본 논문은 정보통신 서비스 제공기관 및 업체가 현재의 보안 상태를 단계별로 등급화된 지표에 따라 평가하고, 지속적으로 정보보호 수준을 상위 단계로 개선해 나갈 수 있도록 정보 보호 수준평가방법을 제안하였다. 이를 위해 SP800-26의 17개 분야, SP800-53의 3개 분야, ISMS의 15개 분야, ISO27001의 10개 분야를 분석하여 중복적인 분야를 제거하고, 관련 전문가 회의를 통해 12개 평가분야와 SP800-26의 221개 항목, SP800-53의 17개 항목, ISMS의 137개 항목, ISO27001의 127개 항목을 분석하여 54개 평가항목을 도출하였다. 또한, 54개 평가항목에 대한 수준을 5단계로 구분된 지표에 따라 각각 평가하고, 각 평가분야별로 등급 을 결정할 수 있도록 하였다. 아울러, 개발된 평가항목과 등급 등이 실제 운영환경에 잘 적용될 수 있도록 운영상에서 발생할 수 있는 문제점을 사전에 분석하고, 이를 고려한 수준평가의 효과적인 7가지 수행방안을 제시하였다. 본 논문에서 제안한 정보보호 수준평가 방법은 계량화된 데이터를 통해 해당조직의 정보보호 대책을 수립할 수 있도록 지원하며, 조직 관리자들의 정보보호 목표수준 설정을 위한 자료로 활용되어 국가적 차원의 정보보호 수준 향상에 기여할 수 있을 것이다.
본 논문은 정보통신 서비스 제공기관 및 업체가 현재의 보안 상태를 단계별로 등급화된 지표에 따라 평가하고, 지속적으로 정보보호 수준을 상위 단계로 개선해 나갈 수 있도록 정보 보호 수준평가방법을 제안하였다. 이를 위해 SP800-26의 17개 분야, SP800-53의 3개 분야, ISMS의 15개 분야, ISO27001의 10개 분야를 분석하여 중복적인 분야를 제거하고, 관련 전문가 회의를 통해 12개 평가분야와 SP800-26의 221개 항목, SP800-53의 17개 항목, ISMS의 137개 항목, ISO27001의 127개 항목을 분석하여 54개 평가항목을 도출하였다. 또한, 54개 평가항목에 대한 수준을 5단계로 구분된 지표에 따라 각각 평가하고, 각 평가분야별로 등급 을 결정할 수 있도록 하였다. 아울러, 개발된 평가항목과 등급 등이 실제 운영환경에 잘 적용될 수 있도록 운영상에서 발생할 수 있는 문제점을 사전에 분석하고, 이를 고려한 수준평가의 효과적인 7가지 수행방안을 제시하였다. 본 논문에서 제안한 정보보호 수준평가 방법은 계량화된 데이터를 통해 해당조직의 정보보호 대책을 수립할 수 있도록 지원하며, 조직 관리자들의 정보보호 목표수준 설정을 위한 자료로 활용되어 국가적 차원의 정보보호 수준 향상에 기여할 수 있을 것이다.
In order for agencies and companies at the IT service industry to check as well as to upgrade the current status of their information security programs, this paper suggests the assessment method for information security levels. The study developed 12 assessment fields and 54 assessment items derived...
In order for agencies and companies at the IT service industry to check as well as to upgrade the current status of their information security programs, this paper suggests the assessment method for information security levels. The study developed 12 assessment fields and 54 assessment items derived from domestic and foreign cases including SP800-26, SP800-53, ISMS, and ISO27001. It categorized 54 assessment items into 5 levels for determining information security levels. Also, the study presents 7 strategies for performing their efficient evaluations. The proposed method and process in this paper can be useful guidelines for improving the national information security level.
