KISA IT 보안 가이드라인(1/2) - IT 보안의 개관과 문제점

1.서론
정보통신 기술이 없는 21세기는 상상조차 할 수 없다. 따라서 IT 환경에 대한 보호가 더욱더 중요해지고 있다. 또한 IT보안에 대한 관심의 증가는 법률의 변화도 일으키고 있다. 즉 기업의 이사들에게 위험 예방에 대하여 개인적인 책임을 부과하고 있는 것이다. 그러나 만족할 만한 수준의 보안 상태를 달성하고 유지하는 것은 매우 곤란한 일이다. 여기에는 자원 부족, 예산 압박, 날로 복잡해지는 IT시스템과 같은 여러 가지 원인이 작용한다. 나아가 다양한 IT 보안제품과 컨설턴트들로 인하여 매우 다른 해결책이 제공되고 있는 것이다. 따라서 전문가들조차도 전반적인 시각을 유지하기가 곤란하게 된 것이다. 지난 수년 동안 독일연방공화국의 연방정보보안청(Federal office for Information Security: BSI)은 IT보안에 대해 정보와 지원을 제공해왔다. BsI의 "IT 보호 기본 메뉴얼(IT Baseline Protection Manual)"은 IT보안에 관한 가장 총괄적인 표준 책자로 인정받고 있다. 이 책자는 각종 기업체 및 공공기관에서 보안대책을 마련하는 토대로 활용되고 있다. 정보기술이 발달함에 따라 "BSI IT 보호 기본 매뉴얼" 역시 보다 복잡해지고 광범하게 되었다. 따라서 자금 및 인력의 제약을 받는 중소기업에서는 신속하고 용이하게 정보보안을 실행할 수 있는 자료가 더욱 필요하다고 할 수 있다.

IT 보안 가이드라인은 가장 중요한 IT보안대책에 대하여 비전문가도 쉽게 이해할 수 있도록 개괄적으로 기술하고 있다. 또한 조직에서 발생하는 실제사례를 통하여 위협 요인을 설명하고, 안전조치(gafeguard) 부문에 대하여 중점적으로 설명하고 있다. 그러나 기술에 관한 세부적 접근은 가급적 피하였다.다시 말해서 IT 보안 가이드라인의 권장사항을 따르거나 이를 IT 서비스업체와 서비스 계약을 체결할 때 이 가이드라인을 적용하는 것은 견고한 IT 보안망 구축을 위한 토대를 마련하는 것이라고 할 수 있다.

2. IT 보안에 관하여
안전(security)에 대한 바램은 인간과 사회가 지닌 기본적인 바램이라고 할 수 있다. 세계화와 유동성이 증가하고, 정보통신기술에 대한 의존성이 날로 심화하는 오늘날에는 특히 안전을 향한 바람이 보다 확고하다고 할 수 있다. 취약성의 증가와 IT문제로 인한 막대한 금전적 손실의 위협이 증가하면서 적극적인 IT 보안 관리를 통하여 피해를 예방하고 위험을 최소화하기 위하여 일정한 조치를 취하여야 한다는 주장이 강력하게 제기되고 있다. 그러나 IT 보안에 대한 책임은 관련 IT부서에만 국한되지 않는다. 보안은 오히려 경영과 관련된 문제이다. 입법자들도 이러한 사실을 인지하고 있다. 현재 각종 법률 및 규정은 IT보안과 관련하여 필요한 조치를 실행하지 못할 경우 이사들로 하여금 개인적으로 책임을 부담하도록 하고 있다, 흔히 IT 보안대책(measure)에는 보안기술에 대한 막대한 투자와, 보안대책을 실행하기 위해서는 고도로 숙련된 전문 인력이 필요한 것으로 알려져 있다. 하지만 이는 사실과 다르다. IT 보안대책의 성패를 가늠하는 주요 요소는 상식과 잘 정비된 조직절차, 그리고 충분한 지식을 바탕으로 독자적, 전문적으로 보안요건을 일목요연하게 준수해나가는 신뢰할 만한 인력이다. 효과적인 IT 보안개념을 고안하고 시행하는 데 반드시 막대한 자금이 소요되는 것은 아니다. 가장 효과적인 보안수단은 의외로 간단한 경우가 많으며, 비용을 전혀 들이지 않고도 달성하는 경우도 있다.

