보안 취약점 없는 정보시스템 구축 위해 필수

▲ 오영택 이글루시큐리티 인프라컨설팅팀 차장

[컴퓨터월드] 얼마 전 고객사로부터 보안 취약점 진단을 요청 받아 수행한 적이 있다. 해당 시스템은 과거 취약점 진단을 받았던 시스템이 확장돼 추가 구축된 것이었기 때문에, 기존과 마찬가지로 다수의 취약점들이 발견될 것으로 예상됐다. 그러나 생각했던 것과 달리 취약점은 거의 발견되지 않았는데, 그 이유는 시스템을 확장 구축하는 과정에서 진행된 ‘보안성 검토’ 덕분인 것으로 분석됐다. 보안성 검토를 통해 대부분의 취약점을 사전에 제거할 수 있었기 때문이었다.

이렇듯 시스템에서 발생 가능한 보안 위협을 최소화하기 위한 예방책으로 지난호에서는 ‘정보보호 사전점검’에 대해 간단히 짚어본 바, 이번에는 그와 비슷하면서도 사뭇 다른 보안성 검토에 대해 살펴보는 시간을 가져보고자 한다.


보안성 검토란 무엇인가?

그렇다면 우선 ‘보안성 검토’가 무엇인지부터 알아보도록 하자. 보안성 검토란 ‘각 기관 및 기업에서 정보시스템, 소프트웨어 등을 도입하고 개발하는 사업을 진행할 시 보안 취약점을 사전에 제거하고 보다 체계적인 보안 관리를 하기 위해 수행하는 일련의 과정’을 뜻한다. 법적 근거는 ‘전자정부 구현을 위한 행정업무 등의 전자화 촉진에 관한 법률 시행령 제34조’로 국가, 공공기관이 상용 정보보호 시스템을 도입 운용 시 검토해야 하는 세부사항을 규정하고 있다.

보안성 검토를 받아야 하는 해당 사업의 기관이 지방 자치단체 및 중앙행정기관의 산하기관이라면 특별시 및 광역자치단체 소재 기관 단위로 검토를 진행하며, 그 외 기관은 직접 국가정보원에 의뢰해야 한다. 만약 보안성 검토 대상 밖의 사업이라도, 각 기관 및 기업들은 자체적으로 별도의 정보보안지침 및 보안성 검토 지침을 수립해 진행함으로써 신규 도입되거나 확장 변경되는 시스템의 취약점을 사전에 제거할 수 있도록 하는 것이 좋다.

국가정보원 보안성 검토 대상 정보화 사업(자료: 이글루시큐리티)
① 비밀·국가안보·정부정책과 관련되는 사업
- 비밀 등 국가기밀의 유통·관리와 관련된 정보시스템 구축
- 외교·국방 등 국가안보상 중요한 정보통신망 구축
- 재난 대비 등 국가위기관리와 관련된 정보통신망 구축
- 에너지·교통·수자원 등 정보통신기반시설의 전자제어시스템 구축
- 외국 정부·기관 간 정보통신망 구축
- 정상회의 등 국제행사를 위한 정보통신망 구축
- 정부정책을 지원하는 정보통신망 구축
② 대규모 예산투입과 다량의 DB자료를 처리하는 사업
- 대규모 정보시스템 구축(10억 원 이상) 정보화 사업
- 다량의 개인정보(100만 명 이상)를 처리하는 정보시스템 구축
- 지리ㆍ환경 정보 등 국가차원의 통합DB 구축

③ 외부기관간 망연동 등 보안상 취약 사업
- 다수 기관이 공동 활용하기 위한 정보시스템 구축 및 망 연동
- 내부 전산망 또는 폐쇄망을 인터넷이나 타 기관의 전산망 등 다른 정보통신망과 연동하는 경우
- 원격근무 지원시스템 구축

④ 보안정책 과제 및 최신 IT기술 적용
- 업무망·인터넷 분리 정보화 사업
- 업무망 ↔ 인터넷간 자료교환 시스템 구축
- 보안관제센터(보안관제시스템) 구축
- 업무망과 연결되는 무선 네크워크 시스템 구축
- 스마트폰 등 첨단 IT기술을 업무에 활용하는 시스템 구축
⑤ 그 밖에 국가정보원장 및 중앙행정기관, 광역자치단체장이 보안성 검토가 필요하다고 판단하는 정보화 사업

