컨설팅의 다양한 업무 이해

컨설팅의 다양한 업무 이해

 

기준점 A. 컨설팅 분야의 구분

1. 기업과 기관의 보안을 강화하기 위한 컨설팅b. 취약점 진단 컨설팅 : 관리적,물리적,기술적 측면에서 기업의 보안 취약점을 진단하고, 이에 대한 개선 방안을 제시하는 서비스
   
   a. 정보보호 컨설팅 : 침해사고 및 내부자에 의한 보안사고를 예방하기 위해, 종합적인 보안진단을 시행하는 것 으로, 보안 취약점 분석을 통해 실효성 있는 개선방안을 제시하고, 장기적인 정보보호 로드맵을 수립하는 서비스.
   
   b. 취약점 진단 컨설팅 : 관리적,물리적,기술적 측면에서 기업의 보안 취약점을 진단하고, 이에 대한 개선 방안을 제시하는 서비스
   
   
2. 각기 관련법에 따라 해당 기업과 기관이 반드시 시행해야 하는 컨설팅
   
   a. 정보보호 인증 지원 컨설팅 : ISMS-P, ISO/IEC 27001 등 다양한 정보보호 인증 획득을 지원하는 서비스이다. 인증별 점검 항목을 분석하고, 도출된 위험 요소에 대한 보호 대책을 수립하며, 인증 심사에 필요한 이행 증적 문서 작성을 지원하는 등 사전 준비부터 인증서 획득까지 모든 과정에 대한 서비스를 포함한다.
   
   b. 주요 정보통신 기반 시설 컨설팅 : 정보통신기반보호법에 의해 지정된 주요정보통신기반시설이 필수적으로 수행해야 하는 평가로, 주요정보통신기반시설에 대한 관리적, 물리적, 기술적 보안 취약점을 분석 평가 하고 취약점 점검을 통해 발견된 문제점에 대한 예방 및 개선방안을 제시한다.
   
   
   
3. '개인정보'와 관련된 컨설팅
   
   a. 개인정보보호 컨설팅 : 개인정보를 취급하는 업무 프로세스의 개인정보처리시스템에 대한 취약점 점검을 통해, 개인정보가 침해될 수 있는 위협요인을 도출하고 그에 대한 개선방안을 제시한다.
   
   b. 개인정보영향평가 : 개인정보처리 기준에 따라, 일정 규모 이상의 개인정보파일을 운영하는 공공기관은 의무적으로 수행해야 하는 평가로, 개인정보파일을 다루는 정보시스템의 운용으로 인해 정보주체의 개인정보가 침해되는 경우 그 위험 요인을 분석하고 개선사항을 도출한다.

---

기준점 B. 대표적인 보안 컨설팅 종류

1. 통합보안 컨설팅 - 정보보호 종합 컨설팅
   
   
2. 취약점 진단 컨설팅 - 시스템 취약점진단 컨설팅
   
   
3. 인증 컨설팅 - 정보보호관리체계 및 인증지원 컨설팅
   
   
4. 개발보안 컨설팅 - 웹어플리케이션진단 컨설팅
   
   
5. 법 제도 기반 컨설팅 - 주요정보통신기반보호 컨설팅

---

1. 정보보호 컨설팅

 

국내 (K-ISMS), 국제보안표준(ISO 27001) 및 상위 기관이 제시하는 Compliance를 기반으로 하는 종합 Check List

기관의 비전 및 목표, 현황에 적합한 현실성 있는 Road-Map 수립

기업/기관의 업무환경 분석을 통해 계획 수립

우선 순위 선정 평가 기준에 따라 단/중/장기 마스터 플랜을 통한 체계적 관리

조직의 정보보호 수준을 향상 시키기 위해 자산의 생성 처리 보관 삭제 중에 발생할 수 있는 잠재적인 위험 요소(비인가자의 접근, 정보의 손실, 위조, 변조 등)를 식별하고, 서비스 제공의 연속성을 보장하기 위해 계획 수행 확인 감사해야 할 절차를 관리적 - 기술적 - 물리적인 관점에서 개선과제를 도출하여 정보보호 마스터 플랜을 제공하는 서비스

---

 

취약점 진단 및 모의해킹

 

(공격자 관점의 컨설팅/블랙박스 테스팅)

---

취약점 점검

 

infra 취약점 점검(Infra 환경분석) - 취약점 진단

네트워크장비, 보안장비, 서버시스템, DBMS, WAS 등 시스템 운영을 위한 취약점 점검

기준 스크립트 항목에 따른 취약점 파악

취약점 파악을 통한 이행 조치 및 증적 자료 확보

"관리자" 입장에서 인프라 보안 설정 여부 판단 : 잠재적인 취약점을 미리 방지하는 것

"주요정보통신기반 시설 기술 취약점 분석평가" 가이드 참고

효율적인 분석을 위해 스크립트 자동/수동 진단으로 수행

---

모의해킹 (취약점 진단을 바탕으로 수행)

