'KISA'에 해당되는 글 4건

랜섬웨어는 기업의 핵심 자산인 정보 시스템과 데이터를 암호화하여 접근을 제한하고 금전을 요구하는 악성코드의 한 형태로, 기업 운영의 중단 및 재정적 손실은 물론, 개인정보 유출 사고로 이어질 수 있습니다. 이러한 위협은 신속하고 체계적인 대응 및 복구 절차의 수립 및 이행을 요구하며, 정보보안담당자(CISO)와 개인정보보호담당자(DPO)의 긴밀한 협력을 필요로 합니다. 국내외 규제기관은 랜섬웨어 피해 예방 및 대응을 위한 가이드라인을 제시하고 있으며, 특히 개인정보 유출 시 법적 통지 의무가 발생하므로 이에 대한 준비가 중요합니다.

1. 사전 준비 및 예방

• 백업 시스템 구축 및 관리: 주기적으로 중요 데이터를 백업하고, 백업 데이터는 네트워크로부터 물리적 또는 논리적으로 분리된 공간에 안전하게 보관합니다. KISA는 3-2-1 백업 원칙(3개의 복사본, 2개의 다른 저장매체, 1개의 외부 보관)을 권고합니다,
• 침해사고 대응 계획(IRP) 수립: 랜섬웨어 감염 상황을 가정한 구체적인 대응 절차(탐지, 분석, 격리, 복구, 보고 등)를 포함한 계획을 수립하고 정기적으로 모의 훈련을 실시합니다.
• 보안 시스템 강화: EDR(Endpoint Detection and Response), 네트워크 침입 탐지/방지 시스템(IDS/IPS), 차세대 방화벽(NGFW), 스팸 메일 차단 솔루션 등을 도입하여 이상 행위를 탐지하고 차단합니다.
• 취약점 관리 및 패치 적용: 운영체제, 응용 프로그램, 보안 솔루션 등의 최신 보안 패치를 즉시 적용하고, 주기적인 취약점 점검을 통해 보안 강도를 유지합니다.
• 직원 보안 교육: 랜섬웨어의 주요 감염 경로인 악성 메일, 피싱 등에 대한 경각심을 높이고, 의심스러운 파일 또는 링크를 열람하지 않도록 정기적인 보안 교육을 실시합니다.

2. 감염 인지 및 초기 대응

• 감염 인지: 랜섬웨어는 파일 확장자 변경, 랜섬노트 발견, 시스템 성능 저하, 특정 프로세스 실행 등의 증상으로 감지될 수 있습니다.
• 시스템 격리: 감염이 확인된 시스템은 즉시 네트워크로부터 물리적 또는 논리적으로 격리하여 랜섬웨어의 추가 확산을 방지합니다.
• 초기 증거 보전: 시스템 전원 종료 전 메모리 덤프 등 초기 증거를 확보하고, 침해 로그 및 악성코드 샘플을 수집하여 향후 분석에 활용합니다.
• 내부 보고 및 협의: CISO는 관련 부서(IT, 법무, 홍보 등)에 상황을 공유하고, DPO와 협력하여 개인정보 유출 여부 및 법적 보고 의무를 검토합니다. 경영진에게 상황을 신속히 보고하여 의사결정을 지원합니다.

3. 원인 분석 및 복구

• 감염 경로 및 범위 파악: 포렌식 분석을 통해 최초 감염 경로, 랜섬웨어 종류, 암호화된 파일 범위, 유출된 정보 유무 등을 정확히 파악합니다.
• 악성코드 분석 및 복호화 시도: KISA 등 전문 기관에 협조를 요청하여 악성코드 분석 및 복호화 가능성을 타진합니다. 이때, 공격자의 요구에 응하여 금전을 지급하는 것은 권장되지 않습니다.
• 백업 시스템을 통한 복구: 안전하다고 확인된 백업 데이터를 활용하여 시스템 및 데이터를 복구합니다. 복구 전에는 백업 데이터의 무결성을 반드시 확인합니다.
• 시스템 재구축 및 보안 강화: 감염 시스템은 포맷 후 운영체제 및 응용 프로그램을 재설치하고, 분석 결과를 반영하여 보안 설정을 강화합니다. 알려진 취약점 및 감염 경로를 차단하는 대책을 수립합니다.

