[보안맨] 취약점 점검 및 조치

안녕하세요, 보안맨 입니다.

이번 기고글에서 다룰 주제는 ‘취약점 점검 및 조치’에 관한 업무입니다. 

기술적 측면과 관리적 측면 등 광범위한 영역을 다루는 만큼 까다로운 주제입니다. 

특히 금융권의 경우, 컴플라이언스에 따른 법적 쟁점이 이슈가 될 수도 있는데요.

정보보호 관리체계 (이하 ‘ISMS-P’)에서 언급하는 취약점 점검 및 조치 업무란 다음과 같습니다.  

“정보시스템의 취약점이 노출되어 있는지를 확인하기 위하여 정기적으로 취약점 점검을 수행하고 발견된 취약점에 대해서는 신속하게 조치하여야 한다. 

또한 최신 보안취약점의 발생 여부를 지속적으로 파악하고 정보시스템에 미치는 영향을 분석하여 조치하여야 한다.”

필자의 경험에 따라, 금융권 회사 담당자로서 ‘전자금융기반시설 분석/평가’ 업무를 크게 2가지 관점으로 살펴보도록 하겠습니다. 

또한 주요정보통신기반시설 취약점 점검업무와 일정 영역 궤를 같이 하고 있으므로, 비 금융권 담당자분께서도 도움이 되실 것 같습니다.

이 기고글은 자체 전담반이 있는 대규모 기업인 경우를 제외하고, 정보보호컨설팅전문업체 선정에 따른 보안 담당자(‘관리자’)로서 주로 확인해야 할 사항을 다루었습니다. 

모든 업무 요소별 디테일하게 설명드리기는 어려운 점 미리 양해 부탁 드립니다

• 1.정보시스템 취약점 점검 절차 수립 / 정기적으로 점검 업무 수행
  
  

금융회사에서는 법적 요건에 따라, 매년 정보기술부문 계획서를 수립합니다

이때 정보보호에 대한 추진 목표/전략/계획을 수립하게 되며, 전자금융기반시설 분석/평가 관련 업무도 포함시킬 수 있습니다.

Figure1. 연간 정보기술부문계획서

실제 시작시점 전후로 많은 물밑 작업들을 해야 합니다.
 
회사마다 차이가 있을 수 있지만, 크게 내부 품의서(승인) → RFP (Request For Proposal) 각 업체에 배포 → 업체 평가/선정 (구매 절차) → 계약 업무 등을 수행해야 합니다.

모든 사전 업무 단계가 중요하지만, 필자의 경우, RFP 가 정말 중요하다고 생각하는데요. 
작성하실 때 아래 요소를 고려하시면 좋을 것 같습니다.

• 추진 세부 일정

• 점검 대상 (시스템, 웹/어플리케이션 등)

• 업무 범위 (e.g. 자산 분석, 기술 진단, 관리적 진단, 취약점 보완 대책 가이드 등)

; 관련 내부 규정 또는 대외 법령 등에 따른 주요 점검 사항 명시 등

; 예를 들어, 각 관리적/물리적/기술적 영역에 대해 2020년도 금융보안원 배포 ‘전자금융기반시설’ 체크리스트 기준 준용

• 요구사항 (사업 요구사항, 보안 요구사항, 품질 요구사항, 사업관리 요구사항)

; 업체 (‘수행사’) vs 당사 (‘발주사’) 간 R&R 구분

; 최종 산출물에 대한 상호간의 명확한 정의

; 투입 인력 수준

; 보안 관리 방안 (e.g. 파일 공유 방안, 단말기 반출입 통제 등)

Figure2. 제안 요청서 (RFP)(일부)

위 내부 절차가 종료됨에 따라, 최종 선정된 업체와 업무를 수행하게 되는데요. 

최소 업체 투입 2~3주 전 협력업체 PM (Project Manager)과 전반적인 특이사항 (e.g. 투입 인력, 업무 공간 마련 등), 업무 범위, 점검 자산 변동 사항 등을 체크하시면 좋습니다. 

보통 ‘수행 계획서’라는 산출물을 미리 투입일 한달 전에 담당자가 검토하고, 준비하게 되죠.

자, 대망의 프로젝트 점검입니다.

금융보안원에서 2020년도 초 배포한 ‘전자금융기반시설 보안 취약점 평가기준 (제2020-1호) 및 관련 안내서 등을 바탕으로 현황을 체크하게 되는데요. 이때, 담당자는 주로 아래의 사항을 고려하게 됩니다.

