서비스

#### <mark-yellow>ISMS: Information Security Management System</mark-yellow>정보보호 관리체계 인증은 정보 통신 서비스 제공자가 정보 통신망의 안정성 및 신뢰성을 확보하기 위해 만들어졌습니다. #### 정보 자산의 기밀성, 무결성, 가용성을 실현하기 위한 관리적, 기술적 수단과 절차 및 과정을 체계적으로 관리하고 운영하기 위한 제도입니다. #### 과학기술정보통신부와 방송통신위원회, 행정안전부가 법과 제도 개선 및 정책 결정을 하며, 인증기관 및 심사기관을 지정합니다. #### ISMS-P의 경우 한국인터넷진흥원(KISA)이 한국정보통신진흥협회(KAIT)와 한국정보통신기술협회(TTA)에 위임하여 심사를 진행합니다. #### ISO27001의 경우 BSI, DNV GL등에서 심사를 진행합니다. ## 인증심사 #### 인증심사는 최초 심사와 2회의 사후 심사, 그 후 갱신심사로 이루어져있습니다. #### 102개의 인증기준(ISO27001 114개)을 가지고 있으며 #### * 관리체계 수립 및 운영에 4개 분야 16개의 인증기준(필수), #### * 정보보호대책 요구사항부분에 12개분야 64개의 인증기준(필수), #### * 개인정보 처리단계별 요구사항에 4개 분야 22개의 인증기준(선택) #### 으로 되어 있습니다. <img class="img img-raised rounded" src="/static/assets/img/isecure/standard2.png" alt="인증심사" > ## 심사대상 #### 자율신청자와 의무대상자가 있습니다. #### <mark-yellow>자율신청자</mark-yellow>의 경우 의무대상자 기준에는 해당하지 않으나 자발적으로 정보보호 및 개인정보보호 관리체계를 구축운영하는 기업기관은 임의신청자로 분류되며, 임의신청자가 인증 취득을 희망할 경우 자율적으로 신청하여 인증심사를 받을 수 있습니다. #### <mark-yellow>인증 의무대상자(정보통신망법 제47조 2항)</mark-yellow>는 <전기통신사업법> 제2조 제8호에 따른 전기통신사업자와 전기통신사업자의 전기통신 역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자로서 다음의 목록(출처: KISA)에서 기술한 의무대상자 기준에 하나라도 해당하는 경우입니다. ``` * ISP: 「전기통신사업법」 제6조제1항에 따른 허가를 받은 자로서 서울특별시 및 모든 광역시에서 정보통신망서비스를 제공하는 자 * IDC: 정보통신망법 제46조에 따른 집적정보통신시설 사업자 * 다음의 조건 중 하나라도 해당하는 자: * 정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억원 이상인 자 * 전년도 직전 3개월간 정보통신서비스 일일평균 이용자 수가 100만명 이상인 자 * 연간 매출액 또는 세입이 1,500억원 이상인 자 중에서 다음에 해당되는 경우 * 「의료법」 제3조의4에 따른 상급종합병원 * 직전연도 12월 31일 기준으로 재학생 수가 1만명 이상인 「고등교육법」 제2조에 따른 학교 ``` #### 의무대상자의 미인증시 매년 3,000만원의 과태료가 부과됩니다. ## 인증심사 절차 #### 인증 기준에 맞는 조직 체계 구축, 최소한 2개월 이상의 증적, 인증심사 그리고 결함 보완 조치의 순서로 진행됩니다. 소요 기간은 최소 4개월에서 평균적으로 6개월 이상의 시간이 소요됩니다. #### 준비기간도 짧지 않고, 2개월이상의 운영 증적과 최대 100일의 결함 조치 기간이 포함되므로 적지 않은 시간이 소요됩니다. 충분한 시간을 갖고 대비한다면 어렵지 않게 대응할 수 있습니다. ## 주요 결함 #### 다음의 차트는 최근 아이시큐어의 고객사 컨설팅 결과 결함 내용등을 정리한 것입니다. 대부분의 경우 서버를 운영하면서 발생하는 문제들과 중요 서비스에 대한 접근통제에 관련된 문제가 최상위에 있음을 알 수 있습니다. <img class="img img-raised rounded" src="/static/assets/img/isecure/result.png" alt="결함"> ## 컨설팅 #### 컨설팅의 수행의 주체는 관리, 기술 부분을 담당하는 전문 컨설턴트와 고객사의 보안 담당자가 주축이 되어야 합니다. 또한 무엇보다도 <mark-yellow>경영진의 적극적인 지원과 관심</mark-yellow>이 필요합니다. <img class="img img-raised rounded" src="/static/assets/img/isecure/consulting.png" alt="컨설팅"> #### 컨설턴트는 보안담당자와 각 부문의 담당자들과 인터뷰와 현장조사를 통해 현재의 보안 현황을 파악하고, 보안정책부터 시작하여 해당 조직에 맞는 보안 프로세스를 구축해 나갈 것입니다. #### 최종적으로 충분한 교육과 인수인계 작업을 통해 보안 인식 제고와 인증심사 대비를 하게 됩니다. <img class="img img-raised rounded" src="/static/assets/img/isecure/process.png" alt="컨설팅"> ## 위험관리 #### 사업은 위험을 관리하여 효율적으로 조직의 목적을 달성하는 것입니다. #### 위험을 처리하는 방법에는 4가지가 있습니다. ``` 1. 위험 수용(Acceptance): 잠재적인 위험을 감수하고 수행 2. 위험 감소(Reduction): 대책을 마련하여 위험발생 가능성을 감소 3. 위험 회피(Avoidance): 위험이 존재하는 사업, 프로세스를 포기 4. 위험 전가(Transfer): 보험이나 외주등을 통해 위험을 이전 ``` #### <mark-yellow>위험을 수용</mark-yellow>(특정 위험이 현실화되기 전에 적극적인 조치를 취하지 않고, 사후에 조치를 취하는 대응 방식)하는 이유는 해당 위험의 노출 수준이 높지 않을 경우, 투자 비용 대비 얻을 수 있는 효과가 미비하다고 생각하기 때문입니다. #### 하지만 수많은 보안사고에서 보여주듯이 위험 수준은 이미 감내할 수 있는 임계치를 넘어서고 있으며, 무관심한 사이 벌어지는 보안사고는 막대한 피해를 유발시킬 수 있습니다. #### 보안사고의 직접적인 피해뿐만 아니라 법적인 규제도 강화되고 있습니다. 고객에게 잘못 보낸 문자 하나로도 신고를 통해 수백만원의 과태료가 부과되거나, 보안사고로 인해 법인뿐만 아니라 보안책임자들에 대한 형사고발이 진행되고 있습니다. #### 이러한 위험을 최소화하기 위해서는 더욱 적극적인 <mark-yellow>위험감소</mark-yellow> 활동이 필요합니다. <img class="img img-raised rounded" class="img img-raised rounded" src="/static/assets/img/isecure/investment.png" alt="위험관리"> ## 인증의 필요성 #### 인증 여부를 떠나 기업, 조직,개인의 정보보호를 위한 활동은 <mark-yellow>사회적 존재 가능성</mark-yellow>을 결정짓는 중요한 역할을 하고 있습니다. #### 이제 보안에 대한 관심과 적절한 투자는 사업의 목표를 이루기 위한 필수조건입니다. #### 보안에 대한 위험을 감소시키기 위해 주요 자산들에 대한 보호, 사무 환경 보호, 보안 인식 제고등에 필요합니다. 이러한 기존의 단편적이고 체계적인 못한 보안 체계를 ISMS-P(정보보호관리체계 인증)를 통해서 강력하게 구축할 수 있습니다.

