보안정보

전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.

탄탄한 기초를 위한 정보보호 사전점검 – 빈틈없는 보안의 정보통신서비스, 어떻게 구현할 수 있는가?

2018.09.07

10,966

      ■ 정보보호 사전점검이란 무엇인가?   국내 각 기관 및 기업에서는 신규 정보통신서비스를 제공하기 위해 새로운 시스템을 구축하거나 구조적인 변경이 필요할 때 보안적으로 취약한 부분을 운영 단계 전에 제거하기 위해 보안성 심의, 보안성 검토, 정보보호 사전점검 등을 실시하고 있다. 이러한 사전점검은 두 단계로 나누어 지는데 사업 초기 계획 단계에서는 구축 대상 시스템의 보호대책을 검토하기 위한 금융감독원의 ‘보안성 심의’와 국가정보원의 ‘보안성 검토’를 실시하고 사업자 선정 이후 시스템을 구축하고 실제로 운영되기 전 단계에서는 정보보호 사전점검이 시행된다.   다시 말해 정보보호 사전점검은 계획 단계에서부터 정보보호를 고려하여 시스템에서 발생 가능한 보안 위협을 최소화하기 위한 일종의 예방책이라고 할 수 있다. 특히 최근 들어 날로 지능화되는 보안 위협과 4차 산업혁명의 도래로 인해 보안의 중요성이 한층 부각되고 있는 만큼, 이러한 사전적 조치들의 필요성 또한 증대 되고 있는 바, 정보보호 사전점검 제도에 대해 알아보는 시간을 가져보고자 한다.   앞서 언급했듯이 정보보호 사전점검은 정보통신서비스 시스템을 구축하거나 개발할 때 정보보안을 고려하지 않아 추후 운영 시스템에서 보안 취약점이 발견되거나 정보보호 사고가 발생하여 야기될 수 있는 심각한 경제적 손실 및 사회적 혼란을 방지하기 위해 마련된 제도로 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률 제45조의 2(정보보호 사전점검)’에 따라 시행된다.  

제 45조의 2 정보보호 사전점검

① 정보통신서비스 제공자는 새로이 정보통신망을 구축하거나 정보통신서비스를 제공하고자 하는 때에는 그 계획 또는 설계에 정보보호에 관한 사항을 고려하여야 한다.   ② 과학기술정보통신부장관은 다음 각 호의 어느 하나에 해당하는 정보통신서비스 또는 전기통신사업을 시행하고자 하는 자에게 대통령령으로 정하는 정보보호 사전점검기준에 따라 보호조치를 하도록 권고할 수 있다. 〈 개정 2013. 3. 23., 2017. 7. 26. 〉

1. 이 법 또는 다른 법령에 따라 과학기술정보통신부장관의 인가ㆍ허가를 받거나

등록ㆍ신고를 하도록 되어 있는 사업으로서 대통령령으로 정하는 정보통신서비스 또는 전기통신사업

2. 과학기술정보통신부장관이 사업비의 전부 또는 일부를 지원하는 사업으로서 대통령령으로 정하는 정보통신서비스 또는 전기통신사업

 

③  제2항에 따른 정보보호 사전점검의 기준ㆍ방법ㆍ절차ㆍ수수료 등 필요한 사항은 대통령령으로 정한다.   [본조신설 2012. 2. 17]​
 

[표 1] 정보보호 사전점검 / 출처: 법제처

    정보보호 사전점검 권고 대상에는 정보시스템 구축에 필요한 투자금액이 5억원 이상(하드웨어ㆍ소프트웨어의 단순한 구입비용은 제외)인 정보통신서비스 또는 전기통신사업 분야가 있으며 주로 통신, 금융서비스, 인터넷 포털 사업 등이 이에 해당된다. 또 과학기술정보통신부장관이 신규 정보통신서비스 또는 전기통신사업의 발굴 및 육성을 위하여 사업비의 전부/일부를 지원하는 정보통신서비스나 전기통신사업도 포함하고 있다.   간혹 정보보호 사전점검이 정보보호 관리체계(ISMS, Information Security Management System)와 유사하다 생각될 수 있지만 둘의 차이점은 각각의 점검 목적에서 찾아볼 수 있다. 정보보호 사전점검은 말 그대로 계획 단계에서부터 시험 단계까지의 정보보호 사전 관리에 중점을 두고 있으며 그에 반해 정보보호 관리체계(ISMS)는 정보통신시스템 운영 단계에서의 정보보호 관리를 목적으로 한다.  

