기술적 보안의 정책[보안영역별 보안정책][산업보안학 ISS][국가정보전략연구소]
2012-12-07 오후 5:20:00
보안영역별 보안정책
1. 관리적 보안의 정책
2. 기술적 보안의 정책
3. 물리적 보안의 정책
2. 기술적 보안의 정책
IT보안으로 더 잘 알려진 기술적 보안도 보안정책에 보안시스템을 구축하고 운영해야 한다. 시스템보안에서 직접 관리하지 못하는 시스템은 절대 신뢰하지 않아야 하고, 네트워크 보안은 암호화를 하지 않은 패킷(packet)의 송수신은 엄격하게 금지하고 모든 네트워크를 최적화해야 한다.
보안정책은 한번 정해졌다고 그냥 두면 안 되고 기업의 환경, 정보자산의 변화등에 따라 정기적으로 보안취약점을 점검해 보완해야 한다. 보안은 항상 최악의 상황을 고려해야 하기 때문에 최선의 상황에 따라 수립된 보안정책은 아무런 의미가 없다.
기술적 보안을 담당하는 관리자가 다음과 같은 보안조치를 취할 수 있도록 보안정책을 수립해야 한다.
첫째, 중요 데이터는 삭제나 변조를 대비해 주기적으로 백업이 돼야 한다. 고의적인 사고로 데이터 손실이 발생할 수도 있지만, 관리자의 실수, 시스템의 하드웨어, 소프트웨어의 장애로 인해서도 발생할 수 있으므로 백업은 매우 중요하다.
이 외에도 천재지변이나 테러에 의한 훼손도 대비해야 하다. 2001년 9·11테러 당시 세계무역센터에 사무소를 둔 대부분의 기업은 데이터손실을 입었지만, 세계 최대 투자은행인 모건스탠리는 외부에 백업장치를 가지고 있어 인력손실 외에 데이터손실은 발생하지 않았다. 모든 사람들의 우려와는 달리 모건스탠리는 9월 12일 오전 9시에 정상적인 업무를 수행할 수 있었다. 이 사고 여파로 EMC 등 데이터백업장치나 솔루션을 개발한 업체가 특수를 누리기도 했다.
둘째, 불필요한 서비스를 중단하도록 해야 한다. 시스템설치 시 디폴트(default)로 열려 있는 서비스 포트(port)를 막아야 한다. 방화벽을 활용해 사용하지 않는 포트는 막고, 사용하는 포트도 웹 서비스(web service)를 제외하고는 잘 관리해야 한다. 물론 포트스캔(port scan) 프로그램을 활용하면 열려 있는 포트를 확인해 침입을 할 수 있지만 그래도 최소한의 보안조치는 취해 두는 것이 좋다.
셋째, 백신, 방화벽 등 기본적인 보안프로그램은 반드시 설치해 운용하고, 업그레이드(upgrade)와 패치(patch)를 하도록 해야 한다. 하루에도 수백 개의 변종 바이러스가 생성되고, 새로운 해킹프로그램이 인터넷에서 공유되고 있다. 새로운 유해매체로 인한 시스템의 취약점을 제거하기 위해서 업그레이드가 필요하다. 시스템의 운영체제도 개발사가 보안취약점이 발견될 때마다 패치를 제공하므로 이에 관한 정보를 취합해 즉각적으로 반영해야 한다.
- 중략 -
기술적 보안정책도 직원, 즉 인원보안에 관련된 부문이 많지만 하드웨어나 소프트웨어의 운영 측면에서 봐야 한다. 일부 책이나 전문가는 기술적 보안정책을 설명하면서 정보보호를 위한 대책이나 인원보안에 관련된 부문을 중시하지만 이는 바람직하지 않다.
기술적 보안을 구성하고 있는 컴퓨터 하드웨어나 소프트웨어의 정상적인 설치, 운영, 사후 유지보수, 백업과 같은 부문에 국한하는 것이 보안영역의 구분과 조합적인 보안정책을 수립하는 데 유리하다. 직원의 행동요령이나 원칙에 관련된 부문은 인원보안에서 다루도록 해야 한다.
- 용어 설명 -
패킷(packet) : 네트워크를 통해 전송하기 좋도록 자른 데이터의 단위를 말한다. 유무선 인터넷 사용자에게 패킷 단위로 요금을 부과해야 한다는 주장이 있을 정도로 인터넷 사용량 관리 단위가 된다.
디폴트(default) : 전산용어로 ‘기본적인’이라는 뜻이다.
포트(port) : 컴퓨터와 모뎀 사이에 데이터를 주고받을 수 있는 통로를 말한다. 0부터 65535까지 있으며 특정 서비스나 프로그램이 사용하는 번호는 지정되어 있다.
패치(patch) : 컴퓨터 프로그램의 개발사가 프로그램의 취약점을 보완하기 위해 내놓은 수정용 소프트웨어를 말한다. 백신프로그램의 경우 새로운 바이러스가 출현할 때마다 패치를 공개해 사용자가 업데이트 하도록 요청한다.
