 한다. 이를 권한 부여라고 한다. 정보 및 기타 컴퓨팅 서비스에 대한 권한 부여는 관리 정책 및 절차에서 시작된다. 정책은 누가, 어떤 조건에서, 어떤 정보와 컴퓨팅 서비스에 접근할 수 있는지를 규정한다. 그리고 접근 제어 메커니즘을 구성하여 이러한 정책을 시행한다. 서로 다른 컴퓨팅 시스템에는 다양한 종류의 접근 제어 메커니즘이 있으며, 어떤 시스템은 여러 가지 접근 제어 메커니즘을 선택할 수도 있다. 시스템이 제공하는 접근 제어 메커니즘은 세 가지 접근 제어 방식 중 하나를 기반으로 하거나 세 가지 방식의 조합에서 파생될 수 있다.
비재량적 접근 방식은 모든 접근 제어를 중앙 집중식 관리 아래에 통합한다. 정보 및 기타 자원에 대한 접근은 일반적으로 조직 내 개인의 직무(역할) 또는 개인이 수행해야 하는 작업을 기반으로 한다. 재량적 접근 방식은 정보 자원의 생성자 또는 소유자에게 해당 자원에 대한 접근을 제어할 수 있는 권한을 부여한다. 강제적 접근 제어 방식에서는 정보 자원에 할당된 보안 분류를 기반으로 접근 권한이 부여되거나 거부된다.
오늘날 사용되는 일반적인 접근 제어 메커니즘의 예로는, 많은 고급 데이터베이스 관리 시스템에서 사용 가능한 역할 기반 접근 제어, UNIX 및 Windows 운영 체제에서 제공되는 간단한 파일 권한, Windows 네트워크 시스템에서 제공되는 그룹 정책 개체, 그리고 커버로스, RADIUS, TACACS 및 많은 방화벽과 라우터에서 사용되는 간단한 접근 목록이 있다.
효과적이려면 정책 및 기타 보안 제어는 시행 가능하고 준수되어야 한다. 효과적인 정책은 사람들이 자신의 행동에 대해 책임을 지도록 한다. 예를 들어, 미국 재무부의 중요하거나 독점적인 정보를 처리하는 시스템에 대한 지침에는 모든 실패 및 성공적인 인증 및 접근 시도를 기록해야 하며, 모든 정보에 대한 접근은 일종의 감사 추적을 남겨야 한다고 명시되어 있다.
또한 접근 제어에 대해 이야기할 때 필요-알권리 원칙이 적용되어야 한다. 이 원칙은 직무 수행을 위해 사람에게 접근 권한을 부여한다. 이 원칙은 정부에서 다른 보안 등급을 다룰 때 사용된다. 서로 다른 부서에 있는 두 직원이 모두 최고 기밀 보안 등급을 가지고 있더라도 정보를 교환하려면 필요-알권리가 있어야 한다. 필요-알권리 원칙 내에서 네트워크 관리자는 직원이 해야 하는 것 이상에 접근하지 못하도록 최소한의 권한을 부여한다. 필요-알권리는 기밀성-무결성-가용성 삼위일체를 시행하는 데 도움이 된다. 필요-알권리는 삼위일체의 기밀성 영역에 직접적인 영향을 미친다.
10. 심층 방어 (Defense in Depth)
심층 방어(Defense in depth)는 하나의 보안 요소가 실패하더라도 전체 시스템의 보안을 유지하기 위해 여러 겹의 보안 계층을 사용하는 전략이다. 이는 단일 보안 조치에 의존하지 않고, 클라우드 및 네트워크 엔드포인트 등 다양한 영역에서 다층적인 보안 제어를 결합하는 방식이다. 방화벽, 침입 탐지 시스템, 이메일 필터링, 바이러스 백신 소프트웨어, 클라우드 기반 보안 및 기존 네트워크 방어 체계 등이 이러한 보안 제어에 해당한다.
심층 방어는 관리, 논리, 물리적 제어라는 세 가지 계층을 통해 구현될 수 있다. 또는 데이터, 사람, 네트워크 보안, 호스트 기반 보안, 애플리케이션 보안 계층으로 구성된 양파 모델로 시각화할 수도 있다. 이 전략은 기술뿐만 아니라 사람과 프로세스의 유기적인 협력을 강조하며, 실시간 모니터링 및 대응을 중요하게 다룬다.