 

대상 시스템의 취약한 정보를 수집

취약점 정보를 바탕으로 위협 모델링(시나리오 기반)

목적 달성까지 진행하는 방법

• 취약점 식별을 한 후에, 모의 해킹을 통해 증명함

모의 해킹은 IT 서비스 환경을 고려하여 시나리오를 세분화하여 진행하며, 이에 따른 가이드라인 제시

실제 해커 행동 유형을 파악하여 기업/기관의 정보 자산의 피해를 파악

개인정보의 유출 및 기업/기관의 기밀 데이터 침해 예방을 위한 대책 수립

---

 

취약점 진단 수행방법

고객사의 보안 담당자의 사전 협의 후 취약점 진단 전담 컨설턴트에 의해 수행

스크립트를 이용한 자동화 진단 및 컨설턴트의 수동 진단을 통한 최적의 진단 실시

각 자산별 취약점 진단 및 대책수립, 평가, 개선 현황 종합

---

모의해킹 수행 방법

고객사의 보안 담당자와 사전 협의 후 모의해킹 전담 컨설턴트에 의해 수행

정보시스템 외부에서 해커를 가장하여 침투테스트를 수행, 내부의 악의적인 사용자를 가장한 정보유출 및 시스템 파괴 등의 시나리오를 이용하여 점검

---

정보 보호 컨설팅의 단계

1.환경 및 현상 분석

고객사에서 요구하는 보안 수준이나 목표, 고객사의 경영정보 파악

자료수집

업무현황 분석, 보안현황 분석, 보안 수준 측정, 요구사항 분석 단계로 분류

업무 현황 분석 : 조직의 일반적인 업무 상황을 파악

보안 현황 분석 : 조직의 전반적인 보안 현황을 조사

보안 수준 측정 : 선행된 두 단계에서 수진된 자료 및  설문을 통한 조직의 보안 수준 측정

요구 사항 분석 : 조직의 보안 요구 사항 분석 및 조직 환경에 적합한 보안 우선 순위

---

2. 자산 분석 및 위협 분석 (위험관리)

 

조직의 응용 서비스 및 정보 시스템에 대한 위험을 분석하고 취약점을 점검하여 조직 전산망 안고 있는 문제점 파악

자산 파악, 자산의 중요도 평가, 기술적 취약점 및 위험 분석을 진행

---

2.1 모의 해킹 및 취약점 진단

조직의 네트워크, 시스템, 데이터베이스의 취약점을 진단하고 분석하는 것

취약점 도구를 이용하여 방법/해킹 전문 인력을 이용한 실제 침입시험 방법 = 모의해킹

네트워크 취약점 진단 : 네트워크 장비의 취약점을 진단하여 DDOs공격을 포함한 다양한 공격에 대한 위험을 최소화할 수 있는 방안을 마련하는데 도움을 줌

시스템 취약점 진단 : 시스템 운영체제의 수많은 부분을 점검하여 호스트 내부의 취약점을 점검

데이터베이스 취약점 진단 : 데이터 베이스 시스템이 노출하고 있는 잠재적인 보안 위험을 자동으로 검증하여 조직 응용 서비스의 취약점 대응 방안을 모색하는 것을 지원

모의 해킹 : 네트워크 및 시스템에 대한 감사기록, 모니터링, 침입탐지, 대응 상황을 점검함.

• 조직 정보시스템 안정성 평가/시스템 관리자가 공격을 효과으로 탐지하고 대응할 수 있는 능력을 평가/보안시스템의 효율성 분석

---

2.2 위험 분석 및 위험 평가

 

조직의 중요 정보시스템과 그 자산의 기밀성, 무결성, 가용성에 영향을 미칠수 있는 다양한 위험에 대하여 조직의 정보시스템의 취약성을 분석하고 이로 인해서 예상되는 손실 분석

위험 분석 : IT 자산을 식별/분류하고 자산가치를 평가하고 자산분석 단계,위협 식별/분류 및 위협 발생가능성과 손실 크기를 측정하는 위협분석 단계, 취약성을 점검하고 취약성 수준을 평가하는 취약성 분석 단계를 통하여 보호되어야 할 정보시스템의 위험 수준을 판단하고 이에 대한 대응책을 도출함

