[보안맨] 소규모 IT 기업이 전산 장애를 대처하는 방법


안녕하세요,

 기고글은 보안 담당자의 소규모 IT 기업의 전산 장애 관리 업무 에피소드를 다룹니다.

 

디지털 시대에 회사 규모를 막론하고, IT 서비스를 제공하는 기업은 안정적인 IT 인프라가 필수적입니다그러나시스템은 예상치 못한 장애에 취약하며이로 인해 비지니스에 중대한 영향을 미칠 수 있습니다. ‘전산 장애에 대한 키워드로 인터넷 검색 시금융권을 비롯한 많은 기업들의 전산 장애로 인해 소비자이용자들의 피해가 발생하고 있습니다대규모의 IT 전산 체계  시스템이 소기업에 비해  갖추어진 금융 기업조차 전산 장애를 100% 피할 수는 없습니다이에 따라 피해를 최소화 하기 위한 방책을 각 기업에서 고민하고 있으며정부 기관대표적으로 금융권의 경우금융감독원이 금융IT 안전성 강화를 위한 가이드라인 태스크포스” 개최 등을 통해 IT 안전성 강화에 열을 올리고 있는 실정입니다.

 

본문에서는 필자가 소규모 IT 기업 보안담당자 재직 시 에피소드를 바탕으로 IT 장애처리를 기업 관점에서 대응하는 방법에 대해 아래 크게 두 가지 관점으로 살펴보겠습니다.

  • Part 1. IT 보안 인증 심사 대응을 위한 형식적 IT 장애 관리 업무

  • Part 2. 실질적 IT 장애 기준  절차 마련을 위한 업무

# 성능 관리보다 ‘IT 오류/장애에 초점을 맞추어 작성했습니다.

 

참고로국내 ISMS-P 인증기준 2.9.2 성능 및 장애관리 인증 기준은 아래와 같습니다

정보시스템의 가용성 보장을 위하여 성능 및 용량 요구사항을 정의하고 현황을 지속적으로 모니터링하여야 하며장애 발생 시 효과적으로 대응하기 위한 탐지·기록·분석·복구· 보고 등의 절차를 수립·관리하여야 한다.” 

 

 

Part 1. IT 보안 인증 심사 대응을 위한 형식적 IT 장애 관리 업무

 

필자는 국내 ISMS 인증 심사 대응을 위해 보안 컨설팅 업체와 사전에 협업을 진행 했습니다.

당시, IT 장애 관리에 대한 내부 기준이 마련되어 있지 않아단시일  보안 지침을 마련했습니다.

이때, ISMS 인증 기준  세부항목에서 요구하는 내용보다 훨씬  포괄적인 형태의 지침을 수립했습니다.

짧은 컨설팅 기간동안 담당자와 컨설턴트 간 실제 업무에 미칠 영향현황 파악유관 부서 인터뷰 등 따른 현실적인 지침을 준비하기 쉽지 않았습니다따라서최대한 형식적인 보안 정책/지침을 구비했습니다조금 더 정확히 표현하자면컨설팅 업체에 이미 보유하고 있는 보안 정책/지침 틀을 그대로 Copy & Paste 해도 지나치지 않다고 생각합니다.



Figure 1. 서버 시스템 보안 지침 (예시)

 

 

 

ISMS 인증 심사 기간동안, IT 성능관리  장애에 대해 크게 문제 되지는 않았습니다이는 ISMS 기간 내 관련 인증 심사원께서 보안 정책/지침 외성능 모니터링 인터뷰 결과 내역으로 갈음하셨기 때문이라고 추정됩니다. (아래)

  • 인터뷰 상용 클라우드 관리자 대쉬보드 모니터링 툴을 통한 주요 서버, DBMS 성능 모니터링됨을 설명

  • 성능 매뉴얼의 경우, 상용 클라우드 (웹사이트)  성능 가이드 문서로 갈음

  • 공식 집계된 장애 건수: 0

 

 

 

Part 2. 실질적 IT 장애 기준  절차 마련을 위한 업무

 

이전 ISMS 인증 심사 때 형식적인 IT 성능 및 장애에 대한 관리 수준대응 증빙을 고민했다면어느정도 시일이 지난 시점에서 보안 담당자 입장에서는 실질적 보안 운영에 대한 개선이 필요할 것입니다고객사 요청에 따른 실질적인 당사의 성능 및 장애관리에 대한 업무 요청또는 내년 ISMS 사후 인증 심사 시다른 심사원이 결함을 줄 가능성 등 고려해 조직 측면 대응 전략을 고민해야 했습니다.