• -평가 항목별 관련 내부 인터뷰 담당자가 적절히 할당되었는가? 이때 사전에 양해를 구하고 미리 일정을 픽스하였는가? # 가능한 경우, 평가항목의 이해를 돕는 설명 미리 전달 등

• -평가 항목에 대해 인터뷰가 적절한가 혹은 증빙으로 대체 가능한가? 혹은 둘 다 확인해야 하는 사항인가? # 프로젝트 일정, 내부 특이사항 등에 따라 조정이 될 수도 있겠지만 가능하면 원칙적 접근법 (인터뷰&증빙 all) 준용 필요

• -발견된 취약점에 대해, 개선 대책/일정/관련 담당자 등이 적절히 배정되었는가?

• -발견된 취약점에 대해, 조치가 불가능해 위험을 수용, 전가 등 해야할 경우가 존재하는가? # 회사 내부 IT 위험 관리 절차 준용 등

Figure3. 관리적 영역 취약점 점검 결과 상세 (일부)

비록 업체의 도움을 받아 진행되는 업무(프로젝트)이지만, 담당자로서 진행되는 모든 사항을 챙기고, 적절히 검토해야 하는데요. 모든 일이 그렇듯, 합리적 의심을 바탕으로 100%를 만들어 나가야만, 업무를 문제없이 종결해 나갈 수 있습니다.

제가 생각하는 성공 요인 Key 3가지를 꼽자면 ‘일정 관리’ / ‘산출물’ / ‘사람’ 일 것 같은데요.

취약점 점검은 관리적/물리적 영역, 홈페이지 영역, 기술적(서버, DB, 보안장비 등) 영역 등 크게 3가지 범주로 나뉩니다. 

이때 모든 평가항목에 대해 보안 담당자 1인이 한달이 채 넘지 않는 기간 동안 일일이 전수 검토를 할 순 없습니다. 그래서, 미리 RFP 내에서 정의된 산출물을 기반으로, 각 영역별 인터뷰, 검토 스케쥴 표를 촘촘히 산정하고 매주 주간 보고를 통해 특이사항을 체크해야 합니다. 

이 때, 각 세부 점검 영역별(e.g 방화벽 점검) 내부 담당자(피 평가자), 협력업체 보안 컨설턴트(평가자)를 시간대별로 일정 관리 했었죠.

나온 산출물에 대해, 추후 정보보호위원회 심의/의결, 경영진 보고 시 주로 나올 수 있는 질문사항 등을 바탕으로 세밀히 검토했습니다. 

특히, 작년 대비 조치되지 않은 취약점, 또는 새로 나온 취약점인 경우, 어떤 사유로 인해 발생했는지 그 원인을 꼼꼼히 따져보았습니다.

• 발견된 취약점에 대해 책임자에게 보고, 취약점 조치 및 주기적 관리

업체와 미리 약속한 프로젝트 수행 기간(또는 취약점 분석/평가)이 종료되면, 정보보호위원회에 그 결과를 심의/의결 후, 경영진에게 보고해야 하는데요.

매년 위원들은 유사한 질문을 하셨습니다.

• -작년 대비 올해 취약점이 주로 서버에서 많이 발생한 까닭은?

• -위험을 수용할 수 밖에 없는 경우, 관련 사유 및 대체 통제는 무엇인지?
  
  

Figure 4. 정보보호위원회 심의/의결 자료 – 위험 분석 결과 (일부)

위에서도 언급 드렸듯이, 제3자 입장에서 보고자 하는 바를 좀더 가시화해서 
(e.g. 표 또는 그래프 등) 표현한다면, 긍정적인 피드백을 기대할 수 있을 것 입니다.

필자의 경우, 발견된 취약점에 대해 ‘정보보호위원회 심의/의결 → 경영진 보고 → 금융감독원 보고 → 외국 본사 리스크 보고’ 등 크게 4단계를 거쳐 최종 보고 절차가 마무리 되었는데요. 

이후에도 발견된 취약점에 대한 조치 여부를 매 분기별 정보보호위원회 심의/의결 처리 했습니다. 이때, 조치 여부를 회사 내 보안 담당자가 자체적으로 점검할 수도 있겠지만, 프로젝트 성격에 따라, 외부업체가 이행점검을 수행할 수도 있습니다.

이번 기고글이 도움이 되셨나요?

더 궁금하신 사항은 댓글을 남겨주세요.

   더 많은 정보보호 /개인정보보호에 관한 유용한 정보는,

            https://cafe.naver.com/allaboutpriprotect 를 방문해 주세요 :) 

감사합니다.