또한 국가정보원에서는 구축되는 정보시스템뿐만 아니라 신규 도입되는 소프트웨어를 대상으로도 보안적 요소 점검을 위한 보안적합성 검증을 시행하고 있다. 보안적합성 검증은 총 4가지 단계에 따라 진행되는데, ▲첫 번째 사전검토 단계에서는 국가정보원이 국가보안기술연구소에 적합성 시험을 의뢰하고 ▲두 번째 적합성 시험 단계에서는 국가보안기술연구소가 의뢰 받은 소프트웨어를 대상으로 상호운용성, 가용성 등 여러 분야에 대한 시험을 실시한다. ▲세 번째 검토완료 단계에서는 국가정보원이 시험 결과를 취합하여 최종 판정을 내리고 행정자치부는 보안성 검토필 제품을 ‘행정정보보호용 시스템’으로 선정하게 된다. ▲그리고 마지막 사후관리 단계에서는 해당 제품의 기능변경 및 수정사항에 대해 관리하고 추후에도 보안 취약점이 발생하지 않도록 지속 유지하는 과정을 거친다.

▲ 소프트웨어 보안적합성 검증 단계(자료: 이글루시큐리티)

사실 소프트웨어 선정 시 보안적합성 검증을 통해 안전성이 확보된 제품을 선택하는 것은 정보보호의 첫 걸음이라 할 수 있을 만큼 기본적이면서도 중요한 일이다. 국내 공공기관에서는 국가정보원의 보안적합성 검증을 필한 제품을 선호하고 있으며 해당 제품들은 국가사이버안전센터 홈페이지에서 확인 할 수 있다.


보안성 검토 체계 수립하기

국가정보원 보안성 검토 대상에 속하지 않는다고 해서 그 필요가 없다는 의미는 결코 아니다. 통상적으로 각 기관 및 기업에서는 보안성 검토 체계를 정보보안 지침에 포함하거나 별도로 수립해 수행하고 있다. 그렇다면 정보보안의 안전성을 확보할 수 있는 보안성 검토 체계를 수립하기 위해 어떠한 것들을 고려해야 하는지 살펴보도록 하겠다.

보안성 검토 체계를 수립하기 위해서는 가장 먼저 보안성 검토 대상 사업을 정의하고 각 사업의 특성에 맞게 수행될 수 있도록 분류하는 작업이 필요하다. 예를 들어 ▲정보 시스템을 새로이 도입하거나 개발할 때 ▲정보통신망을 신규 구축 및 증설할 때 ▲개인정보 처리를 위해 보안성 확보가 필요한 사업 등으로 나눠볼 수 있으며, 분류 후에는 진행 단계에 맞는 단계별 보안성 검토 절차가 요구된다. 사업이 진행되는 단계에 따라 해당 단계에서 검토해야 하는 보안적 요소들이 상이하기 때문에 각 단계별 수행되는 업무의 성격 및 과업에 맞게 진행될 수 있도록 한다.

보안성 검토를 실시해야 하는 경우(자료: 이글루시큐리티)
1. 물리적 보안구역의 신설 및 변경 시
2. 전산실을 신규로 설치하는 경우
3. 내부 정보통신망을 인터넷 등 외부 공개 네트워크와 연결하는 경우
4. 무선랜 등 무선망을 사용해 업무를 처리하거나 원격근무 지원 등을 위해 시스템을 도입하는 경우
5. 보안장비 및 암호화 프로그램 등 정보보호시스템을 도입하는 경우
6. 정보통신 운영환경 변화로 인하여 보안성 검토가 필요하다고 인정되는 경우
7. 정보시스템 업무를 외부에 용역 의뢰하는 경우(핵심업무의 개발 및 운영 전체를 용역하는 경우)
8. 외부기관에 보안감리 또는 보안컨설팅을 의뢰하거나 정보처리·보안 관제 등의 업무를 위탁하는 경우
9. 정보시스템의 운영 환경 및 정보자산에 중대한 변화가 발생한 경우
10. 중요한 정보자산 도입 설치 및 신규 사업을 추진하는 경우
11. 물리 보안관리부서의 요청이 있는 경우
12. 정보시스템 운영부서의 요청이 있는 경우
13. 기타 보호관리자가 필요하다고 인정하는 경우

또한 보안성 검토 체계 수립 시 각 기관 및 기업의 정보보안 규정과 지침, 매뉴얼 등을 살펴보고 이에 준하는 내용이 되도록 해야 하며, 국내 정보보안 관련 법령 등에서 의무적으로 명시한 내용들은 반드시 포함되도록 한다.

