LG CNS 자세히보기

보안 관리 7

클라우드 보안 체계 수립 및 보안 모니터링 방안

최근 수년 사이에 클라우드 서비스가 빠른 속도로 확산되고 있으며 다수의 기업들이 기존의 On-premises 환경의 인프라를 부분적•전면적으로 클라우드 환경으로 전환하고 있습니다. 또한 신규 서비스 구축 시에 처음부터 모든 환경을 클라우드에 구성하는 사례도 점점 늘고 있어 클라우드 환경에서의 보안 수준을 On-premises 수준과 동일한 레벨로 보안 대책을 수립하고 적용해야 하는 상황입니다. 반면 클라우드 서비스 사업자는 “책임 공유 모델”이라는 논리로 클라우드 환경에서의 보안을 클라우드 사업자가 모두 책임지는 것이 아니라 고객과 일정 부분 책임을 나누어 각자 담당해야 한다고 주장하고 있습니다. 아래 그림과 같이 IaaS 환경에서는 클라우드 사업자는 H/W 영역과 가상화 자원에 대한 제공을 책임지고 가..

클라우드 보안 사고 사례 및 보안 관리 책임

가트너(Gartner)는 2019년 전 세계 퍼블릭 클라우드 시장의 규모는 2018년 1,824억 달러에서 17.5% 증가한 2,143억 달러에 이를 것으로 전망했습니다. 가트너는 2022년까지 클라우드 서비스 시장 규모 및 성장세가 전체 IT 서비스 성장세의 약 3배 이를 것으로 예상했습니다. 국내에서도 과학기술정보통신부(이하 과기정통부)는 “제2차 클라우드컴퓨팅 발전 기본계획”을 공표하며 국내 클라우드 산업의 발전 의지를 내세우고 있습니다. 과기정통부에 따르면 클라우드 시장 규모는 연평균 해외 23.1%, 국내 16.8%의 급성장이 예상됩니다. 미국, 영국, 일본 등은 중앙정부, 지방정부 등의 정보 시스템 구축 시 클라우드를 우선 활용하도록 하는 ‘Cloud First’ 정책을 추진하고 있습니다. 국..

너무 많은 보안 업무! 효율적인 보안 관리 체계

예전에는 외부에서 발생하는 해킹 공격에 대응하는 것이 기업의 정보보안 담당자들의 주된 역할이었습니다. 당시에는 해킹 공격으로 인한 피해라고 해봐야 회사 홈페이지에 특정 해커가 ‘OO 해커가 다녀감’이라고 자랑하는 것이 대부분이었던 시절이었습니다. 하지만 기업이 보호해야 할 정보 자산이 증가하면서 내부인(임직원 및 협력 업체)에 의한 정보유출이 화두가 되었습니다. 그래서 보안관제 업무를 주로 하던 보안 담당자들이 정보유출 차단을 위한 대책들을 마련하고, 정보유출 모니터링 업무까지 수행하게 됩니다. 시간이 흐르면서 다양한 형태의 개인정보 유출 사고가 발생해 사회적으로 문제가 생기자 정부가 개인정보 보호법을 비롯해 다양한 법 규제를 적용하는 바람에 정보보안 담당자는 이제 개인정보 보호법, 정보통신망 이용촉진 ..

정보보호 관련 인증 및 평가 제도

현재 국내에서 운영되고 있는 보안관련 인증•평가 제도 중 의무적으로 받아야 하는 대표적인 제도가 ISMS(Information Security Management System)인증제도입니다. 하지만, 이 외에도 국내에서 운영 중인 보안 관련 인증•평가 제도가 여러 개가 있고, 각 제도 별로 유사한 부분이 많아 혼란스러운 점이 있습니다. 이번 시간에는 현재 운영 중인 대표적인 보안 관련 인증•평가 제도를 알아보도록 하겠습니다. 보안관련 인증제도 현황 5~6년 전까지만 해도 보안과 관련된 인증제도를 준비한다면 'ISO 27001을 준비할까? 아니면 ISMS를 준비할까?' 정도의 고민을 했는데요. 두 제도 모두 정보보호 관점에서 관리체계에 대한 수준을 평가하고 인증해 주는 제도입니다. ISO 27001이 국제..

ISMS 인증 주요 결함항목 및 대응방안

지난 시간까지 ISMS 인증에 대한 소개 및 보안솔루션 구성방안에 대해서 설명을 드렸습니다. 그렇다면 ISMS 인증심사 과정에서 자주 나오는 주요 결함항목에는 어떤 것이 있을까요? 이번 시간에는 인증심사 시 발견되는 주요 결함항목들에 대해 알아보고, 이에 대한 보완조치를 위해 어떤 대응방안들이 있는지 알아보고자 합니다. 먼저 ISMS 인증 심사기준에 대해서 알아보도록 하겠습니다. ISMS의 인증심사 기준은 정보보호 5단계 관리과정 요구사항 12개 통제항목, 정보보호대책 13개 분야 92개 통제 항목 총 104개 통제사항으로 구성되어 있습니다. 그 중에서도 주요 결함항목은 매년 인증심사에서 도출된 결함을 정리•분석하여 도출되며, 차년도 인증심사에 활용 및 인증기준 개정 시 반영되는 중요한 항목들입니다. 따..

ISMS 인증을 위한 보안솔루션 구성방안

ISMS 인증을 받으려면 어떤 보안솔루션을 구축해야 할까요? 2015년 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 개정으로 ISMS 인증 대상이 매출 또는 세입이 1,500억 원 이상인 기업과 기관으로 확대되었습니다. 웬만한 규모의 기업과 기관들은 모두 보안을 소홀히 할 수 없도록 법이 점차 강화되고 있는데요. 여러분이 속한 곳도 지금은 ISMS 인증 대상이 아닐지라도 추후에는 ISMS 인증 대상이 될 가능성이 많습니다. ISMS 인증을 위해서가 아니더라도 보안을 위해서 지켜야 할 사항은 무엇인지, 어떤 보안시스템을 구축해야 하는지 미리 알아둔다면 향후에 보다 쉽고 안전하게 여러분의 기업과 기관을 지킬 수 있을 것입니다. 이번 포스팅에서는 ISMS에서 요구하는 각 항목에 대해 어떤 보안솔루션을 ..

IT Solutions/Security 2016.03.22 (2)

ISMS 의무인증 대상 확대! 어떻게 대응해야 할까?

2015년 12월, 개인정보보호와 관련된 정보통신망법이 개정되었습니다. 정보통신망법은 개인정보 유출 등 관련 사고가 있을 때마다 개인정보보호 강화 측면에서 지속적으로 개정되어 왔는데요. 특히 이번 개정안에는 일반기업이나 공공기관 등에 큰 영향을 미칠 수 있는 항목이 포함되어 있습니다. 바로 정보보호관리체계(Information Security Management System, 이하 ISMS) 인증 의무대상이 매출 또는 세입이 1,500억 원 이상인 업체로 확대되어 많은 기업이 의무적으로 ISMS 인증을 받아야 하는 상황이 되었습니다. 2014년 중소기업청 발표 기준 매출액 1,500억 원 이상 중견기업의 수가 3,826개라고 하는데요. 이중 상당수 기업이 ISMS 인증 의무대상에 해당할 것으로 보입니다...

IT Solutions/Security 2016.03.15 (2)