보안 위협요소 분석 및 정보보호 프레임워크 제시를 위한 연구

Abstract

기업환경에서 보안인프라 구현 및 운영은 비즈니스의 영속성 및 경쟁력 제고에 있어 그 어느 도메인보다 역할이 중요해 지고 있다. 최근의 기업에 대한 악의적 공격이 특정 그룹사를 겨냥하여 금전적 이익을 목적으로 국지적인 양상을 보이고 있으며 많은 기업들이 자사의 시스템 및 정보보호를 위하여 네트워크, 시스템, 어플리케이션, End-Point 에 각종 보안 솔루션 도입 및 관제서비스를 통하여 대응하고 있다. 하지만 상당수의 기업이 솔루션 베이스의 보안인프라 구현, 외부 전문가 또는 보안 전문 업체의 의존도가 높은 편이며 자체적인 보안인력 확보 및 정형화된 Process 정립에 소극적인 자세를 취하고 있다. 보안 산업이 투자대비 ROI 산출이 쉽지 않은 관계로 경영진의 보안인프라에 대한 투자의지가 미흡하고 침해사고의 경험 후 이를 보완하기 급급한 현실이다. 본 연구논문에서는 정보시스템의 영역을 기준으로 어플리케이션, 시스템, 네트워크로 구분하여 각 계층에서의 보안위협 요소를 분석하고 위협으로부터 정보자산을 보호하기 위한 기술적, 관리적 보안에 대하여 기술하였다. 이를 바탕으로 Best Practices 기반의 관리적 보안에서 공통적인 요소를 도출하여 각 기업에서 최소한의 정책수립에 참고가 될 수 있는 프레임워크를 제시하였다. 제시된 프레임워크의 활용은 크게 상향식 접근과 하향식 접근으로 구분될 수 있다. 상향식 접근의 경우 전반적인 정보보호 활동에 대한 정책을 수립하고 각 영역별 보안을 구현하기 위한 Guide Line 역할을 수행한다. 하향식 접근의 경우 현재 구축, 운영 중인 각종 정보시스템의 내부 점검을 위한 체크리스트 용도로 활용이 가능하다. 활용의 예로 기업에서 End-Point 의 보안에서 단순한 기술 또는 솔루션을 도입하였을 경우와 프레임워크의 상향식 접근을 통해 정보보호 정책 수립하고 기술적 보안을 구현 하였을 경우의 비용을 분석하여 비용대비 효율성 제고를 위한 방안을 제시하였다.