▲ 정보보호 관련 주요 법령(출처: 국가정보보호백서)


단계별 보안성 검토 심의 절차

보안성 검토 절차는 사업 초기의 기획 단계, 사업자 선정 후의 설계/구현 단계, 그리고 마지막 검수 단계 등 3가지로 나눠볼 수 있다. 먼저 기획 단계에서는 내부의 규정, 지침 및 매뉴얼과 외부 기관을 통해 취득한 인증에 반하는 내용이 없는지 살펴보고 정보보안 관련 법률 준수 여부에 대해 검토한다. 또 사업자와 계약 시, 도입되는 제품이 국가정보원 보안성 필한 제품으로 선정하도록 돼 있는지, 추가적인 비용 산정은 적절하게 포함됐는지 등 정보보안 관련 사항이 계약서에 제대로 명시돼 있는지를 검토한다.

두 번째 설계/구현 단계에서는 사업자가 설계하고 구현한 정보시스템 및 소프트웨어에 대해 보안 취약점이 존재하는지 물리적 기술적 점검을 실시하고, 마지막 검수 단계에서는 설계/구현 단계에서 점검했던 사항들이 모두 다 완벽히 이행돼 있는지를 확인한다.

▲ 단계별 보안성 검토 절차 및 분류(자료: 이글루시큐리티)

사업의 내용 및 도입되는 장비와 소프트웨어, 개인정보처리여부 등 몇몇의 기준에 따라 사업을 구분하고 더 나아가 각 사업에서 발생할 수 있는 보안 취약점 요소들을 도출해 보안성 검토 체크리스트에 포함한다면 사업의 특성을 반영한 맞춤 보안성 검토가 가능해진다. 사업 영역의 구분을 조금 더 세부적으로 살펴보자면, 하드웨어 분야에서는 서버, 네트워크, 보안장비 등의 도입이 있고 소프트웨어 분야에서는 응용 프로그램의 개발 및 도입이 있다.

정보통신망 분야에서는 새로운 정보통신망 구축과 외부 망과의 연결 및 외부관리 시스템과의 정보송수신 등이 있으며 시설 분야는 새로운 보호구역을 구축하거나 외부의 IDC와 클라우드 등의 시설을 이용하는 경우가 존재한다. 개인정보처리에 대한 분야도 이제는 별도로 분류해 개인정보 처리 시 발생하는 의무사항 및 법률 위반에 관한 사항을 검토하도록 한다.


분야에 맞는 보안성 검토 체계 만들기

앞서 언급했듯이 사업 분야에 따라 도입되는 하드웨어와 소프트웨어가 다르고, 또 검토해야 할 보안적 요소들이 상이하기에 적절하게 분야를 나누고 해당 분야에 맞는 보안성 검토 체크리스트를 수립한다면 대부분의 보안적인 취약점을 사전에 예방할 수 있을 것이다.

더욱이 사업 분야의 경우 정보시스템, 네트워크, 보안장비, 소프트웨어 개발, 물리적 보안, 시설보안 등 너무도 다양하기 때문에 각 분야를 모듈식으로 작성해 각 분야마다 해당되는 부분을 적용할 수 있도록 분류하는 것이 좋다. 기술적인 취약점의 제거도 중요하지만 관리적인 취약점 또한 매우 중요한 항목이니 이 역시 기획 단계에서 사전에 검토될 수 있도록 한다.