In order for agencies and companies at the IT service industry to check as well as to upgrade the current status of their information security programs, this paper suggests the assessment method for information security levels. The study developed 12 assessment fields and 54 assessment items derived from domestic and foreign cases including SP800-26, SP800-53, ISMS, and ISO27001. It categorized 54 assessment items into 5 levels for determining information security levels. Also, the study presents 7 strategies for performing their efficient evaluations. The proposed method and process in this paper can be useful guidelines for improving the national information security level.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
SSECMM에서 제안하고 있는 5단계 지표의 경우, 영역(domain)과 능력(capability)이라는 2가지 측면의 구조에 실무(practice) 활동들로 구성되어 있어 일반적인 정보보호 관리조직에 적용하기에는 너무 복잡하고 관리자가 이해하기 어려워, 수준평가를 진행하기에는 다소 무리가 있다고 판단하였다. 따라서 본 연구에서는 능력측면만을 지원하는 단순화된 5단계 평가지표에 한정하고, 영역측면은 평가항목을 구성하여 보완토록 고안하였다.
따라서 이와 같은 문제점 해결을 위해 본 논문에서는 정보통신 서비스 제공기관 및 업체가 현재의 보안 상태를 단계별로 등급화된 지표에 따라 평가하고, 지속적으로 정보보호 수준을 상위 단계로 개선해 나갈 수 있도록 정보보호 수준평가 방법을 제안한다.
본 논문에서는 정보통신 서비스 제공기관 및 업체가 현재의 보안 상태를 단계별로 등급화된 지표에 따라 평가하고, 지속적으로 정보보호 수준을 상위 단계로 개선해 나갈 수 있도록 정보보호 수준평가방법을 제안하였다. 이를 위해 국내·외의 정보보호 수준 평가 사례를 분석하여 평가분야 및 평가항목을 도출하고, 정보보호 수준평가를 위한 단계별로 등급화된 평가지표를 제안하였다.
본 논문은 정보통신 서비스를 안정적으로 운영 및 관리하고, 정보통신 서비스별 정보보호 수준을 지속적으로 평가하고 개선할 수 있는 활동을 지원하기 위해 단계별로 구분된 평가지표를 마련하고, 평가항목들을 정리하였다. 특히, 국내·외 정보통신 서비스의 정보보호 수준평가 사례를 조사 및 분석하여 국내에 적용할 수 있는 평가지표를 만들어, 미국 표준기술연구소(National Institute of Standards and Technology)의 SP800-53(Special Publications 800 Series)의 보안가이드와 SP 800-26, ISO27001, ISMS(Information Security Management System) 등과의 평가항목 비교·분석을 통해 정보보호 수준을 평가하기 위한 평가항목을 제시하였다[6, 7].
본 연구에서 개발한 평가 지표는 SSE-CMM 의 성숙도 측정 평가를 기반으로 한 단순화된 5단계 평가 지표를 제안하고자 한다. SSECMM에서 제안하고 있는 5단계 지표의 경우, 영역(domain)과 능력(capability)이라는 2가지 측면의 구조에 실무(practice) 활동들로 구성되어 있어 일반적인 정보보호 관리조직에 적용하기에는 너무 복잡하고 관리자가 이해하기 어려워, 수준평가를 진행하기에는 다소 무리가 있다고 판단하였다.
본 연구에서는 정보보호 수준을 평가하기 위한 평가 지표 개발을 위해 여러 분야에서 평가 지표로 사용하는 것들을 분석하였다. 즉, SSE-CMM(Systems Security Engineering-Capability Maturity Model)에서 정보시스템의 보안기능과 성능의 평가는 요구되는 보안 수준의 적정성을 결정하는데 매우 중요한 요소임을 알 수 있다.
연방 정부 행정기관을 지원하는 정보시스템에 대한 보안 평가를 선택 및 지정 하는 지침 제공을 목적으로 NIST에서 작성한 권고안이다. 권고안의 대상으로는 정보시스템 및 정보 보안 관리 및 감독 책임이 있는 개인, 정보시스템 개발 책임이 있는 개인, 정보보안 실행 및 운영 책임이 있는 개인, 정보시스템 및 정보 보안 평가 및 감독 책임이 있는 개인을 대상으로 한다[6].
제안 방법
NIST의 평가리스트(SP800-53, SP800-26) 와 보안 관리분야의 ISO27001, KISA의 ISMS등을 비교분석하여 정보통신 서비스의 정보보호 수준을 측정하기 위한 평가 분야와 항목을 도출하였다. 이를 위해 <그림 1>에 명시된 바와 같이, SP800-26의 17개 분야, SP800-53의 3개 분야, ISMS의 15개 분야, ISO27001의 10개 분야를 분석하여 중복적인 분야를 제거하고, 국내 정보통신 서비스 실정에 맞는 분야를 관련 전문가 회의를 통해 12개로 선별 정리하였다.
