정보보안-이론/XX에 대하여

정보보안 통제에 대하여

통제(Control), 정보보안에서 빼놓을 수 없는말이다. 통제 그 자체를