IT Solutions/Security

통합 보안 관리 플랫폼 ‘보안 포탈’이란?

2019.04.11 09:30

기업은 법적인 보안 요건을 충족하며 안전적인 비즈니스 연속성을 유지하기 위해 갖은 노력을 하고 있습니다. 언제나 법 개정 사항에 관심을 가지고 관련 업종에서 발생하는 보안 사건, 사고에 귀를 기울이며 우리 기업을 보호하고자 다양한 보안 활동 등을 계획하고 실행하고 있습니다. 이런 활동을 몇 년간 운영하면서 기업은 다음과 같은 고민거리들이 생겨나게 됩니다.


  • 보안 솔루션 도입 후 관리 활동이 미흡으로 보안 홀 발생

  • 발생한 보안 사고에 대해 부분적이거나 일회성 관리로 그침

  • 법령•인증 항목의 잦은 변경에 대해 사업 진행 시 빠른 대응이 어려움

  • 보안 활동의 현황 모니터링의 어려움

  • 보안 활동 계획 및 결과를 수작업 관리로 인한 누락 및 정확도가 낮음

  • 조직의 통합적인 보안 수준을 알기 어려움


이런 고민거리를 해결하기 위해 전사 모든 조직이 해야 할 보안 활동을 수행할 수 있도록 지원해주는 도구를 찾게 됩니다. 모든 보안 관련 수행해야 할 업무를 정의하고, 그 이행 수준을 가시화 시켜 통합 관리할 수 있는 도구 즉, 시스템을 보안 포탈이라고 합니다.


 ‘보안 포탈’ 이란?


보안 포탈은 전사의 업무에 대한 모든 관리 포인트를 한 곳에서 효율적으로 처리할 수 있도록 만든 보안 그룹웨어로 보안 업무를 계획하고 기술적, 관리적 보안 정보를 통합해 보안 수준과 업무 진행률 등을 관리하는 솔루션입니다.



보안 포탈은 다음과 같은 기능을 가지고 있습니다.


  • 조직 내의 임직원에게 보안과 관련된 업무나 정보를 쉽게 제공

  • 보안 담당자들에게는 반복적으로 진행하는 모든 보안 업무를 빠트리거나 중복됨 없이 통합 처리 가능

  • 관리 포인트를 한 곳으로 집중시켜 업무 효율성과 효과성을 높여주는 시스템

  • 정보보호 관리체계의 프로세스를 기반으로 보안 업무를 자동화하여 운영

  • 전사 보안 업무 프로세스 및 보안 활동을 정리하여 시스템화 

  • Top-down 형식의 업무 협업 기능

  • Bottom-up 형식의 데이터 입력 및 수집 기능

  • C-level 관리자에게는 대시보드 형태의 실시간 보고 기능 필요


또한, 보안 업무 프로세스만 정의하여 이를 통합적으로 관리하는 방식에서 이제는 컴플라이언스(Compliance) 대응 체계를 접목시켜 인증 심사를 상시적으로 준비하고 통합 관리하는 요구 사항까지 반영하는 방식으로 발전해 나가고 있습니다.


l 보안 프로세스와 컴플라이언스 기준 매핑


즉, 기존에는 자산 관리 활동을 자산의 등록, 변경, 폐기 단계의 관리를 진행했다면, 현재는 자산의 중요도 평가(기밀성, 무결성, 가용성) 진행을 하고 이를 컴플라이언스(ISMS 기준)의 어느 통제 항목을 충족시키는 증적으로 활용된다는 것을 보안 포탈에 정의해 활용하고 있습니다.


이렇게 함으로써 기업에서 매년 진행하는 다양한 인증 대응, 보안 감사 활동들에 대해 동일한 증적 취합 활동이 반복적으로 일어나는 Effort를 절감시킬 수 있고, 증적을 수작업으로 취합함으로써 정확도가 떨어지는 부분에 대한 보완적 역할도 수행하고 있습니다. 이러한 보안 활동들이 인증 심사를 위한 일회성 이벤트로 끝나지 않고, 지속적인 활동에 대한 추적, 관찰, 모니터링을 할 수 있도록 도와주는 시스템이라고 볼 수 있습니다.


 보안 포털을 활용한 보안 관리


전사의 보안 활동은 PDCA(Plan-Do-Check-Act) 방식으로 보안 활동을 정의하거나, 중요한 보안 활동을 정의해 보안 포탈을 통해 관리할 수 있습니다.


① PDCA을 통한 보안 활동 정의

전사의 보안 활동을 담는 보안 포탈은 여러 방식으로 전사의 보안 업무를 정의할 수 있겠으나, 일반적으로 Plan – Do – Check & Act로 보안 활동을 정리해 관리하는 것이 보편적입니다.


l 보안 활동 분류 #1 (예시)


관리 체계는 법령, 인증 기준, 사규를 포함한 컴플라이언스 통제 항목에 대한 관리 활동을 중심으로 정보보호 관리체계 활동을 정의한 후 관련 활동들에 대한 위험 분석, 위험 분석 결과 수행해야 하는 개선 과제들을 관리하는 활동들을 정의합니다.


보안 활동은 상시적으로 기업 활동을 지원하기 위해 발생하는 보안 활동들을 정의합니다. 이 영역 안에는 외주 인력 관리는 물론 임직원 입사자•퇴사자 관리, 보안 사고 관련 소명 및 징계 프로세스, 보안 서비스에 대한 접근 권한 및 각종 예외 처리 신정 관리 활동들이 포함될 수 있습니다.