 

[그림 1] 정보보호 사전점검과 ISMS의 차이 / 출처: 정보보호 사전점검 해설서

    정보보호 사전점검을 시행함으로써 얻을 수 있는 효과는 크게 두 가지로 나눠 볼 수 있다. 먼저 구축 초기 단계부터 정보보호를 고려하고 보안 위협을 최소화하면서 정보 보안 수준을 향상시킬 수 있다는 것이다. 그리고 위험 요소를 사전에 분석하고 제거하는 과정을 통해 구축 완료 단계에서 발생할 수 있는 문제에 대한 조치 비용 또한 절감 가능하다.       ■ 정보보호 사전점검 어떻게 진행되는가?   정보보호 사전점검은 요구사항 정의 단계, 설계 단계, 구현 단계, 테스트 단계의 총 4단계로 구분되며 각 단계에 따라 지정되어 있는 항목을 순서대로 점검하도록 되어 있다. 첫 번째 단계인 요구사항 정의 단계에서는 정보보호 요구사항 정의, 개발보안 계획, 정보보호 정책 수립에 대해 점검 하고 두 번째 설계 단계에서는 목표시스템 보안설계, 목표시스템 보안기능 정의, 개발환경 보안설계에 대한 점검을 실시한다. 세 번째 구현 단계에서는 설계 단계에서 정의된 내용이 계획대로 잘 되었는지 살펴보는 보안기능 구현 검토, 시큐어코딩, 개발환경 보안관리에 대해 점검하며 마지막 테스트 단계에서는 보안점검을 수행하고 이관(전환) 보안대책을 수립하여 정보보호 사전점검을 끝마치게 된다. 정보보호 사전점검의 각 단계별 세부 점검 내용에 대해 함께 살펴보도록 하자.  

 

[그림 2] 정보보호 사전점검 방법 및 절차 / 출처: 정보보호 사전점검 해설서

   

1) 요구사항 정의 단계

 

요구사항 정의 단계에서는 ▷ 구축개발하고자 하는 목표시스템의 정보보호를 위해 필요한 사항을 현업부서와의 인터뷰를 통해 파악하고 ▷ 목표시스템 관련 법령 및 유관기관 규정을 분석하여 정보보호 요구사항을 정의하며 ▷ 변경사항에 대한 이력관리를 수행한다.

   

- 정보보호 요구사항 정의

 

정보보호 요구사항을 정의하기 위해서는 가장 먼저 기획단계에서 개발 및 구축하고자 하는 목표시스템의 정보보호 기본요건에 대해 분석하고 정의하는 작업이 선행되어야 한다. 그리고 그 과정에서는 시스템의 구축완료 예정일, 구축 추진일정, 네트워크 및 시스템 구성도, 정보보호 대책이 포함되어 있는지 검토할 필요가 있으며 반드시 기술적, 물리적, 관리적 보안대책이 포괄적으로 고려되어야 한다. 사업 기획단계에서 목표시스템에 대한 정보보호 기본요건이 도출되었다면 제안요청서에 그 사항을 정확히 명시하도록 한다. 더불어 개발환경에 대한 보안요건을 작성해 제안업체가 이에 부합하는 보안관리 방안을 제시하도록 고지할 필요가 있다.

 

그 다음은 구축하고자 하는 목표시스템과 관련된 법령과 유관기관 규정을 조사하고 관련 법규에 대한 준수성을 보장하는 단계로, 최신 법령 및 규정을 확인하며 정보보호 준거성을 검토하도록 한다. 예를 들어 정보통신 관련 서비스를 구축하는 경우에는 정보통신 이용촉진 및 정보보호 등에 관한 법에서 지정한 내용을 조사하고 결제 관련 시스템과 연동하거나 금융서비스를 하는 경우에는 금융감독원에서 정한 규정 등을 살피는 과정을 거치도록 한다.

