정보보안 문서의 분류에 대하여

정보보안에는 여러가지 문서가 있다. 기업 정보보안에서 정책이 존재하는 이유는 무엇일까? 당연히 신뢰할 수 있는 반복적인 결과를 만들기 위함일 것이다. 표준화된 정책을 통해서 조직은 반복가능한 output을 생성할 것이고, 이는 품질의 항상성 상승과 신뢰도(Level of Confidence) 향상이라는 선기능의 체인을 만들게 된다. 이 정책은 one-size-fit이 될 수 없다. 그니까 만능정책은 존재하지 않는다. 쓰임에 따라, 분류에 따라, 적용대상에 따라 수많은 정책의 종류가 존재하며, 같은 정책임에도 불구하고 강제성의 유무, 세분화된 수준에 따라서 명칭이 달라진다.

 

이번시간에는 이에 대해서 갈피를 잡을 수 있도록 흔히 사용하는 정보보안 문서의 분류에 대해서 이야기를 해보도록 하겠다.

 

분류할 대상은 이름만 들어도 헷갈리는 것들인데, 정책 / 표준 / 기준 / 가이드라인 / 절차가 바로 그것이다. 저 문서들은 성격에 따라, 조직에 어떤 Tier 대상으로 적용되는지에 따라 쓰임세와 분류가 달라진다. 우선 정책부터 만나보도록 하자

 

순서는 조직의 상위문서부터 하위문서까지 정책 -> 표준 -> 기준 -> 가이드라인 -> 절차 순으로 소개한다.

---

① 정책(Policy)

조직 정보보안에서 가장 상위티어에 존재하는 모호한 문서이다. 예를 들면 "조직의 자산은 안전하게 보호되어야한다"라는것은 조직의 정보보안 정책안에 들어가 있어야하는 내용이다. 하단은 SANS에서 제공하고 있는 policy Template의 Email-Policy의 목차를 가져와 보았다.

 

1. 개요

2. 목적

3. 범위

4. 정책

5. 정책의 규정사항

6. 관련근거, 정책, 절차

7. 용어 정리

8. 개정기록

 

email_policy.pdf (contentstack.io)

보면 알겠지만 정책은 그다지 긴 문서가 아니다. 최고수준의 맥략적인 내용을 다루고 있는 정보보안 규정이니, 애매모호한 부분이 있다. 이런 애매모호함을 규정하기 위해서 우리는 세부적인 규정을 차용/생성 해야한다.

 

 

② 표준(Standards)

표준은 조직에서 맞추어야하는 규약이다. 네트워크에 익숙하신 독자라면 프로토콜(Protocol)의 의미를 알고 있을 것이다. 상호규약을 정의하는 이 프로토콜처럼, 조직내에서 지켜야하는 정보보안의 일치된 수준을 표현하는 것이 바로 표준이다. 이 표준은 국제표준기관(ISO)등에서 차용해서 사용하는 경우가 많다. 아래는 "정보보안의 인증 국제 표준"인 ISO 27001의 소개 홈페이지 이다.

ISO - ISO/IEC 27001 — Information security management

ISO/IEC 27001 — Information security management

 

 

③ 기준(Baseline)

"Base"라는 단어에 집중하자.(물론 baseline이 한 단어이긴 하지만) 기준은 조직이 "최소한"으로 지켜야하는 수준을 논의한다. 가령 Anti Virus에 관련된 기준이 존재한다면 "모든 전산장비의 Anti Virus 패치는 최소 30일 이내의 패치가 적용되어야한다."가 기준에 들어갈 수 있는 내용이겠다.

 

하단은 Baseline Security가 무엇인지를 NIST와 다른 기관을 비교하며 설명하는 사이트이다. 인용해보았다.

What is baseline security? - Sherweb

What is baseline security? - Sherweb

 

④ 가이드라인(Guideline)

다른 규정과 가이드라인은 강제성에서 규정성격의 차이가 난다. 이는 비강제적인 문서이다. 모든 보안 문서는 상기하였듯이 one-size-fit할 수 없다. 예를들어 기준에 "사내의 모든 업무용 PC의 OS는 window 8이상을 사용함으로 규정한다"라는 조항이 있는데 특정한 PC에 설치되어있는 프로그램이 window 7에서 밖에 동작하지 않는 프로그램이라면? 그 기준을 위반하지 않도록 [예외사항]이라는 것을 만들어 두어야한다. 물론 Baseline문서에 예외조항을 만들어 두는 것이 일반적이지만, 규정의 숨통(여유공간)이 생성되어야된다는 점에서는 동일하다. 이런 숨쉴수 있는 기포를 만들어주는것이 Guidline이다.(사실 NIST쪽 문서를 보면 Guide는 기업별로 Customize할 수 있게 만들어 두었다. 그래서 Guide for ~ 라는 문서로 이루어져있다.) 아래는 NIST의 대표적인 Guide문서인 NIST 800-30, 위험평가수행에 대한 가이드 이다.

 

Guide for Conducting Risk Assessments | NIST

Guide for Conducting Risk Assessments

 

⑤ 절차(Procedure)

멀리까지 왔다. 가장 구체적이면서 세부적인 문서이다. 예를들어 "Anti-Virus 업데이트절차"라는 절차문서가 있다면, 다음의 절차가 될것이다.

 

1. 회사 IT Security Team에서 최신의 패치를 수령한다.

2. 패치.exe를 우클릭해서 [관리자 권한으로 실행]한다.

3. [다음을 누른다.]

4. [차한잔 마신다.]

5. [끝.]

 

세부적이다. 엄청 세부적이다. 이렇게 세부적인 절차가 필요한 것이다. 바로 서문에서 설명하였던 반복, 예측가능한 output을 위함이다. 개인에 의존하는 정보보안 시스템은 위험하다. 가뜩이나 기술적이고 내제적인 위험이 많은 정보보안 업무에 turn-over와 같은 인적위험또한 impact를 높이는 꼴이된다. 이를 최소화하기위해서는 잘-구성된 시스템이 필요하고, 잘-구성된 시스템을 위해서는 길가의 아저씨를 대려다 두어도 정비사로 일할 수 있는 잘-서술된 절차가 필요하다. 

 

---

정보보안의 문서는 이 이상으로 필요에 따라 많은 분류가 생성된다. 당장 우리나라만 봐도 정보통신망법과 개인정보보호법등에 근거를 둔 정보보안 문서들이 많이 존재한다. 규정과 절차가 중요한 기업정보보안의 특성상 정보보안담당자(SISO나 ISSM/O)라면 해당 문서정도는 당연히 구분할 줄 알아야한다는 생각에 글을 작성해 보았다.