일반적인 널리 확산되어 있는 오해 중 하나는 실질적인 보호 요구조건과 관련되어 있다. 다음과 같은 말을 들어본 적이 있을 것이다."예전에는 사고가 난 적이 없었어요." 이는 실로 지나치게 자만하는 말이다. 예전에도 보안 사고는 있었지만 모르고 지나쳤을 뿐이다. "왜 우리 회사를 공격하려고 할까요, 그렇게 대단한 기밀 데이터도 없는데 말이죠." 이는 지나치게 단순한 발상이다. 예상 가능한 피해발생 시나리오를 꼼꼼하게 살펴보면 일부 데이터가 불순한 의도를 가진 사람의 손에 들어갈 경우 얼마든지 부적절한 용도로 악용될 가능성이 있다는 사실을 금방 알 수 있다,"우리 네트워크는 안전합니다." 침입자의 능력을 과소평가하고 있다. 더욱이 아무리 숙련된 네트워크, 보안 전문가라도 완벽할 수는 없으며 때때로 실수를 저지르기 마련인 것이다. 외부 점검은 거의 매번 심각한 취약점을 발견하는 계기가 되며 "운영상의 맹점(operational blindness)" 에 대한 훌륭한 예방 수단이 된다. "우리 직원들은 믿을 수 있습니다." 그러나 종종 통계자료를 살펴보면 현실은 이와 매우 다르다는 것을 알 수 있다. 대부분의 보안 사고는 내부자에 의하여 발생하고 있습니다. 또한 이러한 보안사고가 악의적인 의도에 의하여 발생하는 것은 아니다, 관심의 부족이나 지나친 열성, 문제에 대한 인식이 부족한 상태에서 호기심이 발동해 사고를 저지른 경우에도 심각한 피해를 야기할 수 있다.보안은 정체되어 있는 것이 아니라 끊임없이 진행되는 과정이라는 사실을 인식해야 한다. 따라서 항상 다음과 같은 문제점에 대하여 스스로 자문해봐야 한다.

• 조직의 기밀정보가 제3자의 수중에 들어갈 경우 부적절한 용도로 사용될 수 있는가?
• 데이터를 전송하거나 서버 상에서 중요한 정보를 변경할 경우에 어떤 결과가 발생할 것인가? 이는 익명의 제3자가 악의적으로 자행한 사고가 아닐 수도 있으며 기술상의 오류일 가능성도 있다.
• 조직 내부의 중요한 컴퓨터나 기타 lT 컴포넌트가 갑자기 작동 이상을 일으켜 얼마 동안(수일이나 수주 등) 사용할 수 없게 된다면 어떤 결과가 야기될 것인가? 직원들은 소관업무를 계속 처리할 수 있을 것인가? 피해규모는 어느 정도나 될 것인가?

잘 구상된 IT 보안개념을 일단 실행에 옮기게 되면 보안 상태를 향상시킬 뿐 아니라 기타 여러 가지 부수적인 효과를 얻을 수도 있을 것이다. IT 매니저는 종종 다음과 같은 "부수적인 효과"를 경험하게 된다.

1. 직원의 업무처리 능력 및 업무의 질이 향상된다. : 적극적인 IT보안 경험을 통해 책임감 있는 행동과 고객 우선주의, 조직과 직원의 목적 동일화 현상이 조직 문화로 깊게 뿌리내릴 것이다.
2. 경쟁우위 : 보안이 있다는 사실 자체만으로도 고객과 기타 비즈니스 파트너에게 신뢰감을 줄 수 있으며, 파트너들은 더욱 확실한 IT보안 정책을 요구할 것이다.
3. lT시스템에 대한 관리 작업의 시간 단축과 관리자의 효율성 제고관리자와 사용자가 자신들의 시스템을 보다 잘 파악할 수 있게 된다. IT시스템에 대하여 충실하게 기록할 것이며, 이 기록으로 인하여 관리업무 및 기획, 소프트웨어 설치, 문제해결 과정이 보다 용이해 질 것이다. 나아가 IT보안 개념의 올바른 정립은 관리자들이 통상 겪는 문제점들을 경험하지 않도록 해 줄 수도 있다. 즉 각각의 사용자가 동일한 목적을 위해 서로 다른 프로그램의 사용하거나, 상이한 운영체제를 지원하는 것, 서비스 되는 소프트웨어의 버전이 각기 다르다는 것, 사용자마다 각자 다른 접근제어 체계를 가지고 있다는 것, 사용자가 필요한 전문지식을 구비하지 않은 채 각자 워크스테이션을 구성하고 개인 소프트웨어를 사용하고 있는 것 등이 문제점에 해당한다고 할 수 있다. 이 같은 "컴퓨터 혼란(computer chaos)"을 중앙에서 관리하기란 사실상 불가능하다. 모든 컴퓬터가 일일이 분석되고 관리되어야 하기 때문에 정보보안과 관련된 활동의 증가가 요구된다.

3. IT보안과 관련된 중요개념
IT보안의 3가지 기본가치
* 기밀성(confidentiality), 가용성(availability), 무결성(integrity)기밀성 :

• 기밀 정보는 허가(permisson) 없이 공개되지 않도록 보호해야 하는 정보이다.
• 가용성 : 서비스, IT 시스템 기능 및 정보는 사용자가 필요로 할 때마다 이용할 수 있어야 한다
• 무결성 : 데이터는 완벽하고 어떠한 변조도 없어야 한다 정보기술에 있어 "정보"란 용어는 상황에 따라 작성자나 작성 시간과 같은 일정한 특성이 지정될 수 있는 "데이터"를 지칭한다 그러므로 정보가 무결성을 상실하면 이와 같은 데이터가 별도의 권한 없이 변경되었고, 작성자와 관련된 정보가 변조되었으며, 작성일이 조작되었다는 것을 의미한다.

