제 8장 정보시스템 보안

기업은 운영한다면 보안과 통제는 가장 우선순위에 두어야 할 요소일 것이다. 이 장에서는 정보시스템의 보안이 취약한 이유와 악성 소프트웨어, 보안과 통제의 가치, 현대의 보안 정책에 대하여 다루고 있다.

 

웹 기반 응용시스템의 구조는 일반적으로 웹 클라이언트-서버-DB와 연결된 정보시스템 등을 포함한다. 각 구성요소는 보안 문제와 취약성을 가지고 있으며 홍수, 화재, 전력 고장 및 기타 전기적 문제들 면에서 장애를 초래할 수 있다.

 

추가로 인터넷의 개방성으로 누구나 접속 가능하다는 점 때문에 누구나 악의적 SW를 전송하거나  WiFi같이 무선 인터넷을 통한 해킹 등 다양한 방식의 침해가 이루어질 수 있다.

 

악성 SW의 종류는 대략 다음과 같다.

- 멀웨어

- 컴퓨터 바이러스

- 웜

- 드라이브 바이 다운로드(Drive By Download)

- SQL 주입 공격

- 랜섬웨어

- 스파이웨어

 

그리고 컴퓨터 시스템에 허가 없이 접근하는 해커와의 전쟁 또한 현재의 이슈이다. 단순 시스템 침입을 넘어 해당 시스템을 방해, 훼손, 파괴하는 행위를 하기 때문에 분명 주의해야 하는 이슈임에는 틀림없다.

 

통상 해커는 위장한 사이트를 통한 웹 연결을 재설정하는 스푸핑과 네트워크를 통해 전달되는 정보를 감시하는 스니퍼, DoS(Denial Of Service) 공격과 DDoS(Distributed Denial of Services) 공격 등을 통해 공격을 개시한다.

 

이외에도 컴퓨터 범죄는 신원 도용, 피싱, 이블 트윈스, 클릭사기, 나아가 사이버 테러와 같은 사이버 전쟁까지 확산되어 있는 상황이다.

 

그렇다면 이러한 적들은 외부에만 있는 것일까? 사실은 기업 내부자가 더 심각한 보안 문제를 일으킨다. 직원들은 기업 내부의 고급 정보에 대한 접근 권한을 가지며 엉성한 내부 절차로 인해 흔적 없이 조직 시스템을 돌아다닐 수 있기 때문이다. 그렇기에 악의적 침입자는 정보가 필요한 기업의 직원으로 위장하여 그가 암호를 노출하도록 속임수를 쓰는 사회공학 수법을 사용한다.

 

이외에도 버그와 프로그램 코드 결함과 같은 소프트웨어 취약성 또한 생산성에 막대한 손실을 초래한다.

 

그렇기 때문에 패치를 통해 고유 작업을 방해하지 않고 결점을 치료할 수 있도록 도모하고 있다.

(아마 온라인 게임을 했다면 이해하는 데 큰 어려움은 없을 것이다.)

 

그렇다면 보안과 통제의 비즈니스적 가치는 무엇일까?

 

이를 알아보기 위해 먼저 전자 기록 관리를 위한 법적, 규제적 요건을 알아야 한다.

 

최근 미국 정부의 규제는 깅버에게 오남용, 노출, 허가 없는 접근으로부터의 데이터 보호를 강제화하여 기업이 보안, 감독의 중요성을 요구하고 있다. 이는 HIPAA, 그램-리치-블라일리 법 , 사베인스-옥슬리법 등이 해당된다.

 

추가로 디지털 포렌식 등을 통해 사라진 정보를 복구하는 기술 또한 각광받고 있다.

 

보안과 통제를 위한 조직 프레임워크의 구성요소는 다음과 같다.

- 정보시스템 통제 : 일반 통제(정보기술 인프라 전반의 보안 관리), 응용 통제(전산 능용시스템 각각에 따른 통제)

- 위험도 평가

- 보안 정책 : 이용 목적 제한방침, 신원관리

- 비즈니스 연속성(BCP, Business Continuity Planning), 재난 복구 계획(Disaster Recovery Planning)

- 정보시스템 감사

 

마지막으로 정보 자원 보안을 위한 도구와 기술은 무엇일까

 

가장 대표적인 방법은 신원관리와 인증이다. 인가받은 사용자만 아는 패스워드를 사용하여 신원을 관리하고 토큰이나 스마트카드, 생체인증, 이중 인증이 현재 개발되고 있는 새로운 인증기술이다.

 

추가로 인가받지 않은 사용자가 접근하는 것을 막는 방화벽, IDS(침입 탐지 시스템), 안티바이러스 소프트웨어, UTM(통합 위협 관리), 암호화, 전자 인증서 등이 이에 해당한다.