 

목표시스템 서비스 담당자 및 관계자와의 인터뷰를 통해 정보보호 요구사항을 확인하는 것도 좋다. 그리고 인터뷰나 설문을 진행하여 확인한 내용과 관련 법령에서 명시한 보안요구사항을 토대로 정보보호 요구사항 정의서를 작성하도록 한다. 정보보호 요구사항은 별도 문서로 제작되지 않고 시스템 구축 요구사항 정의서에 포함해도 되지만 정보보호 요구사항 정의서에는 담당자와 관련 법령, 구축 방안 등이 기재되어야 한다. 정보보호 요구사항이 추후 변경될 경우에는 이력관리를 수행해야 하고 이력관리 사항은 문서 앞에 별도로 기록 관리한다.

 

마지막으로 발생 가능한 위협을 사전에 파악하고 정리하는 정보보호 위협 정의 과정이 필요하다. 이 때 목표시스템을 구성하는 정보시스템의 종류에 따라 구분하여 작성하도록 하는데 정보시스템, 무선시스템, 제어시스템, 클라우드, IoT 등으로 1차 분류 후 하위 범위까지 상세하게 구분해나가는 것이 좋다. 또 자산의 특성에 따른 위협과 취약점을 분석하여 목록화하는 것에서 더 나아가 비용대비 최대의 효과를 낼 수 있는 보호대책을 선정해 설계서에 반영하도록 한다. 더불어 최근 발생한 침해사고에 대한 정보를 반영하기 위해서는 한국인터넷진흥원 침해사고 대응센터포털(www.krcert.or.kr)과 각종 언론을 이용하는 것이 좋으며 신규 취약점 정보는 정보자산의 제조사 홈페이지를 통해 살펴볼 수 있다. 만약 최신정보가 업데이트되지 않았다면 직접 제조사로 연락을 취하여 적극적으로 문의해보도록 하자.

   

- 개발보안 계획

 

개발보안 계획은 크게 목표시스템을 구축할 사업자를 선정하고 개발보안을 위한 전반적인 계획을 수립하며, 개발자를 포함한 참여인력을 위한 정보보호교육 계획을 수립하는 단계라고 할 수 있다. 먼저 구축 사업자를 선정할 때에는 사업자가 목표시스템 구축 초기 정의한 정보보호 요건에 대해 제안요청서에 포함한 내용을 충실하게 이행가능한지를 중점적으로 검토하여 판단하는 것이 좋다. 

 

개발보안 계획은 목표시스템 전반에 걸친 사전점검을 수행하기 위한 계획으로, 수립 시 보다 체계적으로 진행될 필요가 있으며 각 구축 단계별 요구되는 개발활동 및 이에 따른 세부 항목들을 담은 정보보호 사전점검 수행계획서를 작성해야 한다. 마지막으로 참여인력에 대한 교육 및 훈련에 대해서는 투입되는 모든 인원의 업무 특성에 맞게 계획되고 이행되어야 하며, 정보보호 교육 안에 구축업무의 특성 전부가 반영되도록 해야 한다.

   

- 정보보호 정책 수립

 

정보보호 정책 수립은 소스코드 보안관리를 위한 시큐어코딩 규칙을 수립하고 침해사고 대응, 변경관리, 장애관리와 같은 목표시스템 운영을 위한 정보보호 정책을 수립하는 단계이다.

 

이 단계에서 가장 먼저 실행되어야 하는 것은 바로 개발보안 정책의 수립이다. 다시 말해 목표시스템 개발과 관련된 정보보호정책을 수립하는 것인데, 정보보호 정책은 목표시스템이 구축되는 환경에 따른 시스템 보안관리를 고려하여 만들어져야 한다. 또 정보보호 정책은 목표시스템의 구축 단계인 요구사항 정의, 설계, 구현, 테스트 단계별 보안관리를 위한 정책으로 구성되어야 한다. 보통 정보보호 관리체계를 수립하여 운영하는 기업은 정보보호 규정, 지침, 절차 등이 수립되어 있지만 기존 정보보호 관리체계에서 개발보안 정책이 없을 경우에는 개발보안을 위한 정책을 별도 수립해야 할 것이다.

 

그 다음은 소스코드 보안관리 정책 수립이다. 시큐어코딩은, 어플리케이션 개발환경 또는 언어가 갖는 구조 등에 따라 각기 다른 기능적 취약점이 가지고 있기 때문에 구축환경에 알맞은 시큐어코딩 규칙을 수립해야 하며 응용프로그램을 개발하는 개발자에게는 안전한 코딩 규칙 수행을 위한 교육이 지속적으로 병행되어야 한다.