그밖에 자주 사용되는 용어는 다음과 같다.

• 인정 (Authentication) : 인정이란 시스템에 로그온 하는 경우 시스템에 로그온 하는 사용자의 신원을 파악하거나 식별하는 것을 의미한다 아울러 IT 컴포넌트 및 애플리케이션을 점검하는데 사용되기도 한다.
• 인증(authorization) : 인증은 사용자나 lT 컴포넌트, 애플리케이션이 특정 행위를 수행하도록 허가를 받았는지 여부를 점검하는 과정을 수반한다
• 데이터 보호 : 데이터 보호는 인적 사항에 관한 데이터가 제3자에 의해 악용되지 않도록 보호하는 것을 의미한다 (단 데이터 보안과 혼동해선 안된다)
• 데이터 보안 : 데이터 보안이란 적정한 기밀성, 가용성 및 무결성의 요건과 관련하여 데이터를 보호하는 것을 말한다 이를 가리키는 또 다른 용어로는 'IT보안'이 있다,

4. IT보안 관련 독일의 법률 규정
소속 기관의 데이터가 공개되었다거나, 악의적 또는 우연히 복구가 불가능할 정도로 파괴되었다고 상상해보라. 또는 바이러스에 감염된 e메일이 소속 기관의 이름으로 대량 발송되는 사태를 상상해보라 이럴 경우 기관 및 답당 자에게 어떤 결과가 초래될 것인가?

IT보안에 관한 법률요건의 개관
지난 수년 동안 몇몇 법규의 시행으로 기업 이사들이 IT보안을 실행하고 IT보안에 대한 책임을 부담하게 되었다, 이와 같은 법률에서 규정된 요건들은 공기업과 사기업에 동일하게 적용된다. 그러나 이러한사실이 아직은 일반인들에게 널리 알려지지 않은상태이다. 이런 맥락에서 "영업 통제와 투명성에 관한 법(Control and Transparency in Business Act(KonTraG)"은 항상 참조의 대상이 된다. 이 법은 "독일 상법(the German Commercial Code)" 및 "독일 주식회사법(the German Stock Corporation Act)" 등과 같은 법률들의 내용을 개정 또는 보완한 것이다. 특히 이 법에서 규정하고 있는 공기업 및 사기업의 위험관리에 관한 법률규정들은 이전의 법규에서는 규정하지 않고 있는 것이다.

또한 IT보안과 관련하여 구체적으로 다음과 같은 조항이 있다. "독일 주식회사법(Gernan stock Corporation Act)(AktG)"은 기업의 이사가 위험관리를 통하여 장래에 기업에게 위험이 될 사태 전개를 감시하는데 실패하고 적절한 예방 수단을 취하지 않은 경우 이사 레인이 책임을 부담하도록 있다(동법 제91조 제2항 및 제93조 제2항, AktG) "유한책임회사법(Limited Liability Companies Act(GmbHG))"은 민간 기업(Private Limited company)의 이사들에게 "선량한 관리자로서의 주의" 의무를 규정하고 있다. (제43조 제i항, GmbHG ) "독일 주식회사법" 에 명시된 이사들의 의무는 독일 "상법(Commercial Code(HGB))"의 범위 내에서 적용된다.(제317조 제4항, HGB) 더구나 "독일 상법"은 "미래에 전개될 위험이 정확하게 제시 되었는지"를 확인할 것을 감사들의 의무사항으로 규정하고 있다. (317항 2문단, HGB) 이들 법규 중 일부 내용은 상당히 일반적이고 모호하게 생각될 수 있다. 그러나 실제로는 이와 같은 규정들이 기업의 IT보안을 적정 수준으로 담보하는 구체적인 의무 사항의 기초를 형성하게 된다. IT보안 사고가 발생하면 막대한 재정적 손실이 야기될 수 있으며 최악의 경우 기업의 존립마저 위협 받게 되기 때문이다, 의사, 변호사, 기타 대인 서비스 직업과 관련하여, "독일 형법(German Penal Code(StGB))"은 환자나 고객에 대한 자세한 기밀정보가 본인의 사전 동의 없이 공개될 경우의 형벌에 대해서도 규정하고 있다,(203항, stGB). 따라서 정보기술의 방만한 관리로 개인 정보가 유출된 경우에는 이와 같은 형벌이 부과될 수도 있다.