4. 사후 조치 및 보고

• 피해 평가: 재산적 피해(복구 비용, 영업 손실 등)와 비재산적 피해(기업 이미지 손상, 법적 제재 등)를 종합적으로 평가합니다.
• 개인정보 유출 신고 및 통지: 개인정보 유출이 확인된 경우, 정보통신망법 또는 개인정보보호법에 따라 지체 없이 개인정보보호위원회(또는 한국인터넷진흥원)에 신고하고 정보주체에게 통지해야 합니다. [참고: 개인정보보호법 제34조(개인정보 유출등의 통지 및 신고)]
• 재발 방지 대책 수립 및 이행: 침해사고의 원인 분석 결과를 바탕으로 보안 시스템 보강, 접근 제어 강화, 비상 대응 훈련 강화 등 재발 방지 대책을 수립하고 이행합니다.
• 대응 프로세스 개선: 이번 랜섬웨어 대응 과정을 검토하고, 미흡했던 부분을 개선하여 침해사고 대응 계획(IRP)을 업데이트합니다.

실무 관점에서의 의미

랜섬웨어 감염 시 CISO와 CPO는 각자의 전문성을 바탕으로 긴밀히 협력해야 합니다.

• CISO(정보보안담당자):
  • 기술적 관점에서 랜섬웨어 탐지, 분석, 격리, 복구 등 전반적인 침해사고 대응을 총괄합니다.
  • 예방 시스템 구축 및 보안 취약점 관리를 통해 사전 방어 체계를 강화하고, 백업 및 복구 전략의 유효성을 확보해야 합니다.
  • 사고 발생 시 기술 부서와의 조율, 경영진 보고 및 외부 전문 기관과의 협력 창구 역할을 수행합니다. [참고: 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증 기준]
• CPO(개인정보보호담당자):
  • 랜섬웨어 감염으로 인한 개인정보 유출 가능성을 평가하고, 유출 발생 시 개인정보보호법 등 관련 법규에 따른 법적 의무 이행(개인정보 유출 통지 및 신고)을 주도합니다.
  • 유출된 개인정보의 범위, 종류, 영향 등을 파악하여 피해를 최소화하기 위한 조치를 수립하고, 정보주체와의 커뮤니케이션 전략을 담당합니다.
  • 법무팀과 협력하여 법적 리스크를 분석하고, 과징금 등 행정처분 가능성에 대비합니다. 

두 역할 모두 사고 전 예방 활동과 사고 후 복구 및 재발 방지 대책 수립에 있어 상호 보완적인 협업이 필수적입니다. 특히, 개인정보 유출 사고 발생 시 기술적 조치와 법적/행정적 조치가 동시에 신속하게 이루어져야 합니다.

정리

랜섬웨어 감염은 기업의 존폐를 위협할 수 있는 심각한 보안 사고이며, 신속하고 체계적인 대응과 복구 절차가 필수적입니다. 사전 예방 활동 강화, 효과적인 백업 시스템 구축, 명확한 침해사고 대응 계획 수립 및 주기적인 훈련이 가장 중요합니다. 감염 발생 시에는 즉각적인 시스템 격리, 증거 보전, 원인 분석 및 백업을 통한 복구에 집중해야 합니다. 또한, 개인정보 유출 여부를 면밀히 검토하고, 관련 법규에 따라 신속하게 신고 및 통지 의무를 이행하는 것이 중요합니다. CISO와 DPO는 이러한 일련의 과정에서 긴밀한 협력을 통해 기업의 보안과 법적 의무 준수를 모두 확보해야 합니다.

제로 트러스트(Zero Trust) 아키텍처는 "절대 신뢰하지 말고, 항상 검증하라(Never Trust, Always Verify)"는 원칙에 기반하여, 네트워크 내외부의 모든 사용자, 기기, 애플리케이션에 대한 지속적인 검증을 요구하는 보안 모델입니다. 전통적인 경계 기반 보안 모델이 내부 네트워크를 신뢰하는 한계를 극복하고, 갈수록 고도화되는 사이버 위협 환경에서 기업의 정보 자산과 개인정보를 보호하기 위한 필수적인 전략으로 부상하고 있습니다. CISO와 DPO는 제로 트러스트 도입을 통해 데이터 유출 및 침해 사고 위험을 최소화하고, 국내외 개인정보보호 규제(개인정보보호법, GDPR 등) 준수 역량을 강화할 수 있습니다.

제로 트러스트 아키텍처 도입은 단일 솔루션 구매가 아닌, 조직의 보안 문화와 인프라 전반에 걸친 전략적 전환을 요구합니다. 다음은 국내 기업 환경을 고려한 단계별 접근법입니다.