두 번째는 평가분야별로 협의적 프로세스 의미를 담고 있는 항목으로 구성되어 있는데, 12개 평가분야와 마찬가지로 SP800-26의 221개 항목, SP800-53의 17개 항목, ISMS의 137개 항목, ISO27001의 127개 항목을 분석하여 중복적인 항목을 제거하고, 국내 정보통신 서비스 실정에 맞는 평가항목을 관련 전문가 회의를 통해 54개로 선별 정리하였다( 참조)
또한, 국내·외 정보통신 서비스의 정보보호 수준평가 사례를 고찰하여, 정보통신 서비스의 정보보호 수준평가방법론과 정보보호 수준평가의 효과적인 수행방안을 제안하였다.
이를 위해 국내·외의 정보보호 수준 평가 사례를 분석하여 평가분야 및 평가항목을 도출하고, 정보보호 수준평가를 위한 단계별로 등급화된 평가지표를 제안하였다. 아울러, 개발된 평가항목과 등급 등이 실제 운영환경에 잘 적용될 수 있도록 운영상에서 발생할 수 있는 문제점을 사전에 분석하고, 이를 고려한 수준 평가의 효과적 수행방안을 제시하였다. 본 연구에서 제안한 정보보호 수준평가방법은 정보통신 서비스 제공기관 및 업체에서 계량화된 데이터를 통해 해당조직의 정보보호 대책을 수립할 수 있도록 지원하며, 아울러 조직 관리자들의 정보보호 목표수준 설정을 위한 자료로 활용되어 국가적 차원의 정보보호 수준 향상에 기여할 수 있을 것이다.
이를 위해 국내·외의 정보보호 수준 평가 사례를 분석하여 평가분야 및 평가항목을 도출하고, 정보보호 수준평가를 위한 단계별로 등급화된 평가지표를 제안하였다.
이를 위해 에 명시된 바와 같이, SP800-26의 17개 분야, SP800-53의 3개 분야, ISMS의 15개 분야, ISO27001의 10개 분야를 분석하여 중복적인 분야를 제거하고, 국내 정보통신 서비스 실정에 맞는 분야를 관련 전문가 회의를 통해 12개로 선별 정리하였다.
특히, 국내·외 정보통신 서비스의 정보보호 수준평가 사례를 조사 및 분석하여 국내에 적용할 수 있는 평가지표를 만들어, 미국 표준기술연구소(National Institute of Standards and Technology)의 SP800-53(Special Publications 800 Series)의 보안가이드와 SP 800-26, ISO27001, ISMS(Information Security Management System) 등과의 평가항목 비교·분석을 통해 정보보호 수준을 평가하기 위한 평가항목을 제시하였다[6, 7].
특히, 취약점 분석·평가는 정보통신 서비스의 안정적 운영과 동 시설에 내장된 중요 정보의 기밀성, 무결성, 가용성에 영향을 미칠 수 있는 전자적 침해행위 등 다양한 위협요인을 파악하고 이들 위협요인에 대한 정보통신 서비스의 취약점 침해 시 파급효과 및 대책을 식별 분석 평가한다.
정보보호 수준평가 방법은 프로세스 관점에서 평가분야 12개에 대한 상태를 측정하는데, 각 분야별로 제시하고 있는 평가항목에 대해 측정한 평가값의 합을 구해 등급화 한다. 프로세스 측면에서의 평가와 기능적 측면에서의 평가는 5단계의 자체 평가 후, 현장평가와 문서 확인을 통해 계획수립-운영-시행테스트 및 반영 등의 개념이 적용된 프로세스 측면에서의 평가를 수행한다. 정보보호 수준평가 결과를 산출하는 방법은 2단계로 진행하는데, 첫 번째는 54개 평가항목에 대한 수준을 5단계로 구분된 지표에 따라 각각 평가하고, 두 번째는 각 평가분야별로 등급을 결정한다.
