정보보호 관리 및 법규

해당 포스트는 정보보안기사 필기시험을 대비하기 위해 작성한 필기본이다.

---

## ISO/IEC 27000시리즈

• ISO/IEC 27000 (Overview & Vocabulary) : 정보 보안 관리 시스템에 대한 개관 및 27000 계열 표준에서 사용된 어휘들을 정의하고 있다.
• ISO/IEC 27001 (ISMS requirements standard) : 정보 보안 관리 체계에 대한 문서의 수립, 이행, 운영, 모니터링, 검토, 유지보수, 개선을 위한 요구 사항들을 명시하고 있다.
• ISO/IEC 27002 (code of practice for ISMS) : 조직에서의 정보 보안 관리를 위한 지침이 나와 있으며, 정보 통제를 위한 최선 실무에 대한 목록도 포함하고 있다.
• ISO/IEC 27003 (ISMS Implementation Guide) : 정보 보안 관리 체계 명세서 및 설계서의 시작부터 제작까지의 과정을 자세히 다룬다.
• ISO/IEC 27004 (Measurement) : 조직에서 자신의 정보 보안 관리 체계 프로세스 및 통제의 효율성을 측정하고 보고하는 것을 돕는 지침을 제공한다.
• ISO/IEC 27005 (Risk Management) : 정보 보안 위험 관리 프로세스에 대한 지침을 제공한다.
• ISO/IEC 27006 (certification or registration process) : 감사 및 인증기관에 대한 요구사항을 명시하고 지침을 제공한다.

## ISO 27001:2013 정보보호 통제 항목

• 정보보호 정책 : 정보보호에 대한 경영방침과 지원사항을 제공하기 위함.
• 정보보호 조직 : 조직 내에서 보호를 효과적으로 관리하기 위해서 보호에 대한 책임을 배정.
• 인적 자원 보안 : 사람에 의한 실수, 절도, 부정수단이나 설비의 잘못된 사용으로 인한 위험을 감소.
• 자산 관리 : 조직의 자산에 대한 적절한 보호책 유지.
• 접근 통제 : 정보에 대한 접근통제를 하기 위함.
• 암호화 : 기밀성, 인증 또는 정보의 무결성을 보호하기 위해 적절하고 효과적인 암호화 사용을 보장.
• 물리적 환경적 보안 : 비인가된 접근, 손상과 사업장과 정보에 대한 영향을 방지하기 위함.
• 운영 보안 : 정보 처리 설비의 정확하고 안전한 운영을 보장하기 위함.
• 통신 보안 : 네트워크 및 지원 정보 처리 시설의 안전한 통신을 보장하기 위함.
• 정보 시스템 개발 유지보수 : 정보시스템 내에 보안이 수립되었음을 보장하기 위함.
• 공급자 관계 : 협력업체에서 접근가능한 조직 내 정보보호의 보장과 협력업체와의 계약에 따라 정보 보안 및 서비스 제공에 합의된 수준을 유지하기 위함.
• 정보보안 사고 관리 : 보안사고에 대한 대응 절차의 수립 및 이행을 보장함.
• 정보보호 측면 업무 연속성 관리 : 사업활동의 방해요소를 완화시키며 주요 실패 및 재해의 영향으로부터 주요 사업 활동을 보호하기 위함.
• 컴플라이언스 : 범죄 및 민사상의 법률, 법규, 규정 또는 계약 의무사항 및 보호요구사항의 불일치를 방지하기 위함.

## 정보보호 정책, 표준, 지침, 절차

• 정책 : 조직의 내외부 환경과 업무성격에 맞는 효과적인 정보보호를 위하여 기본적으로 무엇이 수행되어야 하는가를 일목요연하게 기술한 지침과 규약으로서 정보자산을 어떻게 관리하고 보호할 것인가에 대하여 문서로 기술해 놓은 것.
• 표준 : 기업과 조직의 정책이 가야할 미션과 비젼을 제시하는 무엇을 정의한다면, 표준은 요구사항을 정의한 것.
• 기준선 : 기준은 미래에 변경될 것에 대비하여 현재 시점을 평가하고, 일관되게 참조할 포인트.
• 지침 : 사용자들, IT 스템, 조작 스템, 그리고 특정한 표준이 적용되지 않는 다른 사람들에 대한 권장 행위와 운영적인 사항.
• 절차 : 사용자들이 정책, 표준, 지침 등에 따르기 위하여 구체적으로 어떻게 해야 하는 지를 단계별로 기술.