관리적 보안성 검토 사항(자료: 이글루시큐리티)
정보시스템 신규 도입 및 업그레이드
① 시스템의 새로운 설치 및 변경이 조직 전체의 보안에 미치는 영향
② 시스템의 새로운 설치 및 변경이 현재의 시스템에 미치는 영향
③ 신규도입 및 업그레이드 제품의 보안적합성 검사 및 레퍼런스
④ 사업자의 기업운영에 대한 신용도
⑤ 보안통제를 위한 인증, 접근제어, 권한할당, 암호 등의 사용
⑥ 보안취약성, 최신 패치의 적용된 안전성
⑦ 에러 복구, 재시작 절차, 비상 계획 등의 사업의 연속성 보장
⑧ 사용자 교육 및 훈련 지원 사항
⑨ 기타 발생 가능한 정보보호 관련 사항
용역업체의 소프트웨어 개발
① 소프트웨어의 소유권 및 지적 재산권에 대한 계약 사항
② 소프트웨어의 품질과 기능의 정확성에 대한 보증 방안
③ 품질 및 보안성 검토를 위한 감사 권한
④ 개발사업자의 파산을 대비한 개발 산출물의 위탁 방안
⑤ 악의적 소프트웨어에 대한 자산의 보호를 보증하는 통제
⑥ 소프트웨어의 특성에 따른 계약서상의 필요 조건
IDC 및 클라우드 등의 외부시설 이용
① 해당 시설의 보안인증제의 취득 여부
② 해당 사업자의 시설에 대한 책임보험 가입여부
③ 재해 재난에 대한 데이터 보호 및 백업대책
④ 해당 시설에 대한 체계적인 관리 및 운영

보안성 검토 시 무엇보다 중요한 건, 사업 분야에 맞는 보안성 검토 체크리스트의 항목을 하나하나 상세하게 빠짐없이 작성하는 것이다. 물론 법령이나 규정에서 권고하는 사항은 대부분 포함시키는 게 좋지만 해당 기관 및 기업의 현황에 알맞게 적용할 수 있는 부분을 염두하고 작성된 체크리스트가 가장 바람직하다고 볼 수 있다. 또 보안성 검토 체계가 수립되고 시행되는 과정 속에서 몇 번에 걸친 개정을 통해 현 상황에 맞는 보안성 검토가 지속적으로 이뤄질 수 있는 것 역시 매우 중요한 부분임을 명심해야 할 것이다. 그렇다면 이번에는 기술적 보안성 검토 체크리스트 작성 시 각 사업 분야에서 포함해야 할 항목들에는 어떠한 것들이 있는지 알아보도록 하겠다.


보안성 검토 체크리스트 항목선정 하기

사업 분야에 따른 기술적 보안성 검토 체크리스트를 작성할 때, 중복이 되는 부분이 다수 발생하게 된다. 그렇기 때문에 중복되는 항목을 사전에 고려해 최대한 재검토가 이뤄지지 않도록 분류하는 것 역시 효율성의 측면에서 중요하다고 볼 수 있다. 예를 들어 서버장비와 네트워크, 보안장비까지 인증에 대한 부분이 검토돼야 한다면 이런 부분을 정보시스템 또는 인프라장비 한 가지로 분류하고 인증에 대한 검토는 한 번만 이뤄질 수 있도록 한다. 하지만 인증에 대해서도 각 장비 별 적용해야 하는 기준이 다르게 규정되어 있다면 별도로 진행하는 것이 좋다.