• 1단계: 비전 수립 및 보호 대상 정의 (Protect Surface 식별)
  • 조직의 핵심 비즈니스 목표와 연계된 제로 트러스트 비전을 수립하고, 보호해야 할 가장 중요한 데이터, 애플리케이션, 자산, 서비스를 식별합니다. 이를 보호 대상(Protect Surface)이라고 하며, 제로 트러스트 전략의 초점을 명확히 하는 데 중요합니다.
  • 기존의 광범위한 공격 표면(Attack Surface) 대신, 핵심 자산에 집중하여 보안 정책을 설계하고 적용함으로써 효율성을 높입니다.
  • 관련 자료: NIST Special Publication 800-207, Zero Trust Architecture - https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-207.pdf
• 2단계: 현재 환경 가시성 확보 및 분석
  • 현재 조직의 모든 사용자, 기기(PC, 모바일, IoT 등), 애플리케이션, 데이터의 흐름, 네트워크 트래픽에 대한 포괄적인 가시성을 확보합니다. 이는 누가(Who), 무엇에(What), 언제(When), 어디서(Where), 어떻게(How) 접근하는지 파악하는 과정입니다.
  • 기존 시스템(IAM, EDR, SIEM, NAC 등)과의 연동을 통해 관련 정보를 수집하고, 현재의 보안 정책 및 통제 현황을 분석하여 제로 트러스트 전환을 위한 기준점을 마련합니다.
  • 관련 자료: 한국인터넷진흥원(KISA) 제로 트러스트 가이드라인 (2022년) - https://www.kisa.or.kr/dn/selectBoardNtt.do?nttSn=126485&menuNo=E0101
• 3단계: 마이크로 세그멘테이션(Microsegmentation) 구현
  • 식별된 보호 대상을 중심으로 네트워크를 세분화(마이크로 세그멘테이션)하여, 인가된 트래픽만 허용하고 모든 내부 트래픽에 대해서도 정책 기반의 접근 제어를 적용합니다. 이를 통해 공격자가 내부 네트워크에 침투하더라도 횡적 이동(Lateral Movement)을 제한할 수 있습니다.
  • 가상화 기술, SDN(Software-Defined Networking) 또는 클라우드 기반 네트워크 정책을 활용하여 물리적 네트워크 구성 변경 없이 논리적인 분리를 구현합니다.
• 4단계: 다중 인증(MFA) 및 적응형 접근 정책 강화
  • 모든 사용자 및 기기에 대해 다중 인증(MFA)을 의무화하고, 상황별 적응형 접근 정책을 도입합니다. 사용자 역할, 기기 상태(패치 여부, 취약점 유무), 위치, 접속 시간, 접근하려는 데이터의 민감도 등을 종합적으로 판단하여 동적으로 접근 권한을 부여하거나 거부합니다.
  • IAM(Identity and Access Management) 시스템을 강화하고, 기기 관리(MDM/UEM) 솔루션과 연동하여 기기의 보안 상태를 지속적으로 확인합니다.
• 5단계: 지속적인 모니터링, 검증 및 개선
  • 제로 트러스트 정책의 적용 여부, 효과성, 보안 이벤트 등을 지속적으로 모니터링하고 분석합니다. 모든 접근 시도를 기록하고, 이상 행위 탐지 시스템(UEBA)과 연동하여 위협을 즉시 감지하고 대응합니다.
  • 정책의 유효성을 주기적으로 검증하고, 변화하는 비즈니스 환경 및 위협 트렌드에 맞춰 정책을 반복적으로 개선합니다. 이는 제로 트러스트가 정적인 상태가 아닌 지속적인 프로세스임을 의미합니다.
  • 관련 자료: Gartner, Top Security and Risk Management Trends for 2023 - https://www.gartner.com/en/articles/top-security-and-risk-management-trends-for-2023

실무 관점에서의 의미

• CISO 관점:
  • 위협 노출 면적 최소화: 내부 네트워크 침투 시 공격자의 활동 범위를 제한하여 침해 확산을 방지하고, 제로데이 공격 및 랜섬웨어 등 고도화된 위협에 대한 방어력을 향상시킵니다.
  • 보안 가시성 및 통제력 강화: 모든 접근에 대한 명시적인 검증을 통해 누가, 무엇에 접근하는지 명확히 파악하고 통제할 수 있어 보안 관리의 효율성이 증대됩니다.
  • 운영 복잡성 관리: 단계별 접근을 통해 기존 인프라와의 점진적인 통합을 추진하며, 도입 초기 단계의 혼란을 최소화하고 비용 효율적인 전환을 유도합니다.
• CPO 관점:
  • 개인정보 보호 강화: 민감한 개인정보가 저장된 시스템 및 데이터베이스에 대한 접근을 엄격히 통제하고, 유출 발생 시 피해를 최소화할 수 있는 환경을 구축합니다.
  • 규제 준수 및 감사 대응력 향상: 개인정보보호법 및 GDPR 등 국내외 개인정보보호 규제에서 요구하는 접근 통제, 최소 권한 원칙, 보안 감사 기록 유지 등의 요건을 충족하는 데 기여합니다. 모든 접근에 대한 기록과 검증은 감사 시 중요한 증거 자료가 됩니다.
  • 데이터 중심 보안: 데이터를 중심으로 보호 대상을 식별하고 접근 정책을 수립함으로써, 개인정보 생명주기 전반에 걸친 보안을 강화할 수 있습니다.