감사 및 교정은 관리 체계 기준(내부 감사, 외부 인증 심사)에 의거하여 수행된 모든 보안 활동이 제대로 이행되었는지 점검하는 활동들을 정의합니다.


② 중요 활동 중심의 보안 활동 정의

컴플라이언스 및 비즈니스 연속성을 위해 필수적인 중요한 예방, 탐지, 교정 활동을 중심으로 정의해 관리할 수 있습니다.


l 보안 활동 분류 #2 (예시)


위험 관리는 자산의 가용성, 무결성, 기밀성에 법적 준거성을 고려한 자산평가 후에 취약점 점검 결과로 위험을 평가하고 관리하는 활동을 정의합니다.


개인정보 관리는 개인정보의 수집, 이용, 제공, 위탁, 파기의 라이프사이클 관리 및 관련 문서 관리 및 개인정보 영향 평가를 수행하는 활동을 정의합니다.


보안성 검토는 상용 서비스 이전에 기획, 사전 설계, 개발, 이관 및 변경 관리 등 관련 프로세스 내에서의 보안 기능 검증 및 취약성을 점검하고 관리하는 활동을 정의합니다.


내부 통제는 임직원 개인의 개인 보안지수를 관리(PC 보안, 사무실 보안, 인적 위험 관리 기능 등)하는 활동을 정의합니다.


유틸리티 관리는 온라인 교육, 각종 보안 관련 신청 건(예외 신청 건), 보안 훈련 활동 등을 정의합니다.


보안 활동 분류는 기업의 상황에 맞게 가장 체계적이고 효율적으로 관리할 수 있는 방법으로 진행하는 것이 좋습니다.


 보안 포탈을 통한 기대 효과


보안 활동을 정의하고 통합 관리할 수 있는 보안 포탈을 통해 기업은 다음과 같은 효과를 기대해 볼 수 있습니다.



첫째는 보안 관리 업무 자동화로 인한 업무 효율성 증대입니다.

반복되는 보안 업무 프로세스를 시스템화해 자동으로 처리가 됨으로써 업무가 누락되거나, 처리 과정에 실수가 발생하는 일도 방지할 수 있음은 물론 결과를 취합하여 보고하던 작업들도 이제는 자동으로 수집되어 가시화된 통계 화면을 통해 실시간 리포팅이 가능해집니다.


또한, 각종 컴플라이언스를 대응을 위한 증적이 자동으로 수집되고 관리됨으로써 증적 취합을 위해 매번 들이는 컨설팅 비용이나 운영비용을 감소시킬 수 있습니다.


둘째는 관리적, 기술적, 물리적 통합 관리를 통한 체계적인 통합 보안 운영을 기대할 수 있습니다.

보안 포탈을 통해 조직 내에 이루어지고 있는 관리, 기술, 물리 보안 활동의 증적이 한곳에 모이고, 이 리소스들을 바탕으로 조직 간의 효율적인 업무 분장 및 협업이 가능해집니다. 또한 대시보드를 통해 상호 모니터링 및 견제도 가능함으로 좀 더 효율적인 보안 운영을 기대할 수 있습니다.


보안 포탈에 수집되는 보안 활동들을 평가해 개별 조직에서만 수행하던 보안 활동들 중 Best Practice를 선정하여 전사적으로 적용함으로써 시행착오를 줄이고 최대한의 효과를 기대할 수 있습니다.


 보안 포탈 도입을 고려한다면


보안 포탈은 많은 장점을 가지고 있습니다만, 가장 중요한 것을 우리 기업의 상황과 맞게 잘 구축하여 활용을 잘 하는 것이 가장 중요합니다. 그러므로 기업의 보안 활동을 분석하고 보안 포탈로 설계하는 영역의 보안 컨설팅이 핵심이라고 할 수 있겠습니다.



보안 컨설턴트는 기업의 보안 목표 및 보안 활동을 분석하고 보안 포탈이 제공하는 콘셉트과 기능 설계 부분의 GAP을 최소화하는 부분에 집중을 해야 합니다. 보안 포탈 솔루션을 도입해 구축하려고 한다면, GAP을 최소화하는 부분은 더욱더 중요해질 것입니다.


이때 보안 컨설턴트는 상세하게 분석된 기업의 보안 목표 방향성을 토대로 설계한 설계도를 제시하면서, 솔루션 제조사에게 프레임워크 커스터마이징을 요구할 수 있어야 합니다.


그러므로 보안 포탈 솔루션을 보유하고 있으면서, 보안 컨설팅도 동시에 제공할 수 있는 업체를 선정하여 보안 포탈을 구축하는 것이 실패를 최소화하고 기업의 맞춤형 포탈을 구축하는 방안이라고 볼 수 있겠습니다.


글 l LG CNS 보안컨설팅팀


* 해당 콘텐츠는 저작권법에 의하여 보호받는 저작물로 LG CNS 블로그에 저작권이 있습니다.

* 해당 콘텐츠는 사전 동의없이 2차 가공 및 영리적인 이용을 금하고 있습니다.


Posted by IT로 만드는 새로운 미래를 열어갑니다 LG CNS
위로