 

마지막으로 목표시스템 운영관리를 위한 정책을 수립해야 한다. 이는 시스템 구축 후 운영단계에서 요구되는 정보보호정책으로 그 기업의 환경이나 서비스에 따른 규정, 지침, 절차 등과 침해 사고 발생에 대비한 침해사고 대응지침으로 구성된다. 침해사고 대응지침에는 침해사고 대응조직, 유형별 심각도, 보고체계, 비상 연락망 등이 포함되어야 하는데 만약 이미 운영관리를 위한 정책을 수립하여 운영하고 있는 경우에는 신규 구축하는 시스템이 기존에 수립된 정책을 준수할 수 있는지 검토하고 필요에 따라 신규 지침을 마련하도록 한다.

 

개발단계

정보보호 사전점검

수행 단계​

사전점검 대상자

주관 기관

구축 사업자

계획

사전준비 단계

[요구사항 정의]​ 

ㆍ사전점검 신청여부 결정 ㆍ개발보안 요건정의 ㆍRFP 발송 ㆍ구축사업자 선정​  ㆍ제안서 제출 ㆍ개발보안 계획수립 ㆍ정보보호 요구사항 정의 ㆍ개발환경 보안정책 수립​ 
 

[표 2] 계획단계 수행 과업 / 출처: 이글루시큐리티

 

 

2) 설계 단계

 

이 단계에서는 ▷ 목표시스템에 대한 정보보호 요구사항과 관련 법규를 준수하고 ▷ 정보보안 위험을 최소화할 수 있도록 설계하는 것을 목표로 한다. 보안설계는 목표시스템을 구성하는 정보자산 특성에 따라 인프라, 어플리케이션, 데이터, 단말기, 인터페이스로 구분하여 설계하도록 한다.

   

- 목표시스템 보안설계

 

목표시스템 보안설계를 위해 가장 먼저 선행되어야 하는 것은 인프라 보안설계이다. 우선 정보시스템, 제어시스템, 클라우드, IoT 등 각기 다른 정보자산을 식별하는 과정을 거친 후 서버, 네트워크, 단말기, 디바이스 설비까지 모든 항목에 대해 목표시스템을 구성하는 하드웨어 인프라 측면의 정보보호 아키텍처를 설계한다.

 

목표시스템이 위치할 물리적 장소에 대한 보안대책 역시 마련되어야 한다. 해당 보호책은 ‘보안아키텍처 모델’에 따라 설계하고 물리적 출입통제의 보안관리에 대한 부분은 목표시스템이 위치한 장소 환경에 따라 그에 맞게 수립하도록 한다.

 

 

 

[그림 3] 인프라 보안 아키텍처 모델 설계 / 출처: 정보보호 사전점검 해설서

   

그 후 어플리케이션, 데이터, 단말기, 인터페이스 각각을 위한 보안을 설계하도록 한다. 먼저 어플리케이션 보안설계를 위해서는 다양한 응용프로그램 환경에 대해 정보자산의 특성을 사전에 파악하고 서비스 형태에 따른 응용 프로그램에 맞는 보안을 설계할 필요가 있다. 예를 들어 정보시스템은 데이터의 기밀성을 우선적으로 고려하고 있고 제어시스템은 가용성을 우선적으로 고려한다. 이는 생산성을 목적으로 하고 있는 제어시스템의 긴급성을 고려한 부분으로서 서비스 목적에 따라 우선시하는 것이 다르기 때문에 보안대책 또한 서비스의 형태 및 목적에 알맞게 설계하는 것이 바람직하다.

 

데이터에 대한 보안설계 역시 마찬가지다. DBMS의 종류에 따라 위협 및 취약점이 다양하고 목표시스템을 구성하는 DB 정보자산의 특성이 각기 다르기 때문에 이를 고려한 보안설계가 이뤄져야 한다. 단말기 보안설계는 PC, 노트북, 테블릿PC, PDA 등 목표시스템을 구성하는 단말기 현황을 파악하고 정보자산 구성현황에 적합하도록 설계되어야 한다. 인터페이스의 경우엔 연계되는 인터페이스를 목록화하고 데이터 전송방식에 따라 보안을 설계한다. 이 때 수요기관 내부 시스템과 연계되는 인터페이스와 외부 다른 시스템과 연계된 인터페이스를 구분하여 설계해야 하는 것을 명심하도록 한다.