11. 법률 및 규정
녹색: 보호 및 안전장치
빨강: 만연한 감시 사회
다음은 전 세계 여러 지역의 정부 법률 및 규정 중 데이터 처리 및 정보 보안에 상당한 영향을 미치거나, 미쳤거나, 미칠 것으로 예상되는 일부 목록이다. 정보 보안에 상당한 영향을 미치는 중요한 산업 부문 규정도 포함되어 있다.
* 영국:
* 1998년 데이터 보호법은 개인 관련 정보 처리(정보의 입수, 보유, 사용 또는 공개 포함) 규제에 대한 새로운 규정을 마련한다.
* 컴퓨터 남용법(Computer Misuse Act) 1990은 컴퓨터 범죄(예: 해킹)를 형사 범죄로 규정하는 영국 의회의 법률이다. 이 법은 캐나다와 아일랜드를 포함한 다른 여러 국가가 이후 자체 정보 보안법을 제정할 때 영감을 얻은 모델이 되었다.
* EU:
* 유럽 연합 데이터 보호 지침(EUDPD)은 모든 EU 회원국이 EU 전역 시민의 데이터 프라이버시 보호를 표준화하기 위한 국가 규정을 채택하도록 요구한다.
* 데이터 보존 지침(Data Retention Directive)(폐지됨)은 인터넷 서비스 제공업체와 통신 회사가 발송된 모든 전자 메시지와 발신된 모든 전화 통화에 대한 데이터를 6개월에서 2년 동안 보관하도록 요구했다.
* 미국:
* 가족 교육 권리 및 프라이버시법(Family Educational Rights and Privacy Act)(FERPA)은 미국 연방법으로 학생 교육 기록의 프라이버시를 보호한다. 이 법은 미국 교육부(U.S. Department of Education)의 해당 프로그램에 따라 자금을 지원받는 모든 학교에 적용된다. 일반적으로 학교는 학생 교육 기록의 정보를 공개하려면 부모 또는 자격 있는 학생의 서면 허가를 받아야 한다.
* 연방 금융 기관 심사 위원회(Federal Financial Institutions Examination Council)(FFIEC)의 감사관을 위한 보안 지침은 온라인 뱅킹 보안에 대한 요구 사항을 명시한다.
* 1996년의 건강보험 이식 및 책임법(Health Insurance Portability and Accountability Act)(HIPAA)은 전자 의료 거래에 대한 국가 표준과 제공자, 건강 보험 계획 및 고용주를 위한 국가 식별자를 채택하도록 요구한다. 또한 의료 제공자, 보험 제공자 및 고용주가 건강 데이터의 보안 및 프라이버시를 보호하도록 요구한다.
* 1999년의 그램-리치-블리리법(Gramm–Leach–Bliley Act)(GLBA), 즉 1999년 금융 서비스 현대화법은 금융 기관이 수집, 보유 및 처리하는 개인 금융 정보의 프라이버시와 보안을 보호한다.
* 서번스-옥슬리법(Sarbanes–Oxley Act) 2002년(SOX)의 404조는 상장 회사가 각 회계연도 말에 제출하는 연례 보고서에서 재무 보고에 대한 내부 통제의 효과를 평가하도록 요구한다. 최고 정보 책임자는 재무 데이터를 관리하고 보고하는 시스템의 보안, 정확성 및 신뢰성을 담당한다. 이 법은 상장 회사가 평가의 유효성을 증명하고 보고해야 하는 독립 감사인과 협력하도록 요구한다.
* 주 보안 위반 알림법(캘리포니아 및 기타 여러 주)은 암호화되지 않은 "개인 정보"가 손상되거나 분실되거나 도난당했을 수 있는 경우 기업, 비영리 단체 및 주 기관이 소비자에게 알리도록 요구한다.
