02. 조직 정보 보안 프레임워크 모델 설명

보안은 기본적으로 "공격,위험, 취약"에 대한 "수비, 대책 활동"을 말한다. 정보 보안은 "정보와 정보 시스템"을 보호하기 위한 기술적, 관리적, 제도적인 총체적인 보안 활동을 말한다. 따라서 공격을 구체적으로 잘 아는 만큼 수비도 잘 할 수 있다. 

그러나 이번 시리즈에서는 지금까지 알려진 공격들을 분석해서 기업들에서 자신만의 구체적인 수비 방법을 구현해나갈 수 있도록 수비의 큰 그림을 그릴 것이다. 즉 기업에서 참조할 수 있는 레퍼런스 모델을 작성하는 것이다. 

여러 자료들을 살펴보면 기업에서의 보안 활동을 정리하기 위해서 다양한 관점에서 표현된다.

■ 전사 보안 프레임워크 - "기술적", "물리적", "관리적", "제도적" 

보안 활동을 성격에 따라서 "기술적", "물리적", "관리적", "제도적" 카테고리로 구분해서 표현하려는 시도로서, 기업에서 이뤄지는 모든 보안 활동을 표현하기에 유용한 모델인듯 하다. 전사 관점에서 보안을 담당하고 있는 사람이라면 기술적 관점뿐만 아니라 물리적, 관리적, 제도적 관점등 좀 더 폯넓은 관점에서 그린 그림을 가지고 있어야 할 것이다.   

(출처 : (주)인포레버 컨설팅 강의를 참고해서 달봉이가 예전에 사용했던 보안 프레임워크이다 )

■ 클라이언트 - 네트워크 보안 - 서비스 보안- Repository 보안 - 데이터/컨텐츠 보안

앞의 그림중에서 다시 정보 시스템을 대상으로 하는 기술적 보안은 기업 시스템의 구조를 바탕으로 이처럼 구분해서 정리하기도 한다. 

네트워크 보안 : SSL/TSL, IPSEC같은 와이어상의 보호, 방화벽, 라우터 같은 장비상에서의 보호, 랜(무선랜)보호

Repository 보안 : 파일시스템, DBMS에서 사용하는 접근제어, 통제 기술

데이터/컨텐츠 보안 : 파일 시스템 및 데이터베이스에서 관리되는 데이터의 암호화같은 보안

■ 보안 = 하드웨어 + 소프트웨어 + 프로세스

보안 활동이 적용되는 대상에 따라서 이처럼 표현할 수도 있을 것이다.잘 정의된 잘된 작업 처리, 시스템 운영 등의 프로세스를 통해서 하드웨어 보안과 소프트웨어 보안의 결합이다.

하드웨어 : 방화벽, 라우터같은 네트워크 구성요소, 서버들을 포함한 인프라

소프트웨어 : 운영시스템같은 소프트웨어와 개발을 통해서 운영체제위에 올라가는 응용프로그램 소프트웨어

프로세스 : 업무를 처리하는 작업 절차 또는 대칭키를 정기적으로 회전시키기너 만료되는 X.509 인증서를 갱싱하는 작업등의 시스템 운영 프로세스

■ CIA 모델

보안 요구 사항을 기본적으로 "CIA"라는 카테고리로 분류해서 관리하는 방법이다: C( Confidentiality, 기밀성), I( Integrity, 무결성), A(Availability, 가용성 ). 그리고 이 카테고리로 분류할 수 없는 것이 관리상의 보안 즉 "보안감사"가 있을 수 있다. 그리고 부인 방지(nonrepudiation)을 카테고리에서 분리해서 관리하기도 한다. 

달봉이도 "CIA, 부인방지, 보안감사"로 분류해서, 취약한 보안 코드 작업, 암호화 작업, 해킹 방지 작업, 로깅 작업, 추적/감사 작업 모두 이 카테고리안에서 좀 더 상세히 보안 프레임워크를 정의해 볼려고 한다. .