또한 독일은 소비자 보호와 관련한 법률을 다양하게 규정하고 있다. 그 내용 중에는 정보기술의 사용 및 인터넷, 통신 서비스에 대하여 상세하게 규정하고 있는 것도 있다. 예를 들어 "통신서비스 사용에 관한 법(the Use of Teleservices Act)"과 "정보통신법(the Telecommunications Act)" , "독일 미디어 서비스에 관한 주간 협약(the German Interstate Treaty on Media Services)", 저작권 규정 , 각종 EU 규정이 이에 해당된다. 개인정보 관리에 관하여 연방 및 주 정부의 데이터 보호 법령과 "통신서비스 분야 의 데이터 보호에 관한 법(the Act Concerning Data Protection in Teleservices)", "정보통신 데이터 보호 규정(the Telecommunication Data Protection Regulation)" 이 주로 규정하고 있으며, 앞에서 언급한 법률들도 어느 정도는 관련이 있다. 오늘날 은행은 대출할 경우 대출자의 IT 위험 정도를 감안할 의무를 부담하고 있으며 인준 대출 조건에 직접적으로 영향을 주고 있다. 그러므로 IT보안이 중요하다는 것을 입증하는 데에는 수많은 다양한 근거들이 있다. IT보안을 위하여 전문가를 찾아 현재의 관련 법률 현황에 대한 설명을 들어볼 것을 권유한다.

5. IT 보안을 하지 않으면 어떻게 될 것인가?:관련 사례
사례 1. 백업이 없는 경우
예를 들어 00 법률사무소에서 모든 데이터가 저장된 중앙 서버를 기반으로 소규모 네트워크를 운용하고 있다고 생각해보자. 이 서버는 정기적으로 백업자료가 저장되는 테이프 드라이브(Tape driver)를 내장하고 있다. 관리자는 백업 테이프를 자물쇠가 달린 사무실 캐비닛에 보관한다 어느 날 하드디스크의 이상으로 서버가 다운되는 바람에 백업 테이프를 통하여 데이터를 복원해야 할 필요성이 생겼다 그러나 살펴본 결과 얼마 전 테이프드라이브에 이상이 발생하여, 백업 테이프에 저장된 데이터가 하나도 없다는 사실이 밝혀졌다. 더구나 사용 가능한 백업 테이프는 5년 이상 된 것뿐이다. 결과적으로 지난 몇 년 동안의 데이터를 모두 잃은 것이다. 관리자는 백업을 계획함에 있어 또 다른 위험 발생 가능성을 간과하였다. 즉 테이프 드라이브가 제대로 작동한다고 하더라도 화재나 이와 비슷한 재해가 발생하면 데이터 원본뿐만 아니라 캐비닛에 보관중인 백업 자료까지도 소실될 수 있다는 사실을 놓쳐버 린 것이다.

사례 2. 컴퓨터 바이러스감염
전사적으로 바이러스 스캐너(virus scanner)를 사용하는 회사가 있다. 하지만 바이러스 스캐너는 운영체제 업데이트 내용의 일부분으로 아주 가끔씩만 업데이트되고 있는 실정이다. 그러던 어느 날 IT부서에 인터넷을 통하여 수신자에게 확산되고 있는 신종 e메일 바이러스에 대한 경고 메시지가 떴다. 그러나 이 회사는 새로운 바이러스 정의와 함께 바이러스스캐너 일체를 신속히 업데이트할 수 있는 자동 업데이트 메커니즘을 갖추고 있지 않고 있다. 따라서 응급대책의 일환으로 메일 서버를 인터넷으로부터 차단시켰다. 하지만 내부 네트워크가 이미 침입을 받은 바람에 바이러스의 확산을 막을 수 없게 되었다고 결과 이 바이러스로 인하여 사무실의 자료가 잇따라 파괴됨에 따라 모든 컴퓨터의 네트워크 연결을 차단하여야만 했다 그 결과 IT담당자가 각 컴퓨터에 일일이 바이러스 스캐너의 업데이트를 설치하고, 이미 감염된 컴퓨터를 "치료"해주기만을 기다려야 한다. 수일 동안 전 IT시스템 운영이 마비될 수밖에 없었다. 그리하여 데이터 파괴와 주문에 대한 생산의 지연 사태, 업무시간누락으로 인하여 막대한 재정적 손실이 발생하였다 하지만 컴퓨터 바이러스감염에 대한 복구 작업을 완료한지 얼마 되지 않아서, 새로 업데이트한 스캐너 버전이 탐지하지 못한 바이러스 변종이 인터넷에 처음으로등장한다면, 복구 작업과정 전체를 다시 한 번 반복하여야 할 것이다

