취약점 점검 및 조치

취약점 점검 및 조치

안녕하세요보안맨 입니다.

이번 기고글에서 다룰 주제는 취약점 점검 및 조치에 관한 업무입니다

기술적 측면과 관리적 측면 등 광범위한 영역을 다루는 만큼 까다로운 주제입니다

특히 금융권의 경우컴플라이언스에 따른 법적 쟁점이 이슈가 될 수도 있는데요.

정보보호 관리체계 (이하 ‘ISMS-P’)에서 언급하는 취약점 점검 및 조치 업무란 다음과 같습니다 

정보시스템의 취약점이 노출되어 있는지를 확인하기 위하여 정기적으로 취약점 점검을 수행하고 발견된 취약점에 대해서는 신속하게 조치하여야 한다

또한 최신 보안취약점의 발생 여부를 지속적으로 파악하고 정보시스템에 미치는 영향을 분석하여 조치하여야 한다.”

필자의 경험에 따라금융권 회사 담당자로서 전자금융기반시설 분석/평가’ 업무를 크게 2가지 관점으로 살펴보도록 하겠습니다

또한 주요정보통신기반시설 취약점 점검업무와 일정 영역 궤를 같이 하고 있으므로비 금융권 담당자분께서도 도움이 되실 것 같습니다.

이 기고글은 자체 전담반이 있는 대규모 기업인 경우를 제외하고정보보호컨설팅전문업체 선정에 따른 보안 담당자(‘관리자’)로서 주로 확인해야 할 사항을 다루었습니다

모든 업무 요소별 디테일하게 설명드리기는 어려운 점 미리 양해 부탁 드립니다

 

  • 1.정보시스템 취약점 점검 절차 수립 정기적으로 점검 업무 수행

금융회사에서는 법적 요건에 따라매년 정보기술부문 계획서를 수립합니다

이때 정보보호에 대한 추진 목표/전략/계획을 수립하게 되며전자금융기반시설 분석/평가 관련 업무도 포함시킬 수 있습니다.


Figure1. 연간 정보기술부문계획서

실제 시작시점 전후로 많은 물밑 작업들을 해야 합니다.
 
회사마다 차이가 있을 수 있지만크게 내부 품의서(승인 RFP (Request For Proposal) 각 업체에 배포 → 업체 평가/선정 (구매 절차→ 계약 업무 등을 수행해야 합니다.

모든 사전 업무 단계가 중요하지만필자의 경우, RFP 가 정말 중요하다고 생각하는데요
작성하실 때 아래 요소를 고려하시면 좋을 것 같습니다.

  • 추진 세부 일정

  • 점검 대상 (시스템/어플리케이션 등)

  • 업무 범위 (e.g. 자산 분석기술 진단관리적 진단취약점 보완 대책 가이드 등)

관련 내부 규정 또는 대외 법령 등에 따른 주요 점검 사항 명시 등

예를 들어각 관리적/물리적/기술적 영역에 대해 2020년도 금융보안원 배포 전자금융기반시설’ 체크리스트 기준 준용

  • 요구사항 (사업 요구사항보안 요구사항품질 요구사항사업관리 요구사항)

업체 (‘수행사’) vs 당사 (‘발주사’) 간 R&R 구분

최종 산출물에 대한 상호간의 명확한 정의

투입 인력 수준

보안 관리 방안 (e.g. 파일 공유 방안단말기 반출입 통제 등)


Figure2. 제안 요청서 (RFP)(일부)

 

위 내부 절차가 종료됨에 따라최종 선정된 업체와 업무를 수행하게 되는데요

최소 업체 투입 2~3주 전 협력업체 PM (Project Manager)과 전반적인 특이사항 (e.g. 투입 인력업무 공간 마련 등), 업무 범위점검 자산 변동 사항 등을 체크하시면 좋습니다

보통 수행 계획서라는 산출물을 미리 투입일 한달 전에 담당자가 검토하고준비하게 되죠.


대망의 프로젝트 점검입니다.

금융보안원에서 2020년도 초 배포한 전자금융기반시설 보안 취약점 평가기준 (2020-1및 관련 안내서 등을 바탕으로 현황을 체크하게 되는데요이때담당자는 주로 아래의 사항을 고려하게 됩니다.

  • -평가 항목별 관련 내부 인터뷰 담당자가 적절히 할당되었는가이때 사전에 양해를 구하고 미리 일정을 픽스하였는가? # 가능한 경우평가항목의 이해를 돕는 설명 미리 전달 등

  • -평가 항목에 대해 인터뷰가 적절한가 혹은 증빙으로 대체 가능한가혹은 둘 다 확인해야 하는 사항인가? # 프로젝트 일정내부 특이사항 등에 따라 조정이 될 수도 있겠지만 가능하면 원칙적 접근법 (인터뷰&증빙 all) 준용 필요

  • -발견된 취약점에 대해개선 대책/일정/관련 담당자 등이 적절히 배정되었는가?