자산 분석 : 보호해야 할 전산 지원을 식별하고 체계적으로 분류함으로써 소유하고 있는 자산들의 가치를 평가하는 기본 단계

조직의 자산 가치를 확인하여 정량화하는 작업

위협 분석 단계에서는 조직의 정보 자산에 대한 위협을 식별하고 분류해서 발생빈도와 손실 크기 측정

취약성 분석 단계 : 각 자산에 대한 취약점을 파악하고 분류하여 위험을 감소시키는 것을 목적

• 식별된 각 정보 자산들에 대하여 구체적인 취약성을 조사 분석

---

3.보안대책 수립(보안 모델링)

 

어느 부분에 어떤 솔루션을 적용할지 결정하고 관제가 필요한 부분을 설정함

고객사별 보안 정책을 수립하고 보안 운영에 대한 문서 작성 등

실질적으로 보안이 운영되는데 필요한 부분 전반을 설정하는 단계

---

3.1 정책 지침 수립 및 체계 설계

조직의 정보 자산을 어떻게 관리하고 보호할 것인가에 대한 구체적인 행위를 규정하는 정보보호 정책, 지침, 절차 제시

형상 분석 단계와 위험 관리 단계에서 도출된 관리적, 물리적, 기술적 이슈들을 분류하고 각 분야별 보안 대책방안을 제시함으로써 조직의 정보보호체계 수립

---

3.2 마스터 플랜 수립 및 구축 설계

보안 대책 및 보안 모델에서 제시한 정보보호체계 구축을 위한 중장기적인 계획 수립

정보보호체계 구축을 휘한 보안 솔루션 평가 기준을 제시하고 조직의 심정에 맞는 보안 시스템 구축 지원

---

4.점검 및 사후 관리

실제 업무에 지장이 없는 범위에서 보안이 잘 이루어지고 있는지 점검하고 관리하는 유지 보수 단계

보안대책이 정상적으로 유지되는지의 관리여부

시스템 및 환경의 변화에 보안 요구사항의 변경관리 체계의 구축과 보안 계획에 따른 보안 수준의 유지의 모니터링 구축, 보안사고에 대한 대응체계 구축 등 유지보수 확인과 고객사에 대한 보안교육, 보안 기술 이전 및 사후관리 실시

---

정보보호 인증 지원 컨설팅

국내외 인증 제도 소개

국제 인증 제도

• ISO/IEC 27001
  • ISO : 국제표준화기구(International Organiztion for Standardzation)
    
    
  • IEC : 국제전기기술위원회 (International Electrotechnical Commission)
    
    
  • 정보보호 관리체계에 대한 권위 있는 국제 표준
    
    
  • 정책, 기술, 물리적 보안 등의 11개의 영역에서 국제 심판들의 심사와 검증을 통과해야 함
    
  • ISO/IEC 27701, 27017, 27018 등
    

---

국내 인증 제도

• ISMS-P : ISMS + PIMS
  
  
• CSAP
  • 국내 클라우드 서비스 제공자가 보안 인증을 수행하는 제도
    
  • 클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률 제23조의 2에 근거

---

ISMP-P 인증 제도

• 정의
  • 정보보호(ISMS) 및 개인정보보호(PIMS) 관리체계 인증제도
  • 관리체계 수립 및 운영, 보호 대책 요구사항, 개인정보 처리단계별 요구사항을 충족해야 인증 취득 가능
• 인증 체계
  • 정책기관(과기부, 개보위), 인증기관(KISA,금보원), 심사기관이 나뉘어 인증 추진
• 법적 근거
  • 법령 : 정보통신망법 제47조와 개인정보보호법 제32조의2
  • 고시 : 정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시
• 의무 대상자의 법적 이행
  • 정보통신망서비스 제공자와 집적정보통신시설 사업자
  • 정보통신 부문 매출액이 300억 이상, 심사항목및 심사기간을 6개월로 축소하며 간이 심사 제도 도입
  • 연 매출액 1500억이상인 상급 종합병원과 재학생수 1만 명 이상인 학교
• 최초 심사
  • 다음해 8우러 31일까지 인증 취득해야함
  • 3년의 유효 기간이 부여됨
• 갱신 심사
  • 인증 유효기간을 연장하기 위해 실시
• 사후 심사
  • 인증 유효기간 중 매년 1년이상 시행되는 검사

---

컨플라이언스 컨설팅

• 정의
  • 자율적으로 법규를 준수하는 일련의 기업 시스템
  • 기업 윤리까지 포괄하는 경우도 있음
  • 국가가 정한 법적 의무를 준수할 수 있도록 컨설팅
• 대상
  • 주요 정보통신 기반시설
  • 전자금융 기반 시설
  • 개인정보보호법, 정보통신망법, 신용정보법, 위치정보법 등에 대한 대응을 원하는 기업

