최근 인터넷 관련 표준화 기구인 IETF에서의 핵심 키워드 중의 하나는 ‘보안(Security)’이라고 할 수 있다. 대부분의 워킹 그룹이 보안 기술을 집중적으로 다루거나 그렇지 않더라도 각 규격에 필수적인 고려 사항으로 반영하고 있는 상황이다. 이를 반증하듯이 최근 미국 필라델피아에서 열린 71차 IETF에서 배포된 ‘IETF Journal’과 ‘The Internet Protocol Journal’ 모두는 공교롭게도 ‘보안’이라는 기술에 대한 표준 동향 및 분석 내용을 특집으로 다루었다. 본 고에서는 ‘The Internet Protocol Journal’저널에서 다뤄진 특집 기사를 기반으로 정보보호관리(Information Security Management)를 위한 주요 표준화 기술을 분석하고자 한다.

정보보호관리에 대한 도전과제는 만만치 않다. 비교적 작은 기관이라 할지라도, 개인, 회사 운용, 재정 문제 등과 관련된 데이터베이스 및 파일을 포함하는 정보 시스템에 대한 가치는 매우 중요하다고 할 수 있다. 일반적으로 다양한 정보 저장 시스템, 서버, 워크 스테이션, 로컬 네트워크, 인터넷, 그 외 리모트(원격) 네트워크 연결 등을 포함하는 정보 시스템 환경은 복잡하다. 이러한 환경에서 관리자들은 지속적으로 증가하는 위협에 직면하고 있다. 재정적 손실, 민사 책임은 물론 형사 책임까지, 보안의 실패로 인한 결과는 회사는 물론 개인 관리자에게 크나큰 영향을 주게 된다. 이러한 상황에서 정보 시스템 보안을 위한 표준화는 점점 더 필수적으로 간주되고 있다. 표준화는 보안 기능, 필요한 특징들, 정보 및 자산을 관리하는 정책들, 보안 측정의 효율성을 평가하는 요소, 구체적인 보안 기술, 보안 실패를 처리하는 과정 등을 다루고 있다. 최근 정보보호관리를 위해 많은 표준 규격과 권고 문서들이 만들어져 왔다. 그 중에서 가장 중요한 두 가지 표준으로 프로세스 보안(Process Security)을 주로 다루는 ISO 17797과 제품 보안(Product Security)을 주로 다루는 CC(Common Criteria)를 들 수 있다. 이들을 포함해 대표적인 네 가지 표준 규격을 다음과 같이 소개한다.

ISO/IEC 27002:2005

ISO/IEC 27002:2005(‘Code of Practice for Information Security Management : 정보보호관리를 위한 실행지침’)은 보안 정책을 기술하고 구현하기 위한 대표적인 표준으로 여겨지고 있다. ISO/IEC 27002:2005는 조직의 정보를 체계적으로 관리하고 정보보안사고를 사전에 예방하기 위하여 영국에서 제정된 규격이다. 본 표준 규격의 가장 큰 목적은 정보 보안 경영 시스템을 자신의 조직에 구현하고자 할 때 외부의 도움을 최소화하고 스스로 해결하기 위함이다. 이를 통해서, 정보가 직면하게 되는 일반적인 위협을 파악하고 관리하며 이를 최소화할 수 있다. 2007년 12월 현재 ISO/IEC 27002:2005 인증을 획득한 기업이 전세계적으로 5,000여 개이며, 계속 증가하고 있는 추세이다. 국내에서도 삼성전자, 현대자동차 등 글로벌 기업으로 성장한 기업들과 대부분의 은행들을 포함해 50여 기업이 본 표준 규격에 대한 인증을 획득하였다. 본 표준 규격은 정보보호관리에 대한 포괄적인 실행지침으로서 다음과 같은 분야를 다루고 있다.