성능/효과
다섯째, 본 연구에서 제안된 총 12개 평가분야 및 54개 평가항목에 대하여 평가기관 및 업체에 환경을 고려하여 반영하고 있지 않는 항목은 적용항목에서 제외가 가능하다. 일부 기관의 경우 54개 항목을 반드시 체크해야하는 항목으로 인식하여 부담을 갖는 경우가 있었다.
셋째, 등급 기준의 모호성 문제를 해결하기 위해서 평가항목에 대한 착안사항을 정의할 필요가 있다. 본 연구는 평가 착안사항을 구체적으로 기술하다보면 평가지표를 충족하는 모든 세부 활동을 언급하지 못하는 완전성의 오류와 평가지표의 정의를 충실히 따르지 못하는 일관성의 오류를 함께 범하게 될 우려가 있어 단순화하여 제안하고 있기 때문에 평가기관 및 업체는 평가를 수행하기 전에 각 평가항목별로 착안사항을 정의해야 할 것이다.
본 연구에서는 정보보호 수준을 평가하기 위한 평가 지표 개발을 위해 여러 분야에서 평가 지표로 사용하는 것들을 분석하였다. 즉, SSE-CMM(Systems Security Engineering-Capability Maturity Model)에서 정보시스템의 보안기능과 성능의 평가는 요구되는 보안 수준의 적정성을 결정하는데 매우 중요한 요소임을 알 수 있다. SP800-26는 자체 평가시 각각의 보안평가 질문에 대해 해당되는 단계에 체크할 수 있도록 구성하고 있고, CC(Common Criteria)는 정보보호시스템의 보안성에 대한 신뢰성 정보를 위해 국제 공통평가 기준을 개발하고, 공정하고 객관적인 평가를 시행할 수 있는 평가 체계를 구축하여 고객이나 혹은 기업이 사용할 수 있게 하고 있다.
첫째, 정보통신 서비스의 정보보호 수준평가는 총 12개 평가분야 및 54개 평가항목에 대해 각각 등급을 산정하는 구조로 구성되어 있는데 등급 산정이 이뤄지면 반드시 이에 대한 증빙이 가능해야한다. 예를 들면, 3등급은 계획에 따라 평가항목을 수행되는 단계로 정의됨에 따라 “계획에 따라 시행한 후 어떤 결과물을 남겨야 된다.
후속연구
본 논문에서 제안한 평가항목과 등급이 실제 운영환경에 잘 적용될 수 있도록 하기 위해서는 운영상에서 발생할 수 있는 문제점을 사전에 분석하고, 이를 고려한 효과적 수행 방안을 제시할 필요가 있다. 즉, 정보통신 서비스 기관 및 업체에서 정보보호 수준 평가시 발생할 수 있는 실질적인 문제점과 이를 고려한 수준평가의 효과적 수행방안은 다음과 같다.
아울러, 개발된 평가항목과 등급 등이 실제 운영환경에 잘 적용될 수 있도록 운영상에서 발생할 수 있는 문제점을 사전에 분석하고, 이를 고려한 수준 평가의 효과적 수행방안을 제시하였다. 본 연구에서 제안한 정보보호 수준평가방법은 정보통신 서비스 제공기관 및 업체에서 계량화된 데이터를 통해 해당조직의 정보보호 대책을 수립할 수 있도록 지원하며, 아울러 조직 관리자들의 정보보호 목표수준 설정을 위한 자료로 활용되어 국가적 차원의 정보보호 수준 향상에 기여할 수 있을 것이다.
여섯째, 평가기관 및 업체의 서비스별 특성에 맞도록 평가항목별 가중치를 두어 평가를 실시하면 더욱 정확한 측정이 가능해 진다[12]. 물론 이러한 경우에는 반드시 가중치 선정의 적절성 확보 방안을 모색해야 한다.
일곱째, 본 연구에서 제시한 평가지표가 평가기관 및 업체에 적용하기 어렵다고 판단될 경우에는 SSE-CMM에서 포함하고 있는 평가등급별 일반 실무(general practice)와 같은 형태의 가이드라인을 평가지표로 활용할 수도 있다. 특히 평가지표의 구성은 보안에 대한 일반 활동 보다는 절차에 부합하는 표준화 활동을 조직 측면에서 스스로 내재화하여 추진할 수 있는지를 평가하는 것이 단기적인 능력 평가가 아닌 조직의 중장기 능력 측면에 대한 평가로 이어지게 되기 때문에 절차중심의 조직에서는 SSE-CMM의 평가지표 활용도 가능하다.
