정보보호 컨설팅이란
페이지 정보
본문
"모의해킹 · 보안취약점진단 · 정보보호컨설팅" 전문기업 『라스컴 시큐리티』 www.lassecu.com T:1522-3863 secu@lascom.co.kr
안녕하세요 라스컴 시큐리티입니다.
오늘은 정보보호란 무엇인지, 그리고 정보보호 컨설팅이란 무엇인지 소개해 드리겠습니다.
1. 정보보호란?
정보보호는 조직과 조직의 IT자산인 시스템(서버 및 네트워크 보안 장치, PC 등)/어플리케이션/데이터 등을 내부의 부주의 또는 외부의 고의적/악의적/불법적 해킹으로 인한 외부유출/변조/파괴로부터 보호하는 수단이나 행위를 말합니다.
정보는 비밀이 유지되어야 하고 정확해야 하며 허가된 접근만 가능해야 하기 때문에 정보의 수집/저장/송수신 과정에서 정보의 위변조/훼손/유출 등을 방지하는 관리적/기술적/물리적 차원의 보호 대책이 필요힙니다.
특히 최근에는 외부의 악의적 해커에 의해 아래와 같은 다양한 해킹 사례가 빈번하게 증가함에 따라 정보보호의 중요성이 그 어느 때 보다 높아지고 있습니다.
1) 조직의 IT자산을 해킹하여 외부에 주요 정보를 유출하는 사례
2) 메일 등을 활용하여 악성코드를 설치하여 주요 정보를 해킹하는 사례
3) 메일 등을 활용하여 조직 내에 랜섬웨어 등의 악성코드를 유포시켜 소프트웨어와 데이터를 감염시켜 사용자가 정상적으로 활용하지 못하게 하여 금전을 요구하는 사례
4) 악의적인 의도로 DDoS 공격을 통해 조직 IT자산의 활용을 마비시키는 사례
5) 해커가 생성형 AI를 악용해 손쉽게, 대량으로 악성코드를 제작해 사이버 공격을 시도하는 사례
6) 악의적으로 유출한 개인정보 등을 다크웹을 통해 거래하는 사례
2. 정보보호 컨설팅이란?
정보보호 컨설팅은 보안컨설팅 또는 정보보안 컨설팅 이라고도 합니다. 조직 또는 고객의 사업목적을 달성하기 위해 정보보호 전문 컨설턴트로 구성된 전문가 집단이 조직의 ICT 자산(관리자산, 물리자산, 기술자산 등)/조직/프로세스/체계에서 발생할 수 있는 보안 위협과 위험을 사전에 분석하여 능동적으로 대응 계획과 대책을 수립하고 조직이 최적의 정보보호 체계 및 시스템을 구축할 수 있도록 지원하는 컨설팅 용역 서비스를 말합니다.
이를 통해 조직 또는 고객은 내/외부로 부터의 위협과 위험을 사전에 최소화하여 조직과 IT시스템의 안정성을 확보할 수 있습니다.
3. 정보보호 컨설팅의 법률적 근거
정보보호 컨설팅은 아래의 법률적 근거 및 가이드라인에 따라 진단을 실시합니다
- "정보통신기반보호법 제 9조"에 따라 주요정보통신기반시설 관리 기관은 매년 취약점 분석 평가를 실시하여야 한다
- KISA의 “주요정보통신 기반시설 기술적 취약점 분석/평가기준”
- 금융보안원의 “전자금융 기반시설 보안 취약점 평가기준"
- ISMS-P- ISO27001
- 클라우드 보안 인증(CSAP) 등
4. 정보보호 컨설팅의 수행 내용
1) 정보보호컨설팅 착수 단계
성공적인 컨설팅 수행을 위해 정보보호 컨설팅 수행계획을 수립하고 조직의 요구사항을 분석합니다.
조직의 사업 목적, 정보보호 관리체계(ISMS) 구축 및 인증 심사를 위한 컨설팅 대상 시스템 및 기간, 주요 사업 범위와 컨설팅 영역 및 분야 등이 그 대상입니다.
(1) 정보보호컨설팅 수행계획 수립
(2) 요구사항 분석
2) ICT 현황 분석 단계
조직의 주요 사업 목표 및 주요 활동을 파악합니다.
정보보호 컨설팅, ISMS 인증 등에서 요구하는 컨설팅 범위를 정의합니다.
정보보호 관리체계 현황 분석 및 GAP를 분석합니다.
조직과 정보보호 컨설팅 범위의 자산을 식별하고 분류합니다.
중요도 및 보안 등급을 평가합니다.
조직의 내,외부 환경 분석을 수행하고 컨설팅 범위를 선정합니다.
ICT 자산을 식별하고 개인정보 취급업무를 식별합니다.
마지막으로 ICT자산의 중요도를 평가합니다.
(1) 범위 정의
(2) ICT 운영 현황 분석
(3) 법적 준거성 분석
3) 보안취약점 점검(보안취약점 진단)
관리적 취약점 점검, 물리적 취약점 점검을 수행하고 개인정보 흐름을 분석하며 기술적 취약점 점검을 수행합니다. 관리적, 물리적, 기술적 취약점 개선 대책을 수립합니다.
조직의 IT자산에 대해 기술적 보안취약점 점검(진단) 및 분석을 통해 각 보안취약점에 대한 해결책을 제시하여 안정성을 확보하고 보안영향 평가를 도출하는 활동입니다. 조직의 IT자산이라함은 시스템(인프라, 데이터베이스, 시스템소프트웨어 등), 어플리케이션(PC웹, 모바일 앱), 프로그램 소스코드 등을 말합니다.