사례 3. 관리자의 갑작스러운 사직
한 중소기업이 수년 동안 사내 pc의 설치와 구성 및 네트워크운영에 대한 책임을 전부 한 관리자에게 담당하도록 하였다. 그러던 어느 날 그 관리자가 큰 사고를 당하여 더 이상 업무를 계속할 수 없게 되었다. 그 며칠 후 네트워크서버에 문제가 계속해서 발생하기 시작하였다 에러 메시지와 경고 메시지가 뜨는데도 이에 관한 지식이 없는 직원들은 제대로 이해하지 못하였다. 얼마후 일부 컴퓨터가 작동을 멈추었고 몇 차례의 재 부팅 시도가 실패한 후 이제는 시스템 전체가 다운되고 말았다. 그제야 관리자 일지를 찾아보았지만 현행 시스템 환경에 대한 기록은 도무지 찾아볼 수 없었다. 더구나 관리자의 패스워드마저 알아 낼 수 없었다. 응급조치를 취하기 위해 IT 지원업체에 도움을 요청하였으나 이 업체 역시 패스워드를 알지 못할 뿐만 아니라 관련기록이 부실한 상태여서 시스템을 복구하지도 못한다. 또한 서버에 설치된 애플리케이션의 종류를 파악하고 주요 데이터의 저장 위치를 파악하기 위하여 철저한 조사가 시작되었다. 시스템의 내용에는 보편적으로 사용되는 표준(standard) 애플리케이션과는 별도로 대대적인 복구 작업에 필요한 특수 맞춤형 해결책이 포함되어 있었기 때문에 외부전문가까지 초빙해야 한다. 수주가 지나고 나서야 비로소 모든 것이 제대로 복구됐으며, 일상 업무에 필요한 시스템이 모두 정상적으로 작동하기 시작한다. 그 동안 정보 및 애플리케이션을 사용할 수 없었던 탓에 중요한 주문을 처리할 수 없었다 또한 외부서비스업체의 용역비를 포함하여 피해액은 백만 유로에 육박하였다. 그 결과 회사의 존속 자체가 위협받게 되었다. 게다가 공석이 된 관리자 자리에 적당한 후임자를 뽑아야 하는 문제점도 발생하였다

사례 4. 인터넷을 통한 해커의 공격
작은 마을에 개업 중인 심리학자가 있다. 이 사람은 인터넷에 연결된 pc에 환자기록을 모두 저장하고 있다. 나름대로 pc를 잘 다룰 뿐만 아니라 대부분의 소프트웨어도 직접 설치하고 있었다. 그는 시스템에 로그온 하는 경우 패스워드만 사용하면 데이터가 안전할 것이라고 믿고 있었다 그러던 어느 날 환자에 관한 기밀정보가 인터넷상의 주민 토론포럼에 익명으로 게재됐다는 소문이 순식간에 온 마을에 퍼져나갔다. 경찰수사 결과 사고 원인은 심리학자에게 있는 것으로 밝혀졌고 제3자의 공격에 대비한 보호가 허술한 병원의 pc가 해커에게 공격을 당한 것으로 추정되었다 이에 따라 심리학자는 환자의 기밀데이터를 방만하게 관리한 혐의로 기소되었다. 관련 환자들은 엄청난 피해를 입은 것으로 추산되었다.

사례 5. 내부자의 공격
한 중소기업이 오랫동안 자사 특유의 비법으로 특수도료와 니스를 제조해 왔다. 어느 날 동 회사 마케팅부서의 직원이 사직서를 제출하고 경쟁사로 자리를 옮겼다. 6개월 후에 경쟁사에서 이 중소기업과 거의 동일한 니스제품을 출시하였다 처음에는 비밀제조법의 누출경로가 확실치 않았다. 보안문제를 이유로 개발부서에는 인터넷이나 인트라넷이 일절 연결돼 있지 않았기 때문이다. 이에 따라 회사는 경쟁사에 이적한 직원이 비법 관련 정보를 가지고 간 것이 아닌가 하는 의심을 하게 되었으며 결국 경찰에 고발하기에 이르렀다. 조사전담 부서에서 적절한 툴(tool)을 사용한 결과 문제의 제조법이 담긴 파일이 이적한 직원의 pc에 저장됐다가 이후 삭제된 사실을 입증할 수 있게 되었다. 이와 같은 물증이 확보되자 경쟁사에 입사한 직원이 범죄사실을 자백하였다 이 과정에서 개발부 사무실을 야간에 잠그지 않았기 때문에 건물 열쇠를 소지한 직원은 누구라도 손쉽게 개발실에 들어갈 수 있었다는 사실이 밝혀졌다 즉, 동 직원이 업무를 마치고 개발부 사무실에 잠입하고 부팅디스크의 도움을 받아 패스워드를 입력하지 않고도 주요 컴퓨터에 액세스할 수 있었다 그는 입사지원을 한 경쟁사로부터 자신을 다른 지원자들과 차별화할 수 있는정보, 즉 "비즈니스 환경에서 얻은 귀중한 별도의 지식"을 갖고 있는지에 대한 질문을 받고 이러한 범행을 저질렀다고 하였다. 문제의 직원과 경쟁사의 간부 2명 모두 기소되어 실형을 선고받는다. 두 기업 간의 분쟁은 법원 밖에서 해결되었다. 그럼에도 불구하고 피해 기업은 경쟁우위를 상당부분 상실함으로써 재정상태가 악화되는 상황을 경험하였다.

