효과적인 정보 보안 정책을 마련하는 방법

정보 보안 정책(Information Security Policy)은 기업 보안 프로그램의 토대이며, 조직의 위험 허용도와 규정 준수 의무를 기준으로 조직 관점에서의 바람직한 보안 운영 방법을 명확한 언어로 규정하는 것이 이상적이다.
 

보안 전문가들은 많은 조직이 강력한 정보 보안 정책을 마련하고 유지하는 데 충분한 주의를 기울이지 않고, 대신 범용 서식의 빈 칸을 성의없이 채우고 끝낸다는 점을 지적한다.

정보 보안에 중점을 두는 연구 및 교육 조직인 SANS 인스티튜트(SANS Institute)의 신규 보안 트렌드 부문 책임자 존 페스카토어는 “기업 리더들은 보안 정책을 완료해야 할 단일 건으로 인식해서 확인란에 체크하고 끝내는 경우가 많다”라고 말했다.

반면 기업 위험, 위험 허용도, 규정 요구사항, 모범사례를 근거로 정보 보안 정책을 세밀하게 작성하고 정기적인 점검을 통해 적극적으로 정책을 관리하면서 필요할 때 업데이트하는 조직도 있다. 이런 조직은 보안 프로그램 전체를 떠받치는 견고한 기반을 구축하게 된다.

이번 기사에서는 정보 보안 정책에 대한 7가지 일반적인 질문과 각각의 답을 살펴보자.

정보 보안 정책이란 무엇인가?

정보 보안 정책은 정보 보안과 관련해 회사 내에서 해야 할 일에 대한 개괄적인 시각이다.

사이버보안 컨설팅 업체 TCE 스트래티지(TCE Strategy) CEO 브라이스 오스틴은 “경영진이 어느 정도의 보안이 회사를 위한 충분한 보안인가를 정의하는 데 사용하는 기준”이라고 말했다. 오스틴은 <충분한 보안: 비즈니스 소유자와 경영진을 위한 20가지 사이버 보안 질문(Secure Enough: 20 Questions on Cybersecurity for Business Owners and Executives)>의 저자이기도 하다.

오스틴은 정보 보안 정책을 헌장에 비유하며 “정책의 목적은 모든 문제를 해결하는 것이 아니라, 무엇을 문제로 볼지를 선언하고 해당 문제를 얼마나 심각하게 받아들여야 하는지에 대한 지침을 제공하는 데 있다”라고 말했다.

정보 보안 정책은 왜 필요한가?

정부 규정은 물론 결제카드산업 데이터보안표준(PCI DSS)과 같은 특정 비즈니스 표준도 조직에 정보 보안 정책과 기타 보안 관련 프로그램을 마련할 것을 명확하게 요구한다.

정책은 규정 준수 요구사항보다 범위가 넓다. 조직이 직면하는 보안 위험을 경고하고 어떻게, 어느 정도 수준으로 대처할 지를 안내하는 도구다. 또한 사람들에게 허용되는 행동과 그렇지 않은 행동이 무엇인지, 보안을 확보하기 위해 갖춰야 할 척도와 규칙, 제한 사항은 무엇인지 알려준다.

IT-하베스트(IT-Harvest)의 최고 연구 분석가이자 <보안 연감 2020(Security Yearbook 2020)>의 저자인 리차드 스티에넌은 “보안 관점에서 회사 전체를 관리하고자 한다면 최선의 도구는 정책”이라고 말했다.

정보 보안 정책의 목적은 무엇인가?

또한 정책은 기대 사항과 금지 사항, 보안 프로그램의 각 부분에 대한 책임자를 문서화함으로써 보안에 대한 조직의 접근 방법에서 비일관적인 부분을 없애거나 최소한 줄여준다.

두하트 컨설팅(DuHart Consulting)에서 사실상의 CISO 업무를 맡고 있는 앤드루 더튼은 “중요한 점은 프로그램에서 적절한 것과 적절하지 않은 것을 손쉽게 전달할 수 있어야 한다는 것”이라고 말했다.

그러면 CISO와 보안 팀, 그리고 규정 준수, 위험, 법률 부문 리더들은 정책 목표를 충족하기 위한 특정 절차나 프로세스에 반대할 수도 있는 각 사업부를 대상으로 보안 관련 필요 사항을 설명할 때 정책 내의 정보를 정확히 제시할 수 있다.

또한 정책은 사업 계약에 앞서 충분한 보안에 대한 증명을 요구하는 클라이언트 또는 파트너에게 어떻게 응답해야 할지에 대한 지침 역할도 할 수 있다.

정보 보안 정책은 어떻게 만드는가?

CISO는 일반적으로 보안 정책 개발과 업데이트를 주도하지만 재무, 시설 보안, 법률, 인사 부문 임원과 사업부 경영진과도 협력해 위원회나 워킹 그룹을 구성해 상호 협력 하에 최신 정책을 마련해야 한다.

전략적 사이버보안 컨설팅 및 자문 업체인 사이드채널(SideChannel)의 파트너이자 공동 창업자인 브라이언 호글리는 “정책의 주 책임자는 CISO지만 다른 경영진의 참여을 이끌어내는 것도 필요하다”라고 말했다.

가장 먼저 할 일은 위험 평가를 통해 데이터 유출 가능성부터 대규모 시스템 중단에 이르기까지 조직의 취약점과 우려 영역을 확인하는 것이다. 이런 잠재적 사고가 데이터 및 시스템의 기밀성과 무결성, 가용성에 어떤 영향을 미치는지를 평가해야 한다. 또한 다양한 위험에 대한 조직의 허용도를 파악해 어떤 부분이 낮은 위험으로 분류되고 어느 부분이 조직의 생존을 위협할 수 있는지를 기술해야 한다. 그런 다음에는 충족해야 하는 규정 요구사항을 고려해야 한다.