   

- 목표시스템 보안기능 정의

 

목표시스템 보안기능 정의는 보안 아키텍처에서 도출된 보안기능에 대한 상세 내용을 보안기능 설명서로 작성하여 추후 참고자료로 활용하기 위해 이뤄지는 작업이다. 보안기능 설명서는 보안기능 상세 내역, 성능 및 용량, 구매 또는 자체개발 여부, 구축절차 및 방법, 구축일정 및 담당자, 운영관리법 등이 포함되도록 한다.

 

먼저 인프라 보안기능 정의에는 서버, 네트워크, 보안장비, 시설, 설비 등 보안설계에서 도출된 개별 보안기능에 대해 필요한 정보를 모두 포함해야 한다. 어플리케이션 보안기능 정의를 위해서도 정보시스템, 제어시스템, 클라우드와 같은 어플리케이션 측면의 보안설계에서 도출된 주요 보안기능 및 구축 시 필요한 정보를 포함해야 하며 데이터 보안기능 정의를 위해서도 동일하게 데이터 측면의 보안설계에서 도출된 개별 보안기능에 대한 주요 기능과 구축 시 필요한 정보를 포함해야 한다. 단말기 보안기능 정의는 PC, 노트북, 테블릿PC, PDA 등 단말기 보안설계에서 도출된 개별 보안기능과 구축 시 필요한 정보를 보안기능 설명서에 상세히 정리해야 하며 인터페이스 보안기능 정의에는 인터페이스 보안설계에서 도출된 보안기능에 대해 주요기능과 구축 시 필요한 정보를 반드시 포함하도록 한다.

   

- 개발환경 보안설계

 

개발환경 보안설계 단계에서는 말 그대로 목표시스템을 개발하는 환경에 대해 정보보호 요구사항 및 관련 법규를 준수하고 정보보호 위험을 최소화할 수 있도록 하는 보안대책을 수립한다. 이 때 정보자산 특성에 따라 인프라, 어플리케이션, 데이터, 단말기 등으로 구분하여 설계하도록 한다. 보다 자세히 설명하자면 개발시스템 보안설계를 할 때는 서버, 네트워크, 단말기, 디바이스 설비 등 개발환경에서 구성하는 정보자산 특성에 따라 개발환경 정보보호 아키텍처를 설계하는 것이 좋다. 일반적으로 개발환경은 운영환경보다 낮은 수준의 보안관리가 수행되고 있지만 개발 소스의 유출 또는 백도어와 같은 악성코드 유입을 차단하기 위해 개발계, 테스트계, 운영계로 구분하여 개발환경 보안을 설계하도록 권해진다.

 

물리적 보안설계 시에는 개발서버와 개발자 사무실에 대한 물리적 출입통제, 감사추적 등을 확보할 수 있도록 구성하고 시스템 개발을 원활하게 수행하기 위한 별도의 개발공간을 활용하도록 한다. 개발자 단말기 보안설계는 개발환경에서 사용하는 단말기 현황을 파악하고 정보자산의 특성에 따라 인증, 접근통제, 데이터보호, 암호화, 감사, 위협탐지와 같은 보안기능으로 구분하여 설계해야 한다.

 

개발단계

정보보호사전점검

수행단계​ 

사전점검 대상자

주관 기관

구축 사업자

설계

개발보안 이행단계

(설계)

ㆍ보안설계 검토  ㆍ목표시스템 보안설계 ㆍ개발환경 보안설계​ 
[표 3]. 설계단계 수행과업 / 출처: 이글루시큐리티

 

 

3) 구현 단계

 

목표시스템의 보안기능이 정보보호 요구사항을 만족할 수 있도록 구현되었는지 확인하여 안전성을 확보하는 단계이다.