정리

제로 트러스트 아키텍처는 더 이상 선택이 아닌 필수적인 보안 전략입니다. 성공적인 도입을 위해서는 기술적인 구현뿐만 아니라 조직 내 보안 문화의 변화, 리더십의 강력한 지원, 그리고 CISO와 DPO 간의 긴밀한 협력이 필수적입니다. 단계별 접근법을 통해 조직의 특성을 고려한 맞춤형 전략을 수립하고, 지속적인 개선 노력을 통해 견고한 보안 체계를 구축해야 할 것입니다. 이는 궁극적으로 기업의 핵심 자산과 소중한 개인정보를 효과적으로 보호하는 기반이 될 것입니다.

주요 정보통신 기반 시설(Critical Information Infrastructure)은 국가 안보, 경제 및 국민 생활에 중대한 영향을 미치는 정보통신시스템으로서, 사이버 공격으로부터의 보호는 국가적인 핵심 과제입니다. 이에 따라 관련 법률에 의거하여 기반 시설의 취약점을 주기적으로 분석하고 평가하는 절차는 시설의 안정성과 신뢰성을 확보하는 필수적인 과정입니다. 본 문서는 정보보안 및 개인정보보호 담당자가 기반 시설 보호를 위한 취약점 분석 및 평가 방법을 이해하고, 실무에 적용하는 데 필요한 사실 기반 정보를 제공합니다.

주요 정보통신 기반 시설에 대한 취약점 분석 및 평가는 「주요정보통신기반시설 보호법」 제9조(취약점 분석·평가)에 따라 매년 1회 이상 의무적으로 수행되어야 합니다. 이 과정은 기반 시설의 보안 수준을 진단하고, 발견된 취약점을 제거하여 사이버 위협에 대한 대응 능력을 강화하는 것을 목표로 합니다.

• 법적 근거:
  • 주요정보통신기반시설 보호법: 기반 시설의 지정, 보호대책 수립, 취약점 분석·평가, 침해사고 대응 등 전반적인 보호 체계를 규정합니다.
    http://www.law.go.kr/법령/주요정보통신기반시설보호법
  • 과학기술정보통신부 고시 '주요정보통신기반시설 취약점 분석·평가 기준': 취약점 분석·평가의 구체적인 절차, 방법, 항목 및 결과 처리 등에 관한 세부 기준을 명시합니다. 이 기준은 매년 정부의 최신 보안 정책과 기술 변화를 반영하여 개정됩니다.
    https://www.kisa.or.kr/2040406/form/202/view.do (과학기술정보통신부고시 제2023-53호 '주요정보통신기반시설 취약점 분석·평가 기준' 예시)
• 분석 및 평가 범위:
  • 기반 시설을 구성하는 정보시스템(서버, 네트워크 장비, 보안 장비 등), 운영체제, 데이터베이스, 웹 애플리케이션 등 모든 구성 요소를 포함합니다.
  • 물리적 보안, 기술적 보안, 관리적 보안 측면을 종합적으로 고려하여 평가합니다.
• 주요 분석 및 평가 항목 (과학기술정보통신부 고시 기반):
  • 기술적 취약점:
    • 시스템 보안: 운영체제, 서버, 네트워크 장비 등의 설정 및 관리 취약점.
    • 애플리케이션 보안: 웹 애플리케이션, 모바일 애플리케이션 등의 개발 보안 취약점(OWASP Top 10 등).
    • 네트워크 보안: 네트워크 구성, 접근 제어, 무선 네트워크 등의 취약점.
    • 데이터베이스 보안: 데이터베이스 설정, 접근 통제, 개인정보보호 조치 여부.
  • 관리적 취약점:
    • 보안 정책 및 지침: 수립 및 준수 여부.
    • 인력 보안: 보안 교육, 접근 권한 관리.
    • 침해사고 대응 체계: 사고 예방 및 대응 계획의 적절성.
  • 물리적 취약점:
    • 시설 접근 통제, 설비 보안, 재난 대비 등.
• 분석 및 평가 절차:
  1. 계획 수립: 분석 대상 및 범위, 방법, 일정, 인력 등을 포함한 계획을 수립합니다.
  2. 취약점 분석: 자동화된 도구(취약점 스캐너) 및 수동 점검(모의 해킹, 소스 코드 분석, 설정 점검 등)을 병행하여 취약점을 식별합니다.
  3. 취약점 평가: 식별된 취약점에 대해 위험도(영향도, 발생 가능성)를 평가하고, 조치 우선순위를 결정합니다.
  4. 보호대책 수립 및 이행: 평가 결과에 따라 취약점 제거 및 보완을 위한 보호대책을 수립하고 이행합니다.
  5. 결과 보고: 분석·평가 결과를 기반 시설 관리기관의 장에게 보고하고, 조치 계획을 포함하여 한국인터넷진흥원(KISA)에 제출합니다.

