기업의 관리적 보안 결함 Top 10

invalid-file - KISA, ‘07년 정보보호관리체계인증심사에서 나타난 결함 발표 - 고객 개인정보에 대한 기업의 자산 관리 강화 노력 필요 우리나라 기업들이 간과하기 쉬운 정보 보안상 결함이 △시스템 로그 백업 미흡 등 백업절차 부재 △자산 분류 기준 부재와 자산의 보안등급 미표기 및 취급절차 미흡, △관리자 계정 공동사용, △보안사고 예방 및 대응절차 미흡 등인 것으로 나타났다. 이는 한국정보보호진흥원(KISA, 원장 황중연)이 ‘07년 한 해 동안 실시한 정보보호관리체계인증 심사를 토대로 분석한 결과에서 밝혀졌다. 정보보호관리체계인증(ISMS)이란 다양하고 복잡한 사이버 위협에 대응하기 위해 종합적인 관리와 대책 수립이 필요해짐에 따라 도입된 제도로서, 정보보호관리체계 수립ㆍ운영을 위한 5단계 관리과정(△정보보호정책수립, △정보보호관리체계 범위설정, △위험관리, △구현, △사후관리)과 문서화 및 정보보호대책이 적절하게 수립되고 체계적으로 관리되고 이행되는지를 인증기관이 평가하여 인증을 부여하고 있다. 현재 중요정보를 취급하는 사업자를 포함한 통신, 금융, 의료, 교육 분야 등 산업 전 분야에서 인증을 ISMS를 취득했거나 추진 중이다. KISA는 2007년 한 해 동안 총 40건에 이르는 정보보호관리체계인증심사 및 사후관리 심사를 진행했으며, 이때 발견된 결함을 분석하여 결함발생빈도 순으로 Top 10을 도출하였다. 결함발생빈도는 발견된 취약점 수를 총 심사건수로 나눠 계산했고, 이는 인증심사시 137개 세부통제항목별로 얼마나 자주 결함사항이 발견되었는지를 나타낸다. 가장 많이 발견된 결함은 ‘정보시스템 백업‘으로, 대부분 기업이 정보시스템에 대한 백업을 수행하고는 있으나, 백업범위(데이터, 시스템 로그, 환경설정 파일 등), 주기, 방법 등을 정의한 지침 및 절차가 마련되어있지 않아 지적된 사항이다. 이는 백업이 명확한 절차에 의해서가 아니라 담당자의 주관에 따라 임의적으로 이루어지고 있다는 것을 의미한다. 특히 시스템접속 및 운영 기록이 저장된 주요 로그 파일에 대한 백업 미흡은 침해사고 발생 시 사고조사 및 대응을 어렵게 만드는 원인이 될 수도 있다. 다음으로 많이 발견된 결함인 ‘정보자산의 보안관리’는 개인정보 유출에 대한 사회적인 심각성과 이에 대한 일반 국민들의 관심을 고려하여 특히 강조되는 정보보호대책 중 하나이다. 하지만 이는 발생빈도가 40%로 인증심사 5회당 2번꼴로 결함이 발견되었다. 기업의 주요 정보자산은 데이터, 문서, 하드웨어, 소프트웨어, 설비, 인적자산 등을 의미한다. 기업은 이를 안전하게 보호하기 위해 중요도에 따라 분류하여 보안등급을 표시하고 취급절차를 마련해야 한다. 그러나, 많은 기업들이 자산의 중요도 산정까지는 하고 있으나, 그에 따른 처리절차를 명확히 하지 않거나, 절차를 따르지 않은 것으로 나타났다. △정보자산의 분류 기준이 없는 경우, △정보자산을 분류 기준에 부합하지 않게 관리하는 경우, △정보자산 분류시 꼭 포함해야 할 고객정보 DB를 비롯한 전자정보와 기밀문서 및 중요 보고서 등을 누락시킨 경우 등, △정보자산의 보안등급을 물리적 및 전자적으로 표시하지 않은 경우, △문서자산의 경우 자산의 중요도 산정(1/2/3등급 등)과 문서자산 보안등급(기밀, 대외비, 사외비 등)간 일관성이 없는 경우, △정보자산 보안등급에 따른 취급절차가 미흡한 경우 등이다. KISA 관계자는 “이번에 분석한 결함빈도 Top 10을 국내 기업이 간과하기 쉬운 기업 보안상 결함으로 보고, 특히 취약성이 많은 웹을 대량 취급하는 서비스 업체가 상시 정보보호 관리를 할 수 있도록 정보보호관리체계 수립을 다각도로 지원하는 한편, 기업 정보보호 실효성을 제고하여 정보보호 수준을 강화하겠다”고 밝혔다. 지난해 KISA는 ‘유비쿼터스 사회의 정보보호 프론티어’라는 비전을 수립하고, ‘기업 유형별 정보보호 거버넌스 체계 정착’ 등 10대 과제를 추진하는 과정의 일환으로 기업 정보보호 수준을 제고하기 위해 노력하고 있다.

출처: 한국정보보호진흥원(www.kisa.or.kr)

ManualJedi ^v^