보안성검토 체크리스트 항목 예시(자료: 이글루시큐리티)
물리적 시설 보안
① 장비의 설치 위치의 안전성(시스템 운영실의 별도운영 및 외부침입 고려됨)
② 외부인 출입통제 및 접근차단(지문, 정맥, IC카드, CCTV 설치, 출입통제 대장 작성 등)
③ 반입불가 물품 통제(외부 저장장치 및 스마트폰에 대한 보안조치)
정보시스템 보안 대책
① 시스템 취약성에 대한 최신 보안패치
② 시스템 불필요 서비스 제거
③ 벤더에서 제공하는 시스템 디폴트 계정 변경(삭제)
④ 시스템 관리자, 사용자 계정에 대한 차등적 관리
⑤ 초기 패스워드 변경, 미사용 계정 삭제
⑥ 사용자 권한(퍼미션) 관리
⑦ 세션타임 아웃 설정관리
⑧ 중요시스템 파일 접근제어(네트워크 설정, CRON, at, 디바이스 파일 등)
⑨ 웹/웹애플리케이션서버/DBMS 서버의 용도별로 분리 구축
⑩ 보안관련 감사로그 및 이벤트 감사로그 기록
⑪ 관리자 단말기에 대한 접근제어
네트워크 보안
① 원격관리 금지 또는 보안 대책(SSH 사용, 접근 IP 통제 등)
② 외부 서비스 시스템의 DMZ에 설치여부
③ DB서버의 내부망(사설 IP) 설치
④ 전송 데이터의 암호화
⑤ 내부 연관 시스템간의 전송 구간의 암호화
⑥ 네트워크 분리운영(내부망, 공개망, DMZ 등)
⑦ 라우터, 스위칭 장비의 경로 제어 및 패킷 필터링
⑧ 외부에서 원격 접속 보안(VPN 등)
⑨ 무선랜 환경 사용시 무선랜 네트웍 장비(AP) 보안 및 암호 통신
⑩ 관리자, 운영자, 개발자의 접근권한 관리 및 별도망에 설치
⑪ 정보유출 방지를 위한 네트워크 영역별 보안장비의 설치
⑫ 모든 보안관련 정책은 모두차단 후 사용하는 서비스에 대해서만 허용
애플리케이션 개발 보안
① 소스코드의 인증 정보(시스템 로그인 ID 및 비밀번호, IP주소 등) 삽입 금지
② 샘플 코드 또는 테스트 코드 제거 확인
③ 데이터베이스의 디폴트 패스워드 사용, null 패스워드 사용, 보안 패치, 적절한 접근 권한 설정
④ 저장 데이터의 암호화
⑤ 사용자 식별 및 인증 체계 및 접근권한 관리 체계
⑥ 사용자 ID/패스워드 암호화 저장(키 관리 방법)
⑦ 애플리케이션 소스 통제(형상관리 사용)
⑧ 애플리케이션의 사용기록에 대한 로깅
⑨ 암호 통신(통신 방법, 프로토콜, 알고리즘, 키 관리 등)
⑩ 로그인 시 마지막 로그인 정보 및 경고 배너(예: 불법행위 시 법적제재)
⑪ 최초 로그인 및 주기적 패스워드 변경 강제
⑫ 중요 데이터의 암호화 저장
개인정보보호
① 개인정보 처리방침에 명시해야 할 내용
② 개인정보 수집이용에 대한 동의
③ 개인정보처리에 대한 위탁업체 관리
④ 개인정보의 파기
⑤ 개인정보 정보주체에 대한 권리보장
외주업체 보안관리
① 외주 개발에 따른 관리적, 기술적 보안 대책
② 계약서상의 보안 준수 사항 및 보안위반 시 손해배상
③ 개발 종료 후 데이터에 대한 파기방안(PC 포맷, 제공자료 회수 및 폐기 등)
④ 시스템, 애플리케이션 및 DB의 개발자 계정 삭제

 
‘보안성 검토’, 정보보안 안전성 확보 위한 첫 번째 단추

보안성 검토를 진행하다 보면 검토 항목이 해당 사업에 적용하기 어려운 경우가 발생할 수 있다. 그럴 땐 정보보호관리자의 승인 후 검토항목을 별도로 개발할 수 있는 유연성이 필요하며, 정보시스템을 구현 완료 후 정보보안 부서로 요청해 필히 각 분야에 맞는 취약점 점검을 수행해야 한다. 그리고 취약점 점검을 진행하며 운영환경에 영향을 줄 수 있다고 판단되는 경우에는 해당 업무 담당자와의 충분한 협의를 통해 부정적인 영향을 최소화하도록 한다. 발견된 취약점에 대한 조치와 대책 수립에도 정보보안 담당자가 운영부서와 함께 지원해 신속하고 원활하게 이뤄질 수 있도록 해야 하며, 만약 발견된 취약점을 제거하지 못한 경우에는 위험 수용을 하고 위험 수용에 대한 사유는 별도로 관리한다.

정보시스템을 도입해 운영하고자 하는 부서에서는 해당 사업을 진행하는 일만으로도 분주해, 이렇듯 보안적 요소를 만족시키기 위한 절차가 부담스럽게 느껴질 수 있다. 그러나 그럴 땐 정보시스템의 안전성을 확보한다는 보안성 검토의 목적을 다시금 되돌아볼 필요가 있다. 지피지기면 백전백승이라는 말이 있듯이 날로 진화하는 보안 위협에 대응하기 위해서는 무엇보다도 먼저 기관이 도입하고자 하는 시스템에 대한 취약점 파악 및 조치가 선행돼야만 한다. 취약점 없는 정보시스템을 위한 첫 단추, 보안성 검토를 통해 잘 꿰나갔으면 하는 바람이다.

저작권자 © 컴퓨터월드 무단전재 및 재배포 금지