6. 가장 일반적인 문제점
6.1 부적절한 lT보안전략

• 보안의 중요성에 대한 인식 부재
  비용, 편의성, 기능성과 같은 요구조건 들과 비교해 볼 때 보안은 우선순위가 매우 낮다. 더구나 IT보안을 비용 지출 요인이나 장애원인으로 간주하기도 한다. 특히 새로운 구매를 결정할 때 애플리케이션이나 시스템의 보안기능을 무시하거나 아예 생각조차 하지 않는 경우가 많다. 여기에는 여러 가지 원인이 있다. 즉, IT보안에 대한 경영자들의 지원 부족, 보안 관련 연구의 미비, 산업의 새로운 동향, 마케팅에 대한고려와 예산의 부족 등이 그 원인이 될 수 있다. 일반적으로 보안상의 결함은 즉각 드러나지 않는다. 그 대신에 이러한 결함으로 인해 발생되는 위험만이 증가하는 것이다. 최악의 경우에는 필수적인 보안 조치(safeguard)의 도입도 차일피일 연기되는 사태도 발생한다. 급박한 현안 사항들과 비교해 볼 때 IT보안은 시급한 문제가 아니라고 생각하기 때문이다.이러한 사실은 WLAN 카드의 값이 하루가 다르게 급락하고 있는 가운데에서도 보안상태가 허술한 무선 네트워크의 수가 오히려 급증하고 있다는 점에서도 알 수 있다. 즉 신기술에 대한 환호와 거추장스러운 케이블선 없이 작업할 수 있다는 가능성에 밀려서 보안 문제가 소홀하게 취급되고 있다는 것이다 이와 같이 수많은 기업들이 자신도 모르게 자사의 기밀 데이터를 "공개"하고 있으며, 심지어는 관심 있는 사람에게 무료 인터넷 접속 기회까지 제공하고 있다는 것이다.
• 보안수준 관리를 위한 프로세스의 결여
  각각의 프로젝트에서 보안이 고려되어 구축되기도 한다 이러한 개별 프로젝트들은 적절한 정도의 특정 조치를 취하여 상황을 처리하는 데 필요하다. 그러나 사람들은 이러한 프로젝트의 추진과정에서 획득한 IT 보안 관련 결과와 목표를 영구적으로 존속시켜 줄 프로세스를 확립해야 한다는 사실을 곧잘 망각하곤 한다. 결국 수차례에 걸쳐 취약성에 대한정밀 분석이 진행된 후에야 장차 시행될보호조치(safeguard)에 대한 권고안이 제시된다, 하지만 이러한 권고안을 일관성 있게 시행하는 경우는 없다. 또한 새로운 시스템을 설치되는 경우 기본 설치를 안전하게 하기 위하여 상세한 요구조건 목록이 작성된다. 그러나 운용과정에서 이것들이 지속적으로 변경되는 것을 경험하게 된다, 그럼에도 불구하고 본래의 요구조건에 부합하여 운용되고 있는지에 대한 점검이 이루어지지 않고 있다 이러한 유형의 사례는 얼마든지 찾아볼 수 있다. 이는 허술한 내부 IT보안 관리의 단면이라 할 수 있다. 즉 보안 관리책임을 담당하고 있는 사람이 누구인지 불분명한 경우를 제외한다고 하더라도 정립된 보안조치에 대하여 정기적인 점검을 소홀히 하고 있다는 것이다
• 보안 목표에 관한 문서작성 부재
  대기업과 같은 상당수의 대규모 기관들은 대부분 보안정책을 일정한 문서형식으로 작성하고 있으며 정책 적용에 관한 지침도 마련해 두고 있다. 그러나 중소규모의 조직은 이와 매우 다르다 특히 상당수의 정책이 지나치게 추상적이고 상이한 해석을 할 수 있는 여지를 남겨놓고 있다. 비록 IT보안 정책은 있지만 그 내용을 알고 있어야 할 사람들 대부분이 이를 파악하지 못하는 경우가 많다. 이러한 보안정책은 그 내용의 준수가 고용계약상 확인된 명백한 요건이라는 차원에서 보자면 별반 구속력을 갖지 못한다. 이는 사건이 발생한 경우에 보안 침해행위로 인하여 법적 처벌을 받지 않거나 기소되기도 곤란하다는 의미로 해석될 수있다
• 보안 침해사고에 대한 통제 체계와 조사의 부재
  보안 정책과 목표는 그 실행과정에 대한 감시가 가능할 경우에만 효과적이다.그러나 기술, 관리, 심지어 법적 사유로 인해 감시를 할 수 없는 경우가 많다, 또 다른 문제점은 보안 침해사고를 저지른 직원에 대하여 그 결과에 상응하는 책임을 부담하도록 할 수 없다는 점이다. 이러한 문제점들은 법규를 우습게 여기는 관행을 부추김으로써 보안의 위험성을 높이고 결국 실제의 피해 발생으로 이어지는 결과를 초래할 것이다.