* 미국 국방부(DoD)는 2004년 DoD 지침 8570을 발표하고 DoD 지침 8140으로 보완하여 모든 DoD 직원과 정보 보장 역할 및 활동에 관여하는 모든 DoD 계약 직원이 다양한 업계 정보 기술(IT) 인증을 취득하고 유지하도록 요구하여 네트워크 인프라 방어에 관여하는 모든 DoD 직원이 최소한의 IT 업계에서 인정하는 지식, 기술 및 능력(KSA)을 갖도록 한다. Andersson과 Reimers(2019)는 이러한 인증이 CompTIA의 A+ 및 Security+에서 ICS2.org의 CISSP 등에 이르기까지 다양하다고 보고한다.
* 캐나다:
* 캐나다의 PIPEDA은 특정 상황에서 수집, 사용 또는 공개되는 개인 정보를 보호함으로써 전자상거래를 지원하고 촉진한다.
* 그리스:
* 그리스의 헬레닉 통신 보안 및 프라이버시 당국(ADAE)(법률 165/2011)은 그리스에서 전자 통신 네트워크 및/또는 서비스를 제공하는 모든 회사가 고객의 기밀성을 보호하기 위해 배포해야 하는 최소 정보 보안 통제를 설정하고 설명한다. 여기에는 관리 및 기술 통제(예: 로그 기록은 2년 동안 저장해야 함)가 모두 포함된다.
* 그리스의 헬레닉 통신 보안 및 프라이버시 당국(ADAE)(법률 205/2013)은 그리스 통신 회사가 제공하는 서비스 및 데이터의 무결성과 가용성 보호에 중점을 둔다. 이 법은 이러한 회사 및 기타 관련 회사가 적절한 사업 연속성 계획과 중복 인프라를 구축, 배포 및 테스트하도록 강제한다.
* 국제:
* 지불 카드 산업 데이터 보안 표준(Payment Card Industry Data Security Standard)(PCI DSS)은 지불 계정 데이터 보안을 강화하기 위한 포괄적인 요구 사항을 설정한다. 이는 PCI 보안 표준 위원회의 창립 지불 브랜드(아메리칸 익스프레스(American Express), 디스커버 파이낸셜 서비스(Discover Financial Services), JCB, 마스터카드 월드와이드, 비자 인터내셔널(Visa International) 포함)가 전 세계적으로 일관된 데이터 보안 조치의 광범위한 채택을 촉진하기 위해 개발했다. PCI DSS는 보안 관리, 정책, 절차, 네트워크 아키텍처, 소프트웨어 설계 및 기타 중요한 보호 조치에 대한 요구 사항을 포함하는 다면적인 보안 표준이다.
12. 업무 연속성
업무 연속성 관리(BCM)는 사건으로 인한 조직의 중요 업무 기능 중단을 보호하거나, 최소한 그 영향을 최소화하기 위한 조치와 관련이 있다. BCM은 조직이 기술과 사업을 현재의 위협과 일치시켜 평상시 업무의 지속성을 유지하는 데 필수적이다. 모든 필수적인 업무 기능이 어떤 유형의 위협에도 대비하여 계속 운영하는 데 필요한 것을 갖추도록 조직의 위험 분석 계획에 포함되어야 한다.
여기에는 다음이 포함된다.
* 요구 사항 분석: 중요 업무 기능, 의존성 및 잠재적인 실패 지점, 잠재적인 위협 및 조직에 우려되는 사건 또는 위험을 식별한다.
* 사양: 최대 허용 중단 시간, 복구 지점 목표(최대 허용 데이터 손실 기간)를 정한다.
* 아키텍처 및 설계: 복원력(예: 고가용성을 위한 IT 시스템 및 프로세스 엔지니어링, 사업을 방해할 수 있는 상황 회피 또는 예방), 사고 및 비상 관리(예: 구내 대피, 비상 서비스 호출, 분류/상황 평가 및 복구 계획 적용), 복구(예: 재구축) 및 비상 관리(사용 가능한 모든 리소스를 사용하여 발생하는 모든 상황에 긍정적으로 대처하는 일반적인 기능)를 포함한 적절한 접근 방식 조합을 사용한다.
* 구현: 백업, 데이터 전송 등의 구성 및 예약, 중요 요소 복제 및 강화, 서비스 및 장비 공급업체와의 계약을 진행한다.
