ABOUT ME

    -

    Today
    -
    Yesterday
    -
    Total
    -
    • [CIO Korea] 강은성의 보안 아키텍트 | 정보보안 사고 대응과 정보보안 위기 대응
      study/technical study 2024. 1. 30. 23:49

       

      https://www.ciokorea.com/news/321185

       

      강은성의 보안 아키텍트ㅣ정보보안 사고 대응과 정보보안 위기 대응

      가트너가 ‘적응형 보안 아키텍처’(Adaptive Security Architecture)를 처음 발표한 것은 2015년 10월의 일이다. 가트

      www.ciokorea.com

       

      위 글을 기반으로 작성했습니다.

       

       

       

       

      • 가트너가 '적응형 보안 아키텍처'(Adaptive Security Architecture)를 처음 발표한 것은 2015년 10월
      • '2016년 10대 전략 기술 트렌드'에서 '새로운 IT 현실' 꼭지에 4개 아키텍처의 하나로 이것을 포함
      • 2017년에는 각 조직에 '적응형 보안 아키텍처'를 구축할 것을 제안

       

      적응형 보안 아키텍처 ⓒ 가트너 사이트(2017)

       

      보안에서 많이 사용하는 '예방 → 탐지 → 대응'의 보안 프로세스에서 '예방' 앞에 '예측'을 더 붙인 그림

       

       

      '예측' 또한 크게 위협 및 공격의 예상(분석)과 위험 평가로 이뤄짐

      위협 분석과 위험 평가는 정보보안 위험 관리에 관한 국제 표준인 ISO/IEC 27005나 각종 위험 평가 방법론에서 공통적으로 규정한 프로세스

      가트너가 이것을 '보안 아키텍처'라고 부르지만, '보안 프로세스', '보안 라이프사이클', '보안 프레임워크'라고 이름 붙여도 됨

       

      연말 연시 쏟아지는 보안 위협 전망이나 보안 트렌드 전망은 '예측'에 포함

       

       

      '개인정보(정보보안) 위기 대응' 관련하여 이 오래된 그림을 보안 사고와 보안 위기 대응 관점에서 다시 보기

       

      위 그림에서 예방과 대응은 직접 관계가 없어 보이지만, 보안 사고와 보안 위기 관점에서 본다면 관계 있음

      → '지속적인 모니터링'을 통해 보안 위협을 '탐지'하여, 신속하고 정확하게 '대응'하면, 보안 사고가 보안 위기로 확대되는 것을 막을 수 있음. 보안 사고를 예방하는 노력도 필요하지만, 자주 발생하는 '자잘한' 보안 사고를 우선순위를 정해 신속하고 정확하게 대응하는 것이 보안 위기를 '예방'할 수 있는 중요한 방법.

       

       

      ex) 이메일 피싱 공격을 통해 대형 정보 유출 사고가 발생

      → 피싱 이메일을 조기 발견하여 신속하고 정확하게 대응할 수 있으면 피싱 이메일 자체를 막진 못해도 내부망으로 침투한 공격을 탐지, 차단함으로써 대형 보안사고를 예방할 수 있음

       

      관련 솔루션도 필요하지만, 대응할 수 있는 인력과 프로세스를 준비하고, 훈련하는 것이 무엇보다 중요함

       

       

      일반적인 위기 관리는 예방 → 대비 → 대응 → 복구의 4단계로 이뤄짐(재난 및 안전관리 기본법 제1조(목적))

       

       

      '개인정보(정보보안) 위기 관리' 단계 요약

      가트너의 '적응형 보안 아키텍처'를 위기 관리 관점에서 읽으면, 위기예방 단계의 활동으로 볼 수 있음

      → 정보보안 사고를 조기에 '탐지'하여 신속하고 정확하게 '대응'하면 위기를 '예방'할 수 있음

       

       

      정보보호 및 개인정보보호 관리체계(ISMS-P) 인증을 받은 기업에서 개인정보 유출 사고가 발생하면 인증을 허술하게 부여한 게 아니냐는 비판이 제기되기도 함

      하지만 ISMS-P 인증에는 보호대책 요구사항 중 '사고 예방 및 대응' 분야가 있음

      침해사고나 개인정보 유출 사고를 예방하고, 발생하면 신속하고 효과적으로 대응하는 데 필요한 요구사항임

      ISMS-P와 비슷한 국제 표준 ISO/IEC 27001(정보보안 경영시스템)에도 '정보보안 사고 관리'에 관한 통제가 있음

      정보보안 사고가 발생하지 않으면 좋겠지만 발생할 때 잘 대응할 수 있는 체계를 갖추고 있는지 검증함

      정보보안 사고가 발생하지 않는 것을 보증하는 보안 인증은 없음

       

       

      그래서 위기 대응 관점에서 사고 대응을 할 필요가 있음

      → 전사의 관련 조직과 인력, 프로세스를 포함하여 전사적 정보보안 위기관리 체계를 갖추고, 그것을 정보보안 사고에 대응할 수 있는 '일상적 위기 관리 체계'를 구성하여 일상적으로 발생하는 정보보안 사고에 적용하는 것.

      그렇게 함으로써 정보보안팀만으로는 대응하기 어려운 '자잘한' 정보보안 사고도 조기에 발견하여 신속하게 처리함으로써 정보보안 위기까지 확대되는 것을 차단 가능

       

       

       

       

      마치며

      원문의 마지막 부분에도 나와있듯, 위기 대응 관점에서 사고 대응을 하면 위기를 막을 수 있다는 것이 무슨 말인지, 그리고 왜 그렇게 해야 할 필요가 있는지 확실히 알게 되었다. 또한 이번 주제는 가트너의 적응형 보안 아키텍처 그림을 보안 사고와 보안 위기 대응 관점에서 다시 볼 수 있는 유익한 스터디였다. 

       

      'study > technical study' 카테고리의 다른 글

      [Theori] A사 공식 사이트 디페이스 해킹을 통한 피싱 사례  (1) 2024.02.17
      [삼성SDS] 생성형 AI 시대의 멀티클라우드 전략  (0) 2024.02.06
      [Theori] 최신 클라우드 서비스 제공업체(CSP) 취약점 동향과 보안 대응(2022 ~ 2023년)  (1) 2024.01.21
      [삼성SDS] 멀티클라우드의 장점과 고려사항  (0) 2024.01.10
      [IT WORLD] "어떤 고리가 끊어졌나…" 사례로 보는 소프트웨어 공급망 공격 유형 6가지  (1) 2024.01.09

      관련글 관련글 더보기

    Designed by Tistory.

    티스토리툴바