## 취약점 분석 #### 현대 사회에서 정기적인 건강검진이 필수로 여겨지듯이 주기적인 취약점 분석으로 중요 자산들에 대한 문제점들을 파악하고 철저하게 대비하는 것이 각종 보안 위협에 대처하기 위해 가장 중요합니다. #### 대량의 서버와 네트워크 장비에 대한 취약점 분석은 전문적인 지식과 노하우가 필요합니다. 또한 새로운 취약점에 대한 업데이트도 자주 이루어져야 하고, 특히 운영중인 서버와 네트워크에 영향을 끼쳐서도 안됩니다. #### 아이시큐어는 매년 다양한 장비들에 대한 취약점 분석을 진행하고 있으며, 꾸준한 업데이트를 통해 새로운 취약점에 적극적으로 대응하고 있습니다. 또한 대량의 서버들에 대한 분석결과도 빠른 시간내에 정확히 도출해내기 위해 자동화된 분석도구를 개발하고 있습니다. #### 서버의 경우 Agentless 취약점 분석 도구인 ["ToPick"](/topick/)을 자체 개발하여 제공하고 있습니다. #### PC의 경우 취약점 분석 도구인 ["ToSee"](/tosee/)를 자체 개발하여 제공하고 있습니다. #### 다수의 PC에 취약점 분석을 하는 작업은 서버보다 오히려 어려울 경우가 많이 있습니다. ``` * 설치위치가 분산되어 있어 배포하기 힘들며, * 사용자는 지속적으로 PC를 이용하여 업무를 보며 작업을 진행하고, * 스크립트를 윈도우 환경에서 정교하게 작성하기 어렵기 때문입니다. ``` #### PC의 경우 상대적으로 서버나 네트워크 장비보다 소홀히 취급하게 됩니다. 그러나 결국 모든 중요 데이터의 조작은 PC에서 사용자에 의해 이루어지기 때문에 중요한 자산으로 다루어야 합니다. #### 기타 취약점분석을 자동화하기 어려운 경우 체크리스트를 통해 점검하게 됩니다. ## 모의해킹 #### 웹 서비스는 이용자들의 가장 접점에 있으며, 기술적으로 완벽하게 정교함을 추구하기보다는 빠른 구현과 사용의 융통성과 편리함에 많이 치중하고 있기 때문에 필연적으로 취약점을 가지게 됩니다. #### 또한 수시로 새로운 기능이 개발되고 있어 취약점이 일반 어플리케이션이나 OS보다 많이 발생하게 됩니다. #### 그렇기 때문에 수많은 침해사고 사례의 대부분이 웹서비스를 통한 것입니다. #### 따라서 취약한 기술, 다양한 참여자, 잦은 변경등 필요적으로 취약할 수 밖에 없는 웹서비스의 가장 좋은 보안 수단은 취약점 분석과 모의해킹입니다.

#### 보안 문제는 언제든 발생할 수 있고 발행하고 있습니다. 문제가 발생했을 경우 적절한 조치가 이루어져 있어야 강화되는 법적인 책임에서 벗어날 수 있으며, 고객의 신뢰에도 중요한 역할을 할 수 있습니다. #### 대부분의 경우 사회적 이슈나 예산에 맞는 주먹구구식의 즉흥적인 투자를 하게 됩니다. #### 가장 시급하고 위험한 부분을 찾아 보완하기 위한 방안을 찾아야 합니다. 그에 따라 동종 업계의 보안 수준, 사용 가능한 기술 스펙 그리고 허용 가능한 예산범위를 조사하여 조직 내의 정보보호를 위한 발전 계획을 수립하고, 수행하여 사업의 목표를 달성하는 데 도움을 줄 수 있습니다.