## 조직과 직원관리

• 직무순환(Job Rotation) : 한 직원이 오랫동안 같은 직무를 수행함으로 인해 발생할 수 있는 부정의 가능성을 예방.
• 직무분리(Segregation of Duties) : 양립할 수 없는 업무를 분리하는 것.
• 최소 권한/알 필요성(Least Privilege/Need to Know) : 사용자에게 직무에 필요한 최소한의 권한만을 부여해야 한다.
• 강제휴가(Mandatory Vacation) : 직원의 직무수행 결과를 검토하여 부정을 발견하기 위한 탐지통제.

## 보안 위험분석 방법

• 기준 접근법(Baseline Approach) : 기준 문서, 실무 규약, 업계 최선 실무를 이용하여 시스템에 대한 가장 기본적이고 일반적인 수준에서의 보안 통제 사항들을 구현.
• 비정형화된 접근법(Informal Approach) : 분석을 수행하는 개개인들의 지식과 전문성을 활용.
• 상세한 위험 분석(Detailed risk analysis) : 가장 포괄적인 접근법은 정형화되고 구조화된 프로세스를 사용하여 조직의 IT 시스템에 대해 상세한 위험 평가를 수행.
• 통합된 접근법(Combined Approach) : 고위험 영역을 식별하여 이 영역은 상세 위험분석을 수행하고, 다른 영역은 베이스라인 접근법을 사용하는 방식.

## 위험에 대한 대책

• 위험 수용(Risk Acceptance) : 현재의 위험을 받아들이고 잠재적 손실 비용을 감수하는 것.
• 위험 감소(Risk reduction, mitigation) : 위험을 감소시킬 수 있는 대책을 채택하여 구현하는 것.
• 위험 회피(Risk avoidance) : 위험이 존재하는 프로세스나 사업을 수행하지 않고 포기하는 것.
• 위험 전가(Risk Transition, Transfer) : 보험이나 외주 등으로 잠재적 비용을 제3자에게 이전하거나 할당하는 것.

*** 정량적, 정성적 분석의 장단점

구분	정량적 분석	정성적 분석
장점	- 객관적인 평가기준이 적용된다. - 정보의 가치가 논리적으로 평가되고 화폐로 표현되어 납득이 더 잘된다. - 위험관리 성능평가가 용이하다. - 위험 평가 결과가 금전적 가치, 백분율, 확률 등으로 표현되어 이해하기 쉽다.	- 계산에 대한 노력이 적게 든다. - 정보자산에 대한 가치를 평가할 필요가 없다. - 비용/이익을 평가할 필요가 없다.
단점	- 계산이 복잡하여 분석하는데 시간, 노력, 비용이 많이 든다. - 수작업의 어려움으로 자동화 도구를 사용할 시 신뢰도가 벤더에 의존된다.	- 위험평가 과정과 측정기준이 지극히 주관적이어서 사람에 따라 달라질 수 있다. - 측정결과를 화폐가치로 표현하기가 어렵다. - 위험완화 대책의 비용/이익 분석에 대한 근거가 제공되지 않고, 문제에 대한 주관적인 지적만 있다. - 위험관리 성능을 추적할 수 없다.

## 시점별 통제

### 정량적 위험분석

• 과거자료 분석법 : 미래 사건의 발생 가능성을 예측하는 방법으로 과거의 자료를 통해 위험발생 가능성을 예측한다.
• 수학공식 접근법 : 위협의 발생 빈도를 계산하는 식을 이용하여 위험을 계량하는 방법으로 과거자료의 획득이 어려울 경우 위협 발생 빈도를 추정하여 분석하는데 유용하다.
• 확률 분포법 : 미지의 사건을 추정하는데 사용하는 방법으로 확률적 편차를 이용하여 최저, 보통, 최고의 위험 평가를 예측할 수 있다.
• 점수법 : 위험 발생 요인에 가중치를 두어 위험을 추정하는 방법이다.

### 정성적 위험분석

• 델파이법 : 시스템에 관한 전문적인 지식을 가진 전문가 집단이 위험을 분석 및 평가하여 정보시스템이 직면한 다양한 위협과 취약점을 토론을 통해 분석하는 방법이다.
• 시나리오법 : 어떤 사건도 기대대로 발생하지 않는다는 사실에 근거하여 일정조건하의 위협에 대해 발생가능한 결과들을 추정하는 방법이다.
• 순위결정법 : 비교 우위 순위 결정표에 위험 항목들의 서술적 순위를 결정하는 방법이다.
• 퍼지 행렬법 : 자산, 위험, 보안체계 등 위험분석 요소들을 정성적인 언어로 표현된 값을 사용하여 기대손실을 평가하는 방법이다.