* 테스트: 다양한 유형, 비용 및 보증 수준의 업무 연속성 연습을 한다.
* 관리: 전략 정의, 목표 및 목표 설정, 작업 계획 및 지시, 자금, 인력 및 기타 리소스 할당, 다른 활동에 대한 우선 순위 지정, 팀워크, 리더십, 통제, 동기 부여 및 기타 업무 기능 및 활동과의 조정(예: IT, 시설, 인적 자원, 위험 관리, 정보 위험 및 보안, 운영), 상황 모니터링, 상황 변경 시 조치 확인 및 업데이트, 지속적인 개선, 학습 및 적절한 투자를 통한 접근 방식 성숙화를 한다.
* 보증: 지정된 요구 사항에 대한 테스트, 주요 매개변수 측정, 분석 및 보고, 호출 시 계획대로 진행될 것이라는 더 큰 확신을 위해 추가 테스트, 검토 및 감사를 수행한다.
BCM이 사건의 발생 확률과 심각성을 모두 줄임으로써 재해 관련 위험을 최소화하는 광범위한 접근 방식을 취하는 반면, 재해 복구 계획(DRP)은 재해 발생 후 가능한 한 빨리 사업 운영을 재개하는 데 특히 중점을 둔다. 재해 발생 직후 적용되는 재해 복구 계획은 중요한 정보통신기술(ICT) 인프라를 복구하는 데 필요한 단계를 설명한다. 재해 복구 계획에는 계획 그룹 설립, 위험 평가 수행, 우선 순위 설정, 복구 전략 개발, 계획 목록 및 문서 준비, 검증 기준 및 절차 개발, 마지막으로 계획 실행이 포함된다.
13. 정보보안 문화
정보 보안 문화는 단순히 직원들의 보안 인식 수준을 넘어, 조직의 사상, 관습, 사회적 행동 등이 정보 보안에 긍정적 또는 부정적으로 영향을 미치는 방식을 의미한다. 문화적 개념은 조직의 여러 부문이 정보 보안에 대해 효과적으로 협력하거나, 오히려 효과를 저해하는 방식으로 작용할 수 있다. 직원들이 보안에 대해 생각하고 느끼는 방식과 그들이 취하는 행동은 조직의 정보 보안에 큰 영향을 미친다.
Roer & Petric (2017)은 조직 내 정보 보안 문화의 7가지 핵심 요소를 다음과 같이 제시한다.
Andersson과 Reimers (2014)는 직원들이 종종 자신을 조직 정보 보안 "노력"의 일부로 여기지 않고, 종종 조직의 정보 보안 최상의 이익을 무시하는 행동을 한다는 것을 발견했다. 연구에 따르면 정보 보안 문화는 지속적으로 개선되어야 한다. "정보 보안 문화: 분석에서 변화까지"에서 저자들은 "이는 끝없는 과정이며, 평가와 변화 또는 유지 관리의 순환이다"라고 언급했다. 정보 보안 문화를 관리하기 위해서는 사전 평가, 전략적 계획, 운영 계획, 실행 및 사후 평가의 다섯 단계를 거쳐야 한다.
* 사전 평가: 직원들의 정보 보안 인식 수준을 파악하고 현재의 보안 정책을 분석한다.
* 전략적 계획: 더 나은 인식 프로그램을 만들기 위해 명확한 목표를 설정해야 한다. 사람들을 그룹화하는 것은 이를 달성하는 데 도움이 된다.
* 운영 계획: 내부 소통, 경영진의 참여, 보안 인식 제고 및 교육 프로그램을 기반으로 우수한 보안 문화를 조성한다.
* 실행: 경영진의 헌신, 조직 구성원과의 소통, 모든 조직 구성원을 위한 교육 과정, 그리고 직원들의 헌신이 특징이어야 한다.
* 사후 평가: 이전 단계의 효과를 더 잘 평가하고 지속적인 개선을 위한 기반을 구축한다.
14. 관련 표준
ISO/IEC 27001과 NIST 사이버보안 프레임워크는 일반적인 정보보안 표준에 포함된다.
15. 관련 자격증
* 정보처리기사
* 정보보안기사
* Certified Information Systems Security Professional영어
* Certified Information Systems Auditor영어