6,2  IT시스템 구성상의 과실(Mistakes in the configuration lT systems)

• 허가 부여에 대한 불충분한 제한
  IT보안의 황금률 중 하나는 "필요의 원칙(need-to-know principle)"이다. 이 원칙에 따르면 모든 사용자(및 모든 관리자)에게 일상 업무에 꼭 필요한 데이터 및 프로그램에 대해서만 액세스하고 운영할 수 있는 권한을 부여하여야 한다. 그렇지만 이 원칙은 관리 및 기술면에서 별도의 노력을 하여야 한다는 것을 의미한다. 그러나 대부분의 임직원들은 자신에게 필요하지 않은 민감한 데이터와 프로그램에 대한 접근권한을 갖고 있다. 일반적으로 접근권한에 대한 적절한 제약이 없는 상태에서 사내의 워크스테이션 pc와 서버가 네트워크를 통해 상호 연계되는 경우에는 접근권한이 없는 다른 사용자가 데이터를 보유하거나 다른 컴퓨터에 입력된 데이터에 접근하는 것이 가능하다. 데이터의 "원 소유자"는 이 같은 사실을 전혀 눈치 채지 못하는 경우가 많다. 이와 같이 허술한 허가체계에 의하여 우연히 또는 고의적으로 접근권한이 없는 데이터에 대한 접근이 가능하게 되는것이다.
• 허술한 lT시스템 구성
  실제로 현재가지 보안에 있어 가장 큰 허점은 소프트웨어 바이러스보다는 관리상의 과실에 있다고 할 수 있다, 표준(standard) 소프트웨어에서 제공하는 보안기능을 정확하고 완벽하게 활용한다면 기관의 IT보안 수준은 향상될 것이다 업무용 표준 애플리케이션(standard office application)은 해마다 복잡해지고 있다. 관리자에게 있어 보안은 소관업무를 수행하면서 부딪치게 되는 여러 요구조건들 가운데 하나일 뿐이다 관리자 대다수가 IT 보안과 관련한 문제점을 인식하고 있지만 경영진으로부터의 충분한 지원 없이는 어떤 변화도 가져 올 수 없는 실정이다.

6.3 네트워크 및 인터넷 연결의 불안전성
오픈 네트워크에 대한 민감한 시스템의 차단 미흡정보와 데이터가 내부 네트워크상에서만 사용되는 한 보안 취약점으로 인한 위험 발생에 대한 책임 대상이 되는 인원은 직원들의 수와 같게 된다, 그러나 시스템이 인터넷과 연결되면 해커와 같은 익명의 제3자가 취약점을 감지하고 악용할 수 있다는 사실을 명심하여야 한다. 기존 애플리케이션을 인터넷에 안전하게 연결하기 위해서는 해당 관리자에게 특별한 지식이 요구된다. 이러한 지식 없이는 네트워크 구성(configuration)상 과실을 저지를 수밖에 없기 때문이다. 민감한 정보, 시스템 및 서브 넷이 오픈 네트워크로부터 차단되지 않는 경우가 상당하며, 차단이 되었다 하더라도 그 정도가 불충분한 경우가 대부분이다. 방화벽을 운용하더라도 실제 보안 상태를 설명하지 못한다. 상당수의 IT매니저들이 방화벽만 있으면 외부로부터 네트워크를 보호할 수 있다는 생각을 갖고 있다 그러나 외부보안전문가의 감사 결과에 의하면 방화벽을 가지고 있다고 하더라도 대부분의 경우 보안상 심각한 취약점이 발견되었다고 한다.

6.4 보안요건 준수의 실패

• 편의를 위한 보안대책의 간과최상의 정책과 보안 기능을 갖추었다고 하더라도 이를 준수하지 않거나 사용하지 않으면 아무 소용이 없다. 직접 사용할 수 있는 적정 수준의 메커니즘이 존재함에도 불구하고 비밀 문서(Confidential Document)나 e메일을 암호화하지 않는 경우가 빈번하다. IT 관련 자산의 안전한 사용을 위하여 패스워드를 정기적으로 변경하여야 한다는 사실조차 부담스럽게 생각하는 경향이 있다. 패스워드는 IT관련 부서의 신입사원인 것처럼 가장하여 "정중하게" 정보를 요청하는 사람에게 쉽게 노출될 수 있다. 데이터, 특히 노트북의 데이터의 경유관리자가 데이터 손실의 위험에 대하여 숙지하고 있다고 하더라도 백업을 해두는 사례는 거의 없다. 정기적으로 데이터를 백업한다고 하더라도 불완전하거나 하자가 있는 경우가 많다. 자동 백업을 실행하는 경우 직원들은 데이터가 며칠 간격으로 어디에 백업이 되며 백업자료의 보관기간은 얼마나 되는지를 모르는 경우가 대부분이다. 비슷한 사례는 얼마든지 찾아볼 수 있다 또한 아무리 단순한 보안대책이라 하더라도 사원이 이를 실행할 필요를 느끼지 못하거나 실행하도록 기술적으로 강요받는다면 반드시 실패할 수밖에 없다 이는 사용자뿐 아니라 관리자들에게 있어서도 마찬가지다. 어떤 관리자들은 보안에 대한 확인도 하려고 하지 않는다. 더구나 관리자용 특수 ID를 사용하거나 로그인한 상태에서 업무를 수행하는 경우도 있다, 왜냐하면 일단 로그오프 했다가 다시 일반ID로 로그온 하기보다는 특수 ID를 사용하여 계속 작업을 수행하는 것이 편리하기 때문이다.
• 사용자 및 관리자 교육 미흡기업이나 공공기관에서 사용되는 IT시스템 및 애플리케이션의 지속적인 변화와 발전은 임직원들로 하여금 자발적으로 이러한 시스템을 익숙하게 다루도록 요구하고 있다. 그러나 나날이 복잡해지고 있는 시스템에 대하여 숙달을 위해서는 자발적인 학습이 아닌 시험이 부과되는 학습 환경이 조성되어야 한다. 매뉴얼이라고 해서 항상 도움이 되는 것은 아니다, 매뉴얼을 읽을 만한 시간적 여유가 없는 경우가 많다. IT 보안 관련 교육으로도 참석자 각자가 필요로 하는 개별 요건을 충족시키지 못할 경우도 있다. 더구나 세미나에는 보통 많은 경비가 소요될 뿐만 아니라 업무 사정상 참석이 여의치 않을 수도 있다. 또한 일반적으로 기업 등에서 실시하는 IT 보안 교육에서는 일정한 전문영역(윈도우 2000, 로터스 도미노나 아파치 등)에 대한 세부지식 습득이 불충분하다는 사실도 알 수 있다.이는 시스템 전체를 놓고 서로 다른 측면들의 상호작용을 감안하지 않고 있기 때문이다.