  • -발견된 취약점에 대해조치가 불가능해 위험을 수용전가 등 해야할 경우가 존재하는가? # 회사 내부 IT 위험 관리 절차 준용 등



Figure3. 관리적 영역 취약점 점검 결과 상세 (일부)



비록 업체의 도움을 받아 진행되는 업무(프로젝트)이지만담당자로서 진행되는 모든 사항을 챙기고적절히 검토해야 하는데요모든 일이 그렇듯합리적 의심을 바탕으로 100%를 만들어 나가야만업무를 문제없이 종결해 나갈 수 있습니다.

제가 생각하는 성공 요인 Key 3가지를 꼽자면 일정 관리’ / ‘산출물’ / ‘사람’ 일 것 같은데요.

취약점 점검은 관리적/물리적 영역홈페이지 영역기술적(서버, DB, 보안장비 등영역 등 크게 3가지 범주로 나뉩니다

이때 모든 평가항목에 대해 보안 담당자 1인이 한달이 채 넘지 않는 기간 동안 일일이 전수 검토를 할 순 없습니다그래서미리 RFP 내에서 정의된 산출물을 기반으로각 영역별 인터뷰검토 스케쥴 표를 촘촘히 산정하고 매주 주간 보고를 통해 특이사항을 체크해야 합니다

이 때각 세부 점검 영역별(e.g 방화벽 점검내부 담당자(피 평가자), 협력업체 보안 컨설턴트(평가자)를 시간대별로 일정 관리 했었죠.

나온 산출물에 대해추후 정보보호위원회 심의/의결경영진 보고 시 주로 나올 수 있는 질문사항 등을 바탕으로 세밀히 검토했습니다

특히작년 대비 조치되지 않은 취약점또는 새로 나온 취약점인 경우어떤 사유로 인해 발생했는지 그 원인을 꼼꼼히 따져보았습니다.

 

  • 발견된 취약점에 대해 책임자에게 보고취약점 조치 및 주기적 관리

업체와 미리 약속한 프로젝트 수행 기간(또는 취약점 분석/평가)이 종료되면정보보호위원회에 그 결과를 심의/의결 후경영진에게 보고해야 하는데요.

매년 위원들은 유사한 질문을 하셨습니다.

  • -작년 대비 올해 취약점이 주로 서버에서 많이 발생한 까닭은?

  • -위험을 수용할 수 밖에 없는 경우관련 사유 및 대체 통제는 무엇인지?


Figure 4. 정보보호위원회 심의/의결 자료 – 위험 분석 결과 (일부)


위에서도 언급 드렸듯이3자 입장에서 보고자 하는 바를 좀더 가시화해서 
(e.g. 표 또는 그래프 등표현한다면긍정적인 피드백을 기대할 수 있을 것 입니다.

필자의 경우발견된 취약점에 대해 정보보호위원회 심의/의결 → 경영진 보고 → 금융감독원 보고 → 외국 본사 리스크 보고’ 등 크게 4단계를 거쳐 최종 보고 절차가 마무리 되었는데요

이후에도 발견된 취약점에 대한 조치 여부를 매 분기별 정보보호위원회 심의/의결 처리 했습니다이때조치 여부를 회사 내 보안 담당자가 자체적으로 점검할 수도 있겠지만프로젝트 성격에 따라외부업체가 이행점검을 수행할 수도 있습니다.

 

 

이번 기고글이 도움이 되셨나요?

더 궁금하신 사항은 댓글을 남겨주세요.

감사합니다.

 

 

태그가 없습니다.

6개의 댓글이 있습니다.

12일 전

좋은 내용 감사드립니다!

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

16일 전

매년 하는데 조치 사항 항목이 너무 많아요 ㅡ,,ㅡ

Reply

16일 전

맞습니다. 금융회사의 경우 거래법 시행령 하위 조문에 따라, 점검범위를 일부 완화해 진행할 수도 있는데요. 실제 가능 여부는 관련 기관에 문의해 보시는 것도 좋을 것 같습니다.
다만, 자율 보안이 최근 흐름이고 그에 따라 각 회사의 책임론이 커져가는 실정이므로, 점검범위 완화는 회사 내부의 신중한 의사결정이 필요해 보입니다. 감사합니다.

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

16일 전

좋은정보 감사합니다.

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

18일 전

내용 잘 읽었습니다. 감사합니다.

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

19일 전

좋은 내용 감사합니다.

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입