 

 

- 보안기능 구현검토

 

인프라 보안기능 검토는 인프라 보안기능 설명서에서 정의한 요건에 따라 보안대책이 구현되었는지를 확인하기 위한 작업으로 인프라 시스템의 용량, 성능, 위험관리, 정책관리, 운영관리 등을 확인하게 된다. 어플리케이션 보안기능 검토는 개발자가 코딩으로 구현한 보안기능에 대해 안전하게 보호대책이 구현되었는지 모니터링하며 진행되는데 검토하는 과정은 각 보안기능마다 다르게 구성할 수 있으며 보안기능 구현 검토문서에 대한 이력관리를 수행한다. 데이터 보안기능 검토는 데이터보안 시스템의 용량, 성능, 위험관리, 정책관리, 운영관리 등을 확인하며 단말기 보안기능 검토와 인터페이스 보안기능 검토 역시 설계단계에서 정의한 보안기능 설명서에 따라 보안대책이 적절히 구현되는지를 확인한다.

 

 

- 시큐어코딩

 

시큐어코딩 단계에서는 안전하게 코딩이 이루어지도록 주기적인 소스코드 보안점검을 실시하고 검증된 개발 도구를 활용하여 시큐어코딩 규칙에 따른 어플리케이션을 개발한다. 또 형상관리를 수행하는 등 전반적으로 프로그램 무결성을 확보하는 것을 목적으로 한다.

 

가장 먼저 소스코드 보안관리를 위해서는 소스코드 구현 시 인가된 프로그래밍 도구만을 사용할 수 있도록 해야 한다. 그리고 이와 동시에 필요한 도구 사용에 제약이 없도록 목표시스템 구축을 위한 개발도구를 미리 선정하고 라이선스를 확보해놓는 것이 좋다. 더불어 소스코드 변경내역을 체계적으로 기록하기 위해 SVN, SCM과 같은 전용시스템으로 형상관리를 수행하도록 한다. 형상관리시스템을 이용할 경우에는 수요기관의 정보보호 정책을 적용하여 보안관리를 수행한다.

 

마지막으로 안전한 코딩을 위해서는 구현단계의 단위 테스트를 통해 개발자는 본인이 개발한 프로그램에 대한 소스코드 보안점검을 자체적으로 수행하고 발견된 취약점에 조치하여야 한다.

 

 

- 개발환경 보안관리

 

개발환경 보안점검을 위한 관리자를 지정하여 사무실, 전산실 출입통제, 내부정보 유출방지, 인원 보안관리 등 관리적, 물리적, 기술적 보안관리를 수행할 수 있도록 한다. 개발환경 보안관리자는 개발 규모에 따라 프로젝트 전담 정보보호관리자를 별도로 지정하거나 수요기관의 정보보호팀 인력으로 배정할 수 있다. 개발환경 보안점검은 이렇게 지정된 정보보호관리자에 의해 정기적으로 수행되고 인원보안, PC보안, 네트워크 보안, 개인정보보호 등을 포함해야 한다. 또 개발업체가 개발보안 정책을 준수하는지 확인하기 위해 연 2회 이상의 보안감사를 수행하도록 한다.

 

개발시스템의 취약점 진단 역시 정기적으로 수행되어야 한다. 취약점 진단은 정보자산 특성을 고려해 기술적 취약점 진단 항목을 미리 규정하고 실시하도록 하며 발견된 취약점에 대해서는 보호대책을 적용한다. 정밀 취약점 진단은 연 2회 이상 수행하도록 하고 만약 취약점에 대한 조치가 불가능한 경우가 발생한다면 정보보호책임자의 서명을 받아 관리한다.

 

개발단계

정보보호사전점검

수행단계

 

사전점검 대상자

주관 기관

구축 사업자

구현

개발보안 이행단계

[구현]

ㆍ테스트 단계준비  ㆍ시큐어코딩 ㆍ개발환경 보안관리​ 
[표 4]. 구현단계 수행과업 / 출처: 이글루시큐리티

 

 

4) 테스트 단계

 

마지막 테스트 단계에서는 목표시스템의 안전성을 확인하는 것을 목표로 관리적, 물리적, 기술적 보안점검을 수행하고 발견된 취약점에 대한 조치를 수행한다.