---

주요정보통신기반시설에 대한 취약점 진단

• 진단 대상
  • 정보통신 기반 보호법에 근거해 중앙행정기관의 장이 지정(국가 사이버 안보를 고려)
  • 정보통신기반시설과 행정,국방,치안,금융,에너지 등과 관련된 전자적 관리 시스템 등
• 법적 근거 및 의무
  • 정보통신기반 보호법 제9조에 의거해 매년 정기적으로 취약점 분석 및 평가 실시
  • 의무 기반 시설로 첫 지정됐을 시에는 6개월 이내 실시(승인을 얻어 3개월 연장 가능)
  • 자체적인 전담반 구성 혹은 자격이 있는 전문기관에 의뢰해야함
• 자격이 있는 전문기관
  • KISA, ETRI
  • ISAC(정보공유 분석 센터)
  • 정보보호 전문 서비스 기업 : 안랩, SK 쉴더스, 등 현재 28개의 기업 지정됨

---

컨설팅 항목

• 현황분석
  • 요구사항 및 지침 현황 분석
  • 업무와 정보 시스템 현황 분석
• 취약점 진단
  • 전년도 이행 점검
  • 관리적, 물리적, 기술적 취약점 진단
  • 웹 취약점 진단
• 위험 평가
  • 정보자산 평가
  • 위험 분석 및 개선방안 도출
• 보호대책 수립 및 이행
  • 취약점 조치계획 수립 및 이행 점검
  • 차년도 보호대책 수립

---

전자 금융 기반 시설 취약점 분석 평가

• 진단 대상
  • 총자산이 2조원 이상이고, 상시 종업원 수가 300명 이상인 금융회사 및 전자금융업자
  • 수산업형동조합법, 산림조합법, 상호저축은행법, 새마을금고법 등에 따른 중앙회
• 법적 근거 및 의무
  • 전자금융감독규정 제37조의2에 의거해 매년 취약점 분석 및 평가 실시 (홈페이지는 6개월)
  • 자체전담반을 구성하거나 평가전문기관에 위탁 가능
• 평가전문기관
  • 금융분야 ISAC, 금융보안원 정보보호 전문 서비스 기업 등
• 진단 영역
  • 인프라 (네트워크, 정보보호시스템 장비, DB, 서버, 정보보호 관리 체계 등)
  • 서비스 (웹, 모바일 , HTS)
  • 모의해킹은 선택적으로 실시 가능

---

개인정보 영향평가 (PIA)

 

PIA, PIMS, PIPL

• PIMS는 민간을 대상으로 개인정보 보호조치를 점검하여 일정 수준 이상의 기업에 인증을 부여하는 제도
  
  
• PIPL은 개인정보를 이용하고 있는 기관과 기업이 개인정보보호법의 요구사항을 충족하는지 평가하는 제도
  
  
• 현재 PIMS와 PIPL은 PIMS로 통합됨. 그리고 ISMS의 통합되어 ISMS-P(ISMS + PIMS)

---

PIA(Privacy Impact Assessment)

• PIMS와 PIPL은 민간 기업, PIA는 공공기관을 중심으로 진행되었음.
  
  
• 개인정보 파일을 운용하는 새로운 정보 시스템을 도입하거나, 기존 처리 시스템에 중대한 변경이 있을 시 시행하는 평가
  
  
• 시스템의 구축, 변경 등이 개인정보에 미치는 영향을 사전에 조사하여 개선방안을 도출 및 이행

---

법적 근거

• 개인정보보호법 제33조에 근거
  
  
• 개인정보보호 책임자와 담당자를 포함한 영향평가를 팀을 구성하고, 영향평가 수행전문 기관에 의뢰 및 행정안전부에 보고
  
  
• 평가 항목
  • 개인정보보호 관리 체계
  • 개인정보 처리단계별 보호(수집, 저장,이용,파기 등)
  • 특정 IT 기술에 대한 개인정보보호(CCTV, 위치 정보 등)

---

컨설팅 절차

• 평가수행 계획 및 자료 수집
  
  
• 개인정보처리 업무 현황과 흐름 분석
  
  
• 개인정보 침해요인 진단 및 위험도 산정
  
  
• 개선계획 수립
  
  
• 영향평가서 작성 및 개선사항 이행 확인

---

개인정보보호체계 수립

개인정보보호 관련 인증

• 국내 표준인 ISMS-P (PIMS) 인증 컨설팅
• 국제 표준인 ISO 27001 인증 컨설팅

---

수탁업체 점검 및 개선

• 개인정보보호의 관리적, 물리적, 기술적 조치 현황을 점검하고 개선 방안 제시

---

GDPR 이행 지원

• GDPR은 EU의 개인정보보호 법령이며, EU를 대상으로 사업을 하는 경우 적용 대상이 될 수 있음
• 삭제권, 처리 제한권, 개인정보 이동권, 자동화된 의사 결정 등 국내 개보법에 없는 조항이 있음