°     보안 방침(Security policy)

°     정보보호 구성(Organization of Information Security)

°     자산 관리(Assets management)

°     인적 자원보안(Human resources security)

°     물리 및 환경 보안(Physical and environment security)

°     통신 및 운영관리(Communication and operations management)

°     접근 제어(Access control)

°     정보시스템 인수, 개발 및 유지보수(Information system acquisition development & maintenance)

°     정보보호 사고관리(Information security incident management)

°     사업 연속성관리(Business continuity management)

°     부합성(Compliance)

Common Criteria(CC)

1985년 이후로 미연방 정부에서는 컴퓨터 시스템의 보안을 평가하기 위해 일련의 평가 기준을 관리하고 있다. 이에 대한 국제적인 평가 표준의 필요성이 증가함에 따라 미국의 Trusted Computer System Evaluation Criteria(TCSEC) 및 유럽의 Information Technology Security Evaluation Criteria(ITSEC)을 모체로 하여 Common Criteria for Information Technology Security Evaluation(CC)이라는 새로운 보안 평가 프로세스를 고안하였다. CC는 비즈니스 측면에서 국가간 중복 인증에 따른 시간 및 비용을 절감하고 기술적인 측면에서 보안 제품에 대한 국제 표준 규격의 필요성을 만족시키는 역할을 한다. CC에서는 운영 체제 등의 제품 등급을 Protection Profile(PP)의 보안 기능과 보증 요구 사항에 따라 평가한다. PP를 작성할 때 보안 요구 사항과 관련된 제품, 즉 운영 체제, 방화벽, 스마트 카드 등을 고려할 수 있다. CC 인증은 고객들이 IT 제품 구입 시 일관되고 엄격하며 독립적인 평가 요구 사항을 적용시킬 수 있도록 함으로써 적정 수준의 품질을 보장해준다. CC를 통해 인증된 모든 제품에 반드시 보안 취약성이 없다는 것은 아니지만, 제품의 설명서에 명시된 대로 작동되고 결함이 발견될 경우 업체가 이를 완화시켜주는 프로세스를 지원하는지를 확인하는 객관적인 절차를 통해 보다 높은 수준의 보안을 보장해준다. 또한, CC 프로그램은 고객에게 풍부한 정보를 제공하므로 평가된 제품의 실제 구현과 구축에 더 높은 수준의 보안을 적용할 수 있습니다. CC 인증이 효율적인 보안 제공에 기여하는 여러 가지 요인들 중 한가지에 불과하지만, CC가 제공하는 기회를 잘 활용하는 업체는 보다 안전한 IT 시스템을 구축하도록 고객을 지원할 수 있다. 여러 국가들이 CC를 채택한 이유는 통합된 IT 보안 표준을 채택하면 CC 평가를 거쳐 평가된 제품은 국가 간에 상호 인증하고자 하는 의도와 보안이 향상된 IT 제품의 가용성을 개선할 수 있다는 점을 인식했기 때문이다. 또한, CC가 IT 제품 보안에 대한 고객 신뢰도를 높여주고 평가 및 인증 프로세스의 능률과 비용 효율성을 높여준다는 점을 인식했기 때문이다.

Federal Information Processing Standards Publications(FIPS PUB 200)

NIST(National Institute of Standards and Technology, 국립표준기술원)는 미연방정부의 컴퓨터 보안이나 호환성에 대한 필요성을 인식하고 FIPS PUB(미연방정부 정보처리 표준 문서)이라는 표준 및 지침을 제정하였다. 이는 보안 관리자, 설계자 및 구현자들에게 매우 유용한 표준 규격이다. FIPS PUB는 크게 접근 제어(Access Control), 암호화(Cryptography), 일반 컴퓨터 보안(General Computer Security) 분야로 나뉜다. 이 중에서 일반 컴퓨터 보안 분야의 FIPS PUB 200(‘Minimum Security Requirements for Federal Information and Information Systems’)은 연방 정보 시스템의 비밀성 및 무결성을 보호하기 위한 최소 보안 요구 사항을 다루는 표준이다.

Control OBjectives for Information and realted Technology(COBIT)

COBIT은 정보기술 보안과 제어에 대하여 일반적으로 적용이 가능하고 모범적인 관행들에 대한 참조 프레임워크를 경영층 및 일반 사용자와 정보시스템 감사 제어 및 보안 분야 종사자에게 제공하는데 그 목적이 있다. COBIT은 계획, 조직, 도입 및 구축 운영 및 지원, 모니터링 네 가지 분야의 활동을 통하여 IT 거버넌스 체계를 구축하여 최종적으로는 조직의 전략적인 경영목적을 달성하는 것이 최종 목적이다.

<참고 자료>

[1] William Stallings, Standards for Information Security Management, The Internet Protocol Journal, Vol. 10, No. 3, December 2007

[2] Security and Protocols, IETF Journal, Vol. 3 Issue 3, December 2007