[보안맨] 보안 솔루션(또는 시스템) 도입 및 구축

안녕하세요보안맨 입니다.

 기고글에서 다룰 주제는 "보안 솔루션 도입/구축입니다.

 

필자는 On-premise 환경의 금융회사에서 여러 보안 솔루션들을 도입했었는데요대표적으로 본사/전산센터 망 분리 프로젝트를 통해, IPS/IDS/방화벽/NAC 등 여러 보안 솔루션 (또는 네트워크 보안 장비)을 직접 운영했습니다.

 

그 중 제일 까다로웠던 'DRM (Digital Rights Management) 솔루션 도입프로젝트에 따른 시행착오관련 노하우 등 을 공유 드리고 싶습니다.

 

정보보호 관리체계 인증 기준 (ISMS-P)에서는 정보시스템 도입 관련 아래와 같은 기준을 명시하고 있는데요※ 시스템 도입에 한하여 발췌

"정보시스템의 도입 시 정보보호 및 개인 정보보호 관련 법적 요구 사항최신 보안 취약점 등 보안 요구 사항을 정의하고 적용하여야 한다."

 

핵심적으로 다루었으면 하는 3가지 측면을 바탕으로 말씀 드리겠습니다.

 

 Step1. 내부 보고서(품의서작성


회사 입장에서 보안 솔루션 도입은 달갑지 않은 아이템입니다회사 예산을 소진하기 때문입니다당시 최종 승인자인 (CISO, 정보보호 최고 책임자)를 논리적으로 설득하면서필요 내용만 One-page로 작성해야 했습니다이때 최소 아래 사항을 고려했습니다.


         a) 법적 요구 사항이 무엇인가? - e.g. 개인 정보보호법령 등 에 따른 개인 정보 취급자 단말기(PC) 등 개인 정보 파일 암호화           

b) 왜 도입하는가? - e.g. MS 파일 암호화 default 기능이 아닌상용 암호화 소프트웨어 도입에 따른 기대효과 제시

c) 수행 기간/공수는 어떻게 되는가총 도입 비용은 얼마인가?

d) 수행 부서/관련 협력 업체명 (규모기술력 등)

e) DRM 보안 솔루션 적용 대상 - e.g. 개인정보취급자 or 전 임직원

f) DRM 보안 솔루션 적용 파일 범위 - e.g. 회사 PC에서 가공되는 개인 정보 파일 (.txt, .doc), 상세 파일 확장자명은 프로젝트 기간 내 추가 분석/식별


Figure 1. 내부 품의서 (예시)

 

 

최대한 심플하고 명확한 문구만 보고서 내에 담으려고 노력했습니다당시 상사로부터 터프한 피드백을 여러 차례 받아서 힘들었던 기억이 있습니다. '보고서는 어떻게 작성하는가(가제)'와 관련된 책을 구입해 읽을 정도로 보고서 작성에 안간힘을 썼었는데지금 돌이켜 보면 웃픈 추억 입니다.

 

 

 Step2. RFP (Request for Proposal) 마련


어렵고 힘든 Step 1 단계를 마무리하고, DRM 업체/솔루션 선정을 위한 RFP 마련이 필요했습니다크게 아래 3가지 sources를 고려해 RFP 업체 요구 사항을 마련했습니다.

개인 정보보호법령 ※ 기술적/보호적 관리 기준(고시)

전자금융 감독 규정

동종 업계 best practices 

 

RFP 내 모든 요구사항을 열거할 수는 없지만, DRM 솔루션 특성상 꼭 포함되어야 하는 3가지 points를 공유하고 싶습니다.


확장성좀 더 정확히 설명하면, "추후 회사에서 어떠한 사유로 인해 도입된 DRM 솔루션 사용을 중단했을 때암호화된 파일을 복호화(원상복구하는 작업을 지원하는가입니다. 


필자의 경우, DRM 도입 전, DLP 솔루션 내 DRM 기능을 이용했었습니다해당 DLP에서 암호화된 문서를 다시 복호화 하기 위해서는 별도 클라이언트 프로그램과관리자 UI (DLP 서버간 수동 sync 하는 작업이 필요했습니다결론적으로 사용자 PC 수동 작업에 따른 일정 조율이 쉽지 않았고예기치 않은 에러로 복호화가 끝내 지원되지 않은 cases도 있었습니다일종의 랜섬웨어가 된 셈이죠.