보안취약점 점검은 보안점검 툴을 활용하여 자동 또는 수동으로 보안 취약성을 점검하는 체크리스트 기반 점검과, 외부 해커의 입장에서 실제적인 모의침투(모의침입) 테스트를 수행하는 시나리오 기반(또는 블랙박스) 점검 방법이 있습니다.
최근에는 많은 조직과 고객들이 이 두 가지 방법을 병행 적용하여 보안 취약점 점검을 보다 정밀하게 수행하는 추세입니다.
일반적으로 보안취약점 점검을 수행하는 영역은 아래 5가지 입니다.
(1) 시스템 보안 취약점 점검(인프라 보안 취약점 점검)
(2) 웹 보안 취약점 점검
(3) 모바일 앱 보안 취약점 점검
(4) 시큐어코딩 소스코드 취약점 점검
(5) 모의침투 테스트(시나리오 기반 모의해킹, 모의침입)
4) 위험 평가 단계
ICT 자산분석, 보안취약점 진단 결과를 통해 위험평가 및 조치계획을 수립합니다. 위협 분석과 취약성 분석을 통해 위험 평가를 실시합니다.
위험관리는 위험관리 방법을 선정하여 관리적, 기술적, 물리적 조직의 정보보호 범위에 대해 위험식별 및 평가가 가능하도록 합니다. 위험관리가 될 수 있도록 인원, 기간, 대상, 방법 등을 위험관리 계획에 수립해야 합니다.
위험관리 계획은 향후 위험분석, 위험평가를 위한 조직, 일정, 방법 등을 명시한 계획서입니다. 조직의 목적에 맞게 위험관리가 수행되었는지 평가할 수 있습니다. 조직의 위험관리는 주기적으로 수행하고 관리해야 합니다.
위험 분석은 위협 분석, 취약성 분석, 기존의 보안대책 분석을 통해서 정보보호 대상이 되는 조직의 ICT 시스템의 위험수준을 판단하고 위험 수준에 따른 대응책을 도출하여 정보보호 수준을 향상시킵니다.
위험 분석은 체크리스트를 이용하여 보안점검을 수행하거나 위험 분석 도구를 이용하여 조직의 위험수준을 평가할 수 있습니다.
(1) ICT 자산 분석
(2) 위협 분석
(3) 취약성 분석
(4) 위험 평가
5) 정보보호체계 구현 단계
정보보호 대책과 정보보호 계획을 수립합니다.
정책 및 지침을 개선하고 교육 훈련을 실시합니다.
조직 및 ICT 현황 분석/취약점 진단/위험 분석/위험조치 계획 결과를 고려한 정보보호 대책 명세서를 작성하고, 현행화를 지원하며, 정보보호 조직의 정보보호 컨설팅 목적과 관리체계(ISMS) 인증 획득 등 제반 활동을 지원합니다.
조직의 정보보호 컨설팅 목적과 관리체계(ISMS) 인증 신청 및 인증 획득에 필요한 필수 문서의 작성을 지원합니다.
관리체계(ISMS) 인증 심사 사전 준비 및 심사원 요구사항 대응을 지원합니다.
정보보호 조직 구성과 운영, 교육 등 정보보호 프레임워크를 수립합니다.
기존 정보보호 정책/지침/절차를 분석하고 정비합니다.
정보보호 체계에 적합한 기존 문서의 개정작업을 수행하고, 조직 내 정보보호 요구 사항 및 ISMS 등에서 요구하는 신규 문서를 작성합니다.(정보통신망법, 개인정보보호법 준수사항 반영)
(1) 정보보호체계 구현
(2) 취약점 보호 대책 수립
(3) 단계별 이행 계획 수립
(4) 중장기 보안 계획 수립
6) 정보보호 정책 수립
정보보호 정책은 조직의 IT자산의 관리 및 보호에 대한 지침 및 절차를 기술한 문서입니다. 조직이 수립한 정보보호 정책은 IT자산을 안전하고 효율적으로 관리하기 위한 조직 정보보호 활동의 기준입니다.
정보보호 정책 수립 시에는 조직의 목적 및 환경을 조사 분석하여 조직이 필요로 하는 관리적, 물리적, 기술적 보안 요구사항을 도출해야 합니다. 또한 기존 정보보호 정책이 있다면 기존의 정책과 활동에 대한 효용성과 효율성을 분석하여 평가하고 보다 나은 방침을 함께 수립해야 합니다.
정보보호정책 수립은 먼저 정보보호정책과 하부 정보보호규정을 수립하고 이에 따른 정보보호 관련 지침을 수립합니다. 정보보호정책 수립 후 정보보호절차서를 작성합니다.
7) 이행 지원 단계
관리체계 증적을 관리하고 ICT 보안감사를 실시하며 모의심사를 수행합니다. 관리체계 인증 심사 시 지원합니다.
(1) 정보보호대책 이행 지원
(2) 이행 점검
(3) 모의훈련 지원
(4) 최종 보고
전문 정보보안 컨설턴트가 제공하는 정보보호 컨설팅 서비스가 필요하실 때
라스컴 시큐리티로 문의 주시면 친절하고 상세하게 안내 드리겠습니다.
감사합니다.
모의해킹 · 취약점진단 · 정보보호컨설팅
- 이전글ISMS-P 인증 컨설팅 24.02.26
- 다음글ISMS, ISMS-P 인증 컨설팅 업체 선정 시 고려사항 23.11.15