정보보호 표준들을 참조하여 작성한, 정보보호 컨설팅의 개요, 모델(Cybersecurity Consulting Model)입니다.
위험 모델, 정보보호 모델, 정보보호 프레임워크를 근간으로 조직에 대한 진단(Assess) 및 보호통제 수립(Protect)하는 일이 정보보호 컨설팅에서 해야 하는 일입니다.
최근의 정보보호에서 취약성을, 특히 플랫폼이나 어플리케이션과 같은 정보시스템 대한 취약성을 찾는 데에 과도하게 초점이 맞춰져 있는 것이 아닌가 하는 생각을 종종 합니다. 절차나 내부 통제, 아키텍처 등에서도 취약성이 있을 수 있습니다. 정보시스템에 있는 취약성을 찾아내서 보완하여 보안성을 높이는 일이 중요하긴 하지만, 이런 활동을 전반적인 정보보호 수준, 성숙도를 높이는 데에서는 일부분일 수 밖에 없습니다. 한 쪽으로 노력을 집중하다보면 균형을 잃게 될 수 있구요. 위의 정보보호 모델에서 "Vulnerability"에만 집중을 하고 있는 셈입니다. 사실 이런 부분들이 부족할 수 밖에 없는 현실 때문에 모의해킹을 통하여 이를 일부 보완하는 것이겠지요.
크게 부각 된 정보보호 관련 사고사례들을 봐도, 단순히 어플리케이션이나 플랫폼의 취약점 때문에 발생했다기 보다는 전반적인 관리체계 상의 문제인 경우가 많습니다. 정확하게 "평가(Assessment)"하고, 도출된 위험에 대하여 "보호(Protect)"하는 일을 계획하고, 실행하고, 검토하고, 지속적으로 개선해나가는 프로세스를 구축하여 실행하는 것이 중요합니다. 어느 정도의 보안수준이 필요한지는 "위협(Threat)"을 주기적으로 평가해야 알 수 있습니다. 무작정 발견된 취약성 하나하나를 보완하는 데에 집중해서는 방향성을 잃을 수 있습니다.
지금의 분위기를 보면, 수년 전의 소프트웨어 개발 쪽이 떠오르네요. 자바 등 특정 언어 개발자만 양성을 했던 정책 말이지요.
좋은 소프트웨어 제품이 나오기 위해서 필요한 사람들이 과연 개발자만 있을까요? 빌드만 전문적으로 하는 사람도 있고, 품질보증과 테스트를 전문적으로 하는 사람들도 있고, 소프트웨어 설계를 전문적으로 하는 사람도 필요하고, 개발을 위한 인프라(형상관리 등)를 기획/구현/운영 할 수 있는 사람, 대규모 시스템이라면 플랫폼에 대한 아키텍처를 그릴 수 있는 사람과 그걸 구현할 수 있는 사람, 최적화하거나 모니터링 할 수 있는 사람, UX를 전문적으로 하는 사람, 기획 하는 사람, 개발 프로젝트를 관리하는 사람, 시장에 대한 식견이 있는 마케팅 담당자, 영업 담당자 등 수 많은 사람들이 필요합니다. 그런데, 학원에서는 개발만 가르치지요. (지금은 많이 바뀌었다고는 생각합니다만)
NIST SP 800-16에서는 정보보안을 위한 다양한 역할과 필요한 지식, 기술들을 나열하고 있습니다. 보다보면 내가 이 일을 잘 하기 위해서 알아야 할 것이 참 많구나 하는 생각이 절로 들기도 합니다. 국가의 정책이던, 조직에서의 보안과 관련된 사업이던, 정보보안 관련 인재를 키우는 기관이던, 모두가 전체를 보는 관점에서 기반을 다져나갈 수 있는 방향이 되길 바라봅니다.
'Work Log > As Cybersecurity Consultant' 카테고리의 다른 글
IoT 보안, 네트워킹 관점에서의 참조할만한 표준 문서들 (0) | 2014.09.17 |
---|---|
인터넷 뱅킹 시 인증과정에 대한 이해 (0) | 2014.09.04 |
산업용제어시스템(ICS, Industrial Control System)의 사이버보안과 기존 정보보안과는 무엇이 다를까? (0) | 2014.06.17 |
통합로그관리시스템(통합로그분석시스템, SIEM) 도입 시 고려사항 (0) | 2014.06.17 |
정보보호 수준평가 지표의 의미, 결과 점수의 의미 (0) | 2014.06.11 |