사용자/관리자 편의성모든 솔루션이 그렇듯사용자/관리자가 쉽게 사용할 수 있는 구조인지 등 파악해야 합니다사용자 입장에서 결재 메뉴 확인이 어렵거나관리자 입장에서 조직도 갱신을 수동으로 입력해야 하고윈도우 AD(Active Directory) 등 인사 DB 자동화 방식을 별도 지원하지 않는다면또 하나의 workload만 가중될 뿐입니다.


- A/S: 고객사 입장에서는 솔루션 제공 업체의 평판 등 도 중요합니다최초 도입 시에는 비교적 잘 지원해 주지만한 달이 지나고, 1년이 지나면서 점차 지원이 소홀해지는 업체도 있을 수 있습니다물론 서로 간의 업무 R&R을 명확히 해 얼굴 붉히는 일이 없어야겠지만솔루션 업체가 당연히 지원해야 할 부분 (버그 fix )을 등한시하지 않도록 관련 RFP(또는 계약서내 명확히 업무 범위를 정의할 필요가 있습니다.

 

 

 Step3. 프로젝트 관리


RFP 작성에 따른 각 후보 업체에 배포 후적절한 기술/가격 평가를 통해 최종 'ABC' 업체를 선정했습니다이후 내부 비딩(구매및 계약 절차를 마무리했는데요.


'ABC' 업체 선정과 동시에솔루션 구축 PM (Project Manager)과 전반적인 작업 계획/일정 등 관련 sync-up 하는 미팅을 한/두 차례 가졌습니다필자는 이 시점이 가장 중요하다고 보는데요. PM 과의 업무 조율을 통해 프로젝트 설계 관련 모호한 부분을 해소할 수 있기 때문입니다.  이때 주로 아래 사항에 대해 논의했었습니다.


고객사수행사(협력업체간 업무 R&R 정의 ※ 품의서, RFP 등 기반

전체 일정 수립 (일 또는 주 단위 스케쥴표 정의)

테스트 체크리스트 마련 (PC 내 타 SW 호환성 체크여러 확장자 기반 파일 암/복호화 정상 여부 등)

투입 인력 최종 협의 ※ Sr. or Junior

투입 시기 확정에 따른 고객사 준비사항 (업무 공간네트워크 망수행 PC )

보안 관리 계획 (투입인력 비밀유지 방안철수 등에 따른 데이터 파기 방안보안 서약서 등)

사용자/관리자 매뉴얼 구성 관련

타 회사 DRM (암호화 문서보안 정책 references

산출물 관련

리스크 관리 등 다수

 

테스트 체크리스트

성명

(암호화문서 정상 열람 여부

(복호화 후문서 정상 열람 여부

결재 창 정상 표기 여부

의견

MS PPT

MS WORD

MS EXCEL

메모장

MS PPT

MS WORD

MS EXCEL

메모장

Y

N

예시

Y

Y

N

Y

Y

Y

Y

Y

 

엑셀파일 열람 시, '202 error' 발생

홍길동

 

 

 

 

 

 

 

 

 

 

 

임꺽정

 

 

 

 

 

 

 

 

 

 

 

김걱정

 

 

 

 

 

 

 

 

 

 

 

이보안

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Figure 2. 테스트 체크리스트 (예시※ 사전 사용자 매뉴얼암호화 문서 범위 확정

 

 

위 정의된 일정 수립 표 등을 바탕으로 DRM 솔루션 프로젝트를 리딩 했으며큰 특이사항 없이 마무리할 수 있었습니다만기억에 남는 에피소드가 한 가지 있습니다.


- DRM 업데이트 버전 배포 이슈당시 전 직원 대상 긴급 업데이트 파일 배포가 필요했으며재부팅을 강제 1회 진행해야 했습니다별도 메일 공지를 진행했으나각 부서별로 순회하며부서장(또는 차상위 직책자)에게 PC 재부팅 업무 협조를 구해야 했습니다회사 문화 자체가 워낙 수직적이고커뮤니케이션 자체도 메일 정도로 국한되어 있어서각 부서장에게 일일이 찾아가 양해를 구해야 했습니다.

 

 

보안 기고글이 도움이 되셨나요?


궁금하신 사항은 댓글을 남겨주세요.


감사합니다.

 

 

1개의 댓글이 있습니다.

4일 전

좋은 정보입니다
참고할께요

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입