실무 관점에서의 의미

• CISO (정보보안최고책임자):
  • 법규 준수 및 리스크 관리: 「주요정보통신기반시설 보호법」 준수는 CISO의 핵심 책임입니다. 취약점 분석·평가 결과를 통해 조직의 전반적인 정보보안 리스크 수준을 파악하고, 이를 기반으로 보안 예산 및 인력 배정을 위한 전략적 의사결정을 지원합니다.
  • 보안 투자 효율성 증대: 발견된 취약점의 심각도와 영향도를 기반으로 보안 투자의 우선순위를 설정함으로써, 한정된 자원을 가장 효과적으로 활용할 수 있습니다.
  • 정량적 성과 측정: 주기적인 취약점 분석·평가는 보안 수준 향상을 정량적으로 측정하고, 경영진에게 보안 투자에 대한 성과를 보고하는 근거 자료로 활용될 수 있습니다.
• DPO (개인정보보호책임자):
  • 개인정보 유출 예방: 주요 정보통신 기반 시설에 저장되거나 처리되는 개인정보는 취약점을 통해 유출될 가능성이 있습니다. 취약점 분석·평가 과정에서 개인정보 관련 시스템의 취약점이 발견되면, 이는 즉각적인 조치가 필요한 사항이며 DPO는 해당 취약점의 개선을 정보보안팀에 요청하고 확인해야 합니다.
  • 법규 준수 연계: 「개인정보 보호법」 및 관련 고시는 기술적·관리적 보호조치 의무를 강조하며, 기반 시설의 취약점은 해당 보호조치의 미비를 의미할 수 있습니다. DPO는 취약점 분석·평가 결과가 개인정보보호 법규 준수 여부와 직결됨을 인지하고 CISO와 긴밀히 협력해야 합니다.
  • 협업의 중요성: CISO와 DPO는 긴밀한 협력을 통해 기술적 취약점이 개인정보 침해로 이어지지 않도록 예방하는 공동의 목표를 가집니다. 특히, 개인정보 처리 시스템에 대한 취약점 점검 항목을 강화하고, 발견된 취약점 조치 여부를 공동으로 점검하는 것이 중요합니다.

정리

주요 정보통신 기반 시설의 취약점 분석 및 평가는 단순한 의무 준수를 넘어, 국가 및 기업의 핵심 자산을 보호하고 지속적인 서비스 제공을 위한 필수적인 활동입니다. CISO는 이 과정을 통해 조직의 보안 체계를 강화하고 리스크를 효과적으로 관리하며, DPO는 개인정보보호 관점에서 잠재적 위험 요소를 식별하고 개선함으로써 개인정보 침해 사고를 예방하는 데 기여할 수 있습니다. 관련 법규와 가이드를 기반으로 한 체계적인 접근과 지속적인 개선 노력이 요구됩니다.

이 글을 검색해서 들어오신 분이시라면

올해 ISMS와 PIMS가 통합된다는 소식은 들으셨을 겁니다.

구체적인 내용은 발표되지 않았지만 통합만큼은 확정되었죠...

저와 함께 공부하던 사람들한테 통합때문에 시험이 없지 않을까라고 얘기는 했지만

그게 정말 현실이 되어버렸네요...

2018년에는 ISMS 및 PIMS 인증심사원 자격검정이 없습니다.

다만, 기존 심사원들의 자격 통합만 진행될 예정이라고 합니다.

자세한 내용은 KISA ISMS 홈페이지의 공지사항을 확인하시면 되겠습니다.

공지사항 바로가기