향후에는 기술적 측면에서 정보통신 서비스 분야를 중심으로 제시된 정보보호 수준평가 방법론을 여타 행정, 금융, 의료, 에너지 등 주요 국가사회기반 영역으로 확대 적용할 수 있도록 각 분야별 환경에 맞는 평가항목 및 기준을 개발할 필요가 있다. 또한, 제도적 측면에서는 사이버 침해사고 발생 시 경제적 사회적 피해의 파급효과가 큰 대국민서비스에 대하여는 서비스의 안정적 운영을 위해 정보 보호 수준평가의 법적 의무화 방안을 검토할 필요가 있다.
질의응답
핵심어
질문
논문에서 추출한 답변
취약점 분석․평가는 어떻게 이루어지고 있는가?
취약점 분석․평가는 최초 지정일로부터 6개월 이내 실시토록 규정하고 있고, ISO17799(ISO27001), 한국인터넷진흥원의 ISMS, IS ACA(Information Systems Audit and Control Association)의 COBIT, IDC(Internet Data Center) 안전운영 가이드, 정보통신 기반 보호법의 내용을 기준으로 평가를 수행하며, 기관의 보안 전담반이나 외부 정보보호 컨설팅 전문 업체를 지정하여 수행하고 있다. 특히, 취약점 분석․평가는 정보통신 서비스의 안정적 운영과 동 시설에 내장된 중요 정보의 기밀성, 무결성, 가용성에 영향을 미칠 수 있는 전자적 침해행위 등 다양한 위협요인을 파악하고 이들 위협요인에 대한 정보통신 서비스의 취약점 침해 시 파급효과 및 대책을 식별 분석 평가한다.
정보통신 서비스의 정보보호 수준 및 안전성을 점검 받기 위한 다양한 제도들의 특징은 무엇인가?
이러한 제도의 특징은 평가사항들의 시행 여부 또는 사전에 정의한 평가기준에 적합한지 등을 단순 점검하고 있다는 것이다. 따라서 정보보호 대책을 수립하고 시스템 및 서비스의 취약점을 점검하는 등 여러 가지 보호활동을 수행하지만 각각의 활동을 계량화된 등급으로 측정할 수 있는 평가지표가 마련되어 있지 않아 보안수준을 정확하게 측정 하기 어려운 문제점을 안고 있다.
정보보호 관리체계란 무엇인가?
인터넷 침해사고 등으로 인해 조직적이고 전사적이며 관리․물리․기술 및 환경전반에 걸친 정보보호 관리의 중요성이 더욱 제시되고 있고 이러한 정보보호 등에 관한 전반적인 체계를 ‘정보보호 관리체계’라고 한다[5]. 국내에서는 정보보호에 대한 전반적인 인식수준의 제고와 경쟁력 향상을 위한 정보보호 관리체계를 수립하여 운영하고 있다.
참고문헌 (13)
한국인터넷진흥원, 정보보호 수준평가 방법론 안내서, 2010. 3.
김진영, 정보보호수준 평가 방법론 개발에 관한 연구, 석사학위논문, 2003.
한근식, "정보보호 수준평가에서의 표본설계방법에 따른 허용오차", 정보보호 심포지움, 2009. 6.
이강신, "정보보호관리체계 인증가이드", 한국정보보호진흥원, 2002.
정경호, 민경식, "국가 정보보호수준 평가 모델 개발", 한국정보보호진흥원, 2001.
Ross, R., "Guide for Assessing the Security Controls in Federal Information Systems:Building Effective Security Assessment Plans," NIST, Special Publications 800-53A, 2008.
Swanson, M., "Security Self-Assessment Guide for Information Technology System," NIST, SP800-26, 2001.
ISO/IEC, Information Security Management System Part 2:Specification for Information Security Management System, 2005.
Carnegie Mellon University, "SSE-CMM Model Decripton Document," SSE-CMM, 2003.
Carley, M., Social Measurement and Social Indicators, George Allen and Unwin, Ltd., London, 1981.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.