이 시점에서 CISO는 확인된 취약점 및 우려 영역에 대해 어느 정도의 보안이 필요한지 명확히 표현하고, 필요한 보안 수준과 조직의 위험 허용도를 연결해 위험 허용도가 가장 낮은 영역에 가장 높은 수준의 보안을 적용해야 한다.

보안 전문가들은 CISO와 해당 팀에 정보 보안 관리 시스템을 위한 ISO/IEC 27001 표준과 같은 프레임워크를 사용해 관련된 모든 부분에 대처할 것을 조언한다.

정보 보안 정책에 무엇을 포함해야 하는가?

보안 전문가들은 각 조직마다 자체적인 고유한 정책을 수립하는 것이 좋지만, 모든 정책에는 범용적인 기본 구성 요소를 두루 다루는 조항도 포함되어야 한다고 조언한다.

따라서 이들은 모든 정책은 조직의 보안 목표, 정책의 적용 범위, 자산 분류, 자산 관리, 액세스 제어, 비밀번호 관리, 데이터 분류, 허용되는 사용, 안티바이러스 및 패치 관리, 나아가 물리적 보안에 대해서도 세부적으로 기술해야 한다고 말한다.

더튼은 조직에 따라서는 원격 액세스, 모바일 디바이스, 공급업체 관리, 클라우드 보안에 대한 내용을 포함해야 하는 경우도 있다고 말했다. CISO가 조직이 충족해야 하는 규정 요구사항, 정보 보안 관리 구조, 각 직책별 책임 소재를 세부적으로 기술해야 한다는 조언도 있다.

또한 보안 리더들은 CISO에게 간결하고 명료한 문구로 된 정책을 추구할 것을 권장한다. 오스틴은 “정책은 필요 이상으로 복잡해지는 경향이 있다. 정보 보안 정책은 가능한 간결하게 유지해야 하는 헌장”이라고 말했다.

오스틴은 정보 보안 정책이 정책에 제시된 모든 목표를 충족하는 방법을 상세하게 기술해서는 안 된다고 말했다. 또한 정책에는 기술적인 구성요소가 들어가서도 안 된다.

호글리는 “모든 사항을 어떻게 시행해야 하는지 알려주는 것은 정책의 목적이 아니다”라고 말했다.

정보 보안 정책에는 어떤 문서가 포함되어야 하는가?

조직에서 정보 보안 정책의 목표를 달성하는 방법에 대한 세부적인 내용은 다양한 하위 정책과 표준, 가이드라인, 프로세스 등에 들어간다. 호글리는 “보안 정책의 특정 구성요소에 관한 결정 사항은 부속 문서에 명시하면 된다”라고 말했다.

예를 들어 정보 보안 정책은 기밀이나 민감한 데이터로 분류되는 모든 데이터를 대상으로 암호화를 의무화하는 내용을 담을 수 있지만, 충족해야 할 암호화 표준에 대한 세부적인 내용은 별도의 문서를 통해 제공한다.

오스틴은 “정보 보안 정책은 회사의 위험 허용도와 회사가 따를 프레임워크, CEO가 신경써야 할 전체적인 수준의 사안들을 한 곳에 모은 것”이라면서, “그러나 비밀번호 정책과 같은 개별 사안으로 들어가서 CEO가 비밀번호의 최소 길이에 대해 알 필요는 없다. 물론 있어야 하는 요구사항이지만 주 정책에서 다뤄야 할 주제는 아니다. 마찬가지로, 예를 들어 인터넷에 어느 포트를 열 수 있는지, 또는 어떤 암호화 기술을 사용하는지를 알아야 하지만 이러한 항목은 정보 보안 정책에 부속되는 기술 명세서에 포함되어야 한다”라고 설명했다.

더튼은 그 외에 부속 문서에서 세부적으로 다뤄야 할 주제로 사이버 보안 전략, 백업 복원, 재해 복구, 비즈니스 연속성, 사고 대응, 데이터 관리 책임(data stewardship)/데이터 손실 방지 및 내부자 위협 등을 들었다.

정보 보안 정책의 적절한 업데이트 빈도는?

준수를 위해 매년 정보보안 정책을 매년 검토해야 하는 규정도 있지만 보안 전문가들은 빠른 기술 발전 속도와 끊임없이 변화하는 위협 환경을 감안해 주 정책 외에 보충 표준과 가이드라인, 프로세스, 절차도 그보다 자주 검토하고 업데이트해야 한다고 말한다. YL 벤처스(YL Ventures) CISO인 로저 헤일은 “일년에 한 번 하는 작업이 아니라 지속적인 작업”이라고 말했다.

다만 전문가들도 조직에서 연 2회 이상 포괄적인 위험 평가를 실시하는 경우 부담이 너무 크다는 점에 동의한다. 실제로 연 1회조차 이미 힘겨워하는 조직이 있다. 그러나 새로운 법이 발효되거나 규정 요구사항이 조정되거나 새로운 위협이 등장할 때 각 해당 문서를 업데이트할 준비는 되어 있어야 한다.

페스카토어는 CISO에게 보안 정책 위원회 검토 프로세스와 같은 프로세스를 마련해 환경의 변화로 인해 정보 보안 정책이나 보충 가이드라인, 프로세스, 절차, 표준을 업데이트해야 하는지 여부를 결정하는 것이 좋다고 조언했다. editor@itworld.co.kr