*** 재해복구 시스템 복구 수준별 유형 비교

유형	설명	RTO	장점	단점
미러 사이트	- 주 센터와 동일한 수준의 정보기술 자원을 원격지에 구축하고, '운영-운영'(Active-Active) 상태로 실시간 동시 서비스를 제공	즉시	- 데이터 최신성 - 높은 안정성 - 신속한 업무재개	- 높은 초기투자비용 - 높은 유지보수비용 - 데이터 업데이트가 많은 경우 과부하 초래하여 부적합
핫 사이트	- 주 센터와 동일한 수준의 정보기술 자원을 원격지에 구축하여 대기상태로 유지하며 '운영-대기'(Active-Standby) 상태로 서비스 제공	수시간 이내	- 데이터 최신성 - 높은 안정성 - 신속한 업무재개 - 데이터의 업데이트가 많은 경우에 적합	- 높은 초기투자비용 - 높은 유지보수비용(최신 데이터와 패치 유지) - 보안적인 문제
웜 사이트	- 중요성이 높은 정보기술 자원만 부분적으로 재해 복구센터에 보유 - 데이터는 주기적(수기간~1일)으로 백업	수일 ~ 수주	- 구축 및 유지비용이 핫 사이트에 비해 저렴	- 데이터에 다소의 손실 발생 - 초기 복구수준이 부분적임 - 복구소요시간이 비교적 길다
콜드 사이트	- 데이터만 원격지에 보관하고, 이의 서비스를 위한 정보 자원은 확보하지 않거나 장소 등 최소한으로만 확보	수주 ~ 수개월	- 구축 및 유지비용이 가장 저렴	- 데이터의 손실 발생 - 복구에 매우 긴 시간이 소요됨 - 복구 신뢰성이 낮음 - 테스트가 곤란

## 가용성 관련 용어 정리

• MTBF (Mean Time Between Failures) : 평균 고장 간격 시간.
• MTTF (Mean Time To Failure) : 평균 운영 시간.
• MTTR (Mean Time TO Repair) : 평균 수리 시간.
• 가용성 (Availability) : 평균 운영시간/평균 고장 간격 시간.

## 데이터 백업의 유형

• 완전백업(Full Backup) : 모든 데이터가 백업되어 어떤 형태의 저장 매체에 저장시키는 것으로, 완전 백업 동안 아카이브 비트는 해제됨.
• 차등백업(Differential Backup) : 완전 백업을 차등 백업과 같이 사용하는 방법으로 가장 최근의 완전 백업이후에 수정된 파일만 백업하는 방식.
• 증분백업(Incremental Backup) : 완전 백업을 증분 백업과 같이 사용하는 방법으로 마지막 완전 백입이나 증분백업 이후에 변경된 파일을 백업하고 아카이브 비트를 0으로 설정.

## 재해 대응 및 복구관련 용어

• RPO(Recovery Point Objective) : 복구목표 시점.
• RTO(Recovery Time Objective) : 복구 목표 시간.
• RP(Recovery Period) : 복구 기간.
• MTD(Maximum Tolerable Downtime) : 최대 허용 중단 시간.

*** TESEC, ITSEC, CC의 비교

구분	TCSEC	ITSEC	CC
명칭	Trusted Computer System Evaluation Criteria	Information Technology Security Evaluation	Common Criteria
표준화	미국표준제정기관(NCSC)	영국, 독일, 프랑스, 네덜란드	국제표준기관(ISO/IEC15408)
적용범위	미국 내 보안표준	유럽	세계공통의 보안표준
등급	A1, B1, B2, B3, C1, C2(6등급), D(부적합)	E6-E1(6등급) E0(부적합)	EAL7-EAL1(7등급) EAL0(부적합)

## CC의 문서 구성

• CC 소개 및 일반적 평가 모델 : CC에 대한 일반사항 및 모델 설명.
• 보안 기능 구성요소 : 식별 및 인증, 암호자원, 보안감사, 안전한 경로/채널, 통신, 보안기능의 보호, 자원 활용, 사용자 정보보호, 프라이버시, 보안관리.
• 보증 기능 구성요소 EAL 단계별 요구사항 : 생명주기, 개발, 형상관리, 시험, 설명서, 배포 및 운영, 보호 프로파일, 보안목표 명세서, 취약점 평가(보증유지).