 

사실 소규모 기업에서 담당자가 IT 장애 및 성능에 대한 보완 계획운영 방안을 고안해 내기란 쉽지 않습니다 업무 외에도  우선순위로 고려해야  것들예를 들어 주기적인 보안 시스템 점검개인정보 수탁사 점검  당장 눈앞에 놓인 일에 급급하다 보면속된말로 찐보안을 위한 업무를 고민하는 시간은 많지 않습니다.

 

그럼에도, 장애 관리 관점 다음과 같은 업무 포인트를 고민해 보았습니다.

 

  • 성능 및 장애 관리에 관련된 보안 지침서 운영 주체회사마다 다를 수 있겠지만통상적으로 CISO (정보보호 최고 책임자)가 회사 전반적인 시스템에 대한 보안 전략/방침을 제시합니다통상적으로 아래와 같은 업무에 대한 각 부서 또는 담당자의 역할과 책임을 제시해야 합니다.

  • 성능  용량을 지속적으로 모니터링해야 하는 주요 정보시스템 식별

  • 모니터링 방법

  • 모니터링 관리 담당자 및 책임자

  • 모니터링에 따른 이슈사항 발생  대응 절차 이슈사항 경중에 따라전파 체계필요 시 고객 안내 절차비상연락체계 가동

  • 재발방지 대책 마련


 

 

  • 성능  운영 절차(또는 매뉴얼운영 주체 부분도 회사마다 다를  있을 것 같습니다이분법적인 관점에서 아래와 같이 생각해 볼 수 있습니다.

  • 1) 보안팀이 모든 회사의 실정을 파악해 세부적인 절차를 고안해야 하는가?

  • 2) 필요 부서에서회사 보안 지침서(방향)와 비지니스 실정을 고려한 절차를 고안해야 하는가?

 

보안팀과 부서 간 파워게임으로도 비추어질 수 있는 첨예한 부분이지만정답은 없습니다필자 생각에는   간에 맡은 업무를 서로 이해하고상호 유기적인 협조 관계로서 매뉴얼을 구성/운영하되위 이분법적인 사안에 대해서는, 2안이 적절하다고 생각합니다사실보안팀에서 모든 비지니스의 업무 원칙해당 부서에서 사용하는 고유 용어 등을 이해하기란 쉽지 않습니다반대로보안팀은 철저히 관련 부서의 성능  장애 절차 운영 측면 손을 떼야 하는 것은 아닙니다비지니스 팀에서는 보안 관리 방침 관점에서 이해를 못하실 수 있으므로지속적인 커뮤니케이션이 필요 합니다.,또한 보안팀은 부서에서 수립한 매뉴얼이보안팀이 기 수립한 관련 지침서와 계위성 측면 적절한지 살펴보고 건설적인 의견을 서로간에 주고받을 필요가 있습니다.

 

예를 들어보안팀이 정보보호시스템을 운영/관리 하고 있다면해당 정보보호시스템의 성능과 가용성 측면에서의 관리가 필요할 것입니다이러한 실무 측면 반영해야할 사항들은 잘 메모해 놓았다가정기 보안 정책/지침 /개정 작업  반영하는 보안 담당자의 꼼꼼함이 필요할 것 같습니다.



Figure 2. 지침/절차(또는 매뉴얼) 현행화를 위한 담당자 노트 (예시)

 

 

현업에 도움 되셨으면 좋겠습니다.

궁금하신 사항은 댓글 또는 쪽지 남겨 주세요감사합니다.

6개의 댓글이 있습니다.

4달 전

좋은정보 감사합니다.

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

4달 전

내용 참고하겠습니다.

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

4달 전

참고 하겠습니다. 감사합니다.

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

7달 전

참고하겠습니다. 자료 감사합니다

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

8달 전 | (주)아티드 | 02-6362-0211

참고하겠습니다.^^

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

8달 전

정보 유익하네요. 감사합니다.

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입