(산업보안학ISS – 민진규 저(국가정보전략연구소소장) p63)
1. 관리적 보안의 정책
2. 기술적 보안의 정책
3. 물리적 보안의 정책
2. 기술적 보안의 정책
IT보안으로 더 잘 알려진 기술적 보안도 보안정책에 보안시스템을 구축하고 운영해야 한다. 시스템보안에서 직접 관리하지 못하는 시스템은 절대 신뢰하지 않아야 하고, 네트워크 보안은 암호화를 하지 않은 패킷(packet)의 송수신은 엄격하게 금지하고 모든 네트워크를 최적화해야 한다.
보안정책은 한번 정해졌다고 그냥 두면 안 되고 기업의 환경, 정보자산의 변화등에 따라 정기적으로 보안취약점을 점검해 보완해야 한다. 보안은 항상 최악의 상황을 고려해야 하기 때문에 최선의 상황에 따라 수립된 보안정책은 아무런 의미가 없다.
기술적 보안을 담당하는 관리자가 다음과 같은 보안조치를 취할 수 있도록 보안정책을 수립해야 한다.
첫째, 중요 데이터는 삭제나 변조를 대비해 주기적으로 백업이 돼야 한다. 고의적인 사고로 데이터 손실이 발생할 수도 있지만, 관리자의 실수, 시스템의 하드웨어, 소프트웨어의 장애로 인해서도 발생할 수 있으므로 백업은 매우 중요하다.
이 외에도 천재지변이나 테러에 의한 훼손도 대비해야 하다. 2001년 9·11테러 당시 세계무역센터에 사무소를 둔 대부분의 기업은 데이터손실을 입었지만, 세계 최대 투자은행인 모건스탠리는 외부에 백업장치를 가지고 있어 인력손실 외에 데이터손실은 발생하지 않았다. 모든 사람들의 우려와는 달리 모건스탠리는 9월 12일 오전 9시에 정상적인 업무를 수행할 수 있었다. 이 사고 여파로 EMC 등 데이터백업장치나 솔루션을 개발한 업체가 특수를 누리기도 했다.
둘째, 불필요한 서비스를 중단하도록 해야 한다. 시스템설치 시 디폴트(default)로 열려 있는 서비스 포트(port)를 막아야 한다. 방화벽을 활용해 사용하지 않는 포트는 막고, 사용하는 포트도 웹 서비스(web service)를 제외하고는 잘 관리해야 한다. 물론 포트스캔(port scan) 프로그램을 활용하면 열려 있는 포트를 확인해 침입을 할 수 있지만 그래도 최소한의 보안조치는 취해 두는 것이 좋다.
셋째, 백신, 방화벽 등 기본적인 보안프로그램은 반드시 설치해 운용하고, 업그레이드(upgrade)와 패치(patch)를 하도록 해야 한다. 하루에도 수백 개의 변종 바이러스가 생성되고, 새로운 해킹프로그램이 인터넷에서 공유되고 있다. 새로운 유해매체로 인한 시스템의 취약점을 제거하기 위해서 업그레이드가 필요하다. 시스템의 운영체제도 개발사가 보안취약점이 발견될 때마다 패치를 제공하므로 이에 관한 정보를 취합해 즉각적으로 반영해야 한다.
- 중략 -
기술적 보안정책도 직원, 즉 인원보안에 관련된 부문이 많지만 하드웨어나 소프트웨어의 운영 측면에서 봐야 한다. 일부 책이나 전문가는 기술적 보안정책을 설명하면서 정보보호를 위한 대책이나 인원보안에 관련된 부문을 중시하지만 이는 바람직하지 않다.
기술적 보안을 구성하고 있는 컴퓨터 하드웨어나 소프트웨어의 정상적인 설치, 운영, 사후 유지보수, 백업과 같은 부문에 국한하는 것이 보안영역의 구분과 조합적인 보안정책을 수립하는 데 유리하다. 직원의 행동요령이나 원칙에 관련된 부문은 인원보안에서 다루도록 해야 한다.
- 용어 설명 -
패킷(packet) : 네트워크를 통해 전송하기 좋도록 자른 데이터의 단위를 말한다. 유무선 인터넷 사용자에게 패킷 단위로 요금을 부과해야 한다는 주장이 있을 정도로 인터넷 사용량 관리 단위가 된다.
디폴트(default) : 전산용어로 ‘기본적인’이라는 뜻이다.
포트(port) : 컴퓨터와 모뎀 사이에 데이터를 주고받을 수 있는 통로를 말한다. 0부터 65535까지 있으며 특정 서비스나 프로그램이 사용하는 번호는 지정되어 있다.
패치(patch) : 컴퓨터 프로그램의 개발사가 프로그램의 취약점을 보완하기 위해 내놓은 수정용 소프트웨어를 말한다. 백신프로그램의 경우 새로운 바이러스가 출현할 때마다 패치를 공개해 사용자가 업데이트 하도록 요청한다.
(산업보안학ISS – 민진규 저(국가정보전략연구소소장) p63)
저작권자 © Institute for National Intelligence Strategy, 무단전재 및 재배포 금지