## CC의 구성요소

• 패키지 : 부분적인 보안 목표를 만족하게하기 위한 컴포넌트의 집합으로 구성.
• EAL(Evaluation) : 보증요구와 관련된 컴포넌트의 집합으로 구성된 패키지의 일종이다.
• TOE(Target of Evaluation) : 요구되는 보안 해결책을 제공하기 위해 제안된 제품.
• PP(Protection Profile) : 정보제품이 갖추어야 할 공통적인 보안 요구사항을 모아 놓은 것이다.
• ST(Security Target) : 필요에 따라 CC에 정의되지 않은 보안요구를 포함할 수 있다.

## ISMS-P 보호대책 요구사항

1. 정책,조직, 자산 관리 : 정책의 유지관리, 조직의 유지관리, 정보자산 관리.
2. 인적 보안 : 주요 직무자 지정 및 관리, 직무 분리, 보안 서약, 인식제고및 교육훈련, 퇴직 및 직무변경 관리, 보안 위반 시 조치.
3. 외부자 보안 : 외부자 현황 관리, 외부자 계약 시 보안, 외부자 보안 이행 관리, 외부자 계약 변경 및 만료 시 보안.
4. 물리 보안 : 보호구역 지정, 출입통제, 정보시스템 보호, 보호설비 운영, 보호구역 내 작업, 반출입 기기 통제, 업무환경 보안.
5. 인증 및 권한관리 : 사용자 계정 관리, 사용자 식별, 사용자 인증, 비밀번호 관리, 특수 계정 및 권한 관리, 접근권한 검토.
6. 접근통제 : 네트워크 접근, 정보시스템 접근, 응용프로그램 접근, 데이터베이스 접근, 무선 네트워크 접근, 원격접근 통제, 인터넷 접속 통제.
7. 암호화 적용 : 암호정책 적용, 암호키 관리.
8. 정보시스템 도입 및 개발 보안 : 보안 요구사항정의, 보안 요구사항 검토 및 시험, 시험과 운영 환경 분리, 시험 데이터 보안, 소스 프로그램 관리, 운영환경 이관.
9. 시스템 및 서비스 운영관리 : 변경관리, 성능 및 장애관리, 백업 및 복구관리, 로그 및 접속기록 관리, 로그 및 접속기록 점검, 시간 동기화, 정보자산의 재사용 및 폐기.
10. 시스템 및 서비스 보안관리 : 보안시스템 운영, 클라우드 보안, 공개서버 보안, 전자거래 및 핀테크 보안, 정보전송 보안, 업무용 단말기기 보안, 보조저장매체 관리, 패치관리, 악성코드 통제.
11. 사고 예방 및 대응 : 사고 예방 및 대응체계 구축, 취약점 점검 및 조치, 이상행위 분석 및 모니터링, 사고 대응 훈련 및 개선, 사고 대응 및 복구.
12. 재해 복구 : 재해/재난 대비 안전조치, 재해 복구 시험 및 개선.

## ISMS-P 개인정보 처리 단계별 요구사항

1. 개인정보 수집 시 보호조치 : 개인정보 수집 제한, 개인정보의 수집 동의, 주민등록번호 처리 제한, 민감정보 및 고유식별정보의 처리 제한, 간접수집 보호조치, 영상정보처리기기 설치/운영, 홍보 및 마케팅 목적 활용 시 조치.
2. 개인정보 보유 및 이용 시 보호조치 : 개인정보 현황관리, 개인정보 품질보장, 개인정보 표시제한 및 이용 시 보호조치, 아용자 단말기접근 보호, 개인정보 목적 외 이용 및 제공.
3. 개인정보 제공 시 보호조치 : 개인정보 제3자 제공, 업무 위탁에 따른 정보주체 고지, 영업의 양수 등에 따른 개인정보의 이전, 개인정보의 국외이전.
4. 개인정보 파기 시 보호조치 : 개인정보의 파기, 처리목적 달성 후 보유 시 조치, 휴면 이용자 관리.
5. 정보주체 권리보호 : 개인정보처리방침 공개, 정보주체 권리보장, 이용내역 통지.

## 사이버 위기경보 단계

• 심각 : 국가적 차원에서 네트워크 및 정보시스템 사용 불가능.
• 경계 : 복수 정보통신서비스제공자망/기간망의 장애 또는 미비.
• 주의 : 일부 네트워크 및 정보시스템 장애.
• 관심 : 웜, 바이러스, 해킹 등에 의한 피해발생 가능성 증가.