 

 

- 보안점검 수행

 

시스템의 안전성 확보를 위한 보안점검은 목표시스템의 서비스 형태 및 구성환경에 따라 개발된 점검 체크리스트를 바탕으로 수행되어야 한다. 정밀 취약점 진단은 설계단계에서 정의한 목표시스템 정보자산 종류에 따라 진단하고 발견된 사항에는 보호대책을 적용한다. 그러나 취약점을 노리는 공격이 날로 증가함에 따라 이글루시큐리티를 비롯한 주요 보안업체들은 취약점 진단조치를 자동적으로 실행할 수 있는 솔루션을 출시하고 있으며 오늘날 많은 기관 및 기업들은 취약점에 대한 체계적인 점검과 관리를 위해 이를 도입하는 추세를 보이고 있다. 상시 점검을 통한 신규 취약점에 대한 빠른 식별 및 대응 역량을 확보하기 위해서다.

 

 

[그림 4] 보안 진단 자동화 솔루션 Smart[Guard](스마트가드) / 출처: 이글루시큐리티

 

 

모의해킹을 통한 보안점검도 진행된다. 모의해킹은 외부 해킹 위협에 대해 안전한지를 검증하기 위해 실시되는데 이는 취약점 진단과 다소 차이가 있다. 취약점 진단은 어플리케이션에 존재하는 취약점 자체를 진단하는 것인 반면 모의해킹은 홈페이지, 정보보호시스템, 네트워크장비 등의 취약점을 이용하여 내부 정보시스템 접근권한 획득 및 정보유출에 대한 가능성을 진단한다.

 

 

개발단계

정보보호사전점검

수행단계

사전점검 대상자

주관 기관

구축 사업자

시험

개발보안 이행단계[테스트]

ㆍ사전점검 결과검토  ㆍ보안점검 수행 ㆍ사전점검 결과보고서 작성​ 
  

[표 5] 테스트단계 수행과업 / 출처: 이글루시큐리티

 

 

- 이관(전환) 보안대책

 

이관 보안대책은 목표시스템을 개발환경에서 운영환경으로 안전하게 이관하기 위해 필요한 활동들 세분화하여 수립한 실행계획을 의미한다.

 

마지막으로 정보보호 사전점검을 수행하고자 할 때 명심해야 할 것은, 도입구축하려는 사업이 정보보호 사전점검 권고대상에 속한다면 정보보호 사전점검 확인서 발급을 위한 신청서를 제출할 필요가 있다는 것이다. 그리고 이를 위해서는 단계별 통제항목에 따라 개발보안을 이행해 관련 증적자료를 확보해야 하기 때문에 시스템 구축 초기 단계에서부터 정보보호 사전점검 신청 여부를 결정하는 것이 좋다. 한국인터넷진흥원(KISA)에서는 정보보호 사전점검 명세서를 토대로 대상 서비스 환경과 목표시스템 구축 단계별 동제항목의 이행 현황을 파악하고 현장 방문을 통해 적정성을 검토하기도 하며 현장실사 완료 후에는 통제항목별 보안조치 충족여부에 따라 정보보호 사전점검 확인서를 발급해준다.

 

 

■ 정보보호 사전점검, 꼭 필요할까?

 

정보보호 사전점검은 앞서 언급한 법령에서도 명시되었듯 어디까지나 권고사항이기 때문에 의무적으로 반드시 따라야 하는 것은 아니다. 그러나 새로운 시스템을 구축하거나 구조적인 변경이 있을 때 사후에 정보보안에 대한 취약점을 조치하는 것은 어려울 수 있다. 왜냐하면 이미 구축된 시스템의 구조적인 취약점의 경우 시스템을 수정하기 위한 공수(비용)이 매우 높을 수 있기 때문이다. 따라서 정보보호 사전점검은 체계적으로 정보보안에 대한 취약점을 사전 봉쇄함으로써 기초부터 탄탄한 정보통신서비스를 구축할 수 있도록 돕는다. 사실 완벽한 보안은 없다라는 말이 보안업계 정설처럼 여겨지는 요즘, 유비무환(有備無患)의 자세는 그 어느 때보다도 보안 담당자가 지녀야 할 태도가 아닐까? 그리고 더 나아가 자체적으로 보안성 검토 절차를 수립해 시행하는 기업 및 기관들도 존재하겠지만 보다 체계적이고 전문적인 점검을 위해서는 외부 전문기관을 통하여 진행하는 방법을 권고하는 바이다.​