6.5 lT시스템 관리 미흡
보안업데이트 태만관리자가 보안 패치를 즉시 설치하지 않는 경우도 많이 있다. 바이러스나 윔에 의하여 발생하는 피해의 대부분은 이들의 존재에 대한 정보.가 제공된 후에 발생하는 경우가 대부분이다. 이쯤 되어서야 여러 업체들이 보안 패치를 제공한다. 오늘날 대부분의 보안 패치들이 얼마간의 시차를 두고 제공되고 있다. 각자의 환경에 적합한 패치를 시험하고 선정하는 일에는 많은 시간이 소요된다. 따라서 상당수의 관리자들이 다음 번 정기 소프트웨어 업데이트가 설치되기까지 기다린다.이러한 접근방법은 태만한 것이라고 할 수 있다.

6.6 패스워드 및 보안 메커니즘의 부주의한 관리

• 패스워드에 대한 부주의한 접근방법, 접근권한의 보호 메커니즘은 대부분 패스워드 프롬프팅에 근거하여 계속 실행되고 있다. 너무 짧거나 추측하기 쉬운 패스워드와 같이 불안전한 패스워드의 선택은 문제를 야기한다. 공격자가 시스템의 오류를 이용하거나 패스워드를 추론하거나 패스워드에 대한 정보를 습득하는 것을 통하여 성공적으로 패스워드를 무력화시킬 수 있기 때문에 IT 시스템에 대한 침입사고는 일상적으로 일어나고 있다, 또한 예전과 같이 패스워드를 키보드 밑이나 책상 맨 끝 서랍에 보관한다면 사무실에 출입할 수 있는 침입자가 민감한 내용의 정보를 보다 용이하게 절취할 수 있도록 도와주는 것이 된다,
• 기존 보안 메커니즘 활용의 실패많은 제품들이 보안 메커니즘의 기초위에서 생산되어 제공되고 있으나 생활의 편리성 또는 호환성을 이유로 보안 메커니즘이 활성화되지 않거나 아주 취약하게 구성되기도 한다. 예컨대 무선 네트워크(WLAN)에 제공되는 암호화 기능은 거의 사용되지 않고 있는 실정이다.

6.7 침입자 및 자연재해로부터의 보호 미흡
대부분의 침입자나 절도범들은 아주 용이하게 원하는 목적을 달성하고 있다. 밤새 켜져 있는 윈도우와 잠그지 않은 IT사무실, 방문객에 대한 단속 부재와 승용차 안에 방치되어 있는 노트북이 등이 침입자나 절도범들에게 무수한 기회를 제공하고 있다. 보통 데이터의 손실은 절도나 파괴행위의 일환으로 하드웨어 자체가 분실되는 사태보다 더 심각하다. 왜냐하면 재작성이 곤란할 뿐만 아니라 절도범이 기밀 정보를 오용할 수 있는 위험성이 있기 때문이다.화재나 홍수 같은 자연재해로 인한 피해는 매우 드물지만 이러한 자연재해로 IT자산에 대한 침해가 발생할 경우 그 결과는 가히 치명적이다. 따라서 화재 경보시스템과 홍수에 대한 대비책 및 안전한 전력 공급 등을 IT보안의 중요 요소로 간주하여야 한다.


============================
이전에 보관했던 문서를 다시 정리하여 블로그에 올려놓는다. 배포를 위한 책자의 일부부분이라 기억하는데, 공공기관에서 나온 자료이기 때문에 다시 재작성 해도 문제가 없다고 생각한다. 물론 본인이 일일히 디지털화한 문서를 무단 복사 하는것은 윤리적으로 적절하지 않는다 생각한다. 참고로 다음 챕터는 여러 측면에서 접근하는 "근본적인 보안대책"에 대해 다룬다. 요즘 보안에 대해 집중적으로 공부하고 있는데, 점점 자료가 쌓이니 이제 슬슬 시큐리티라는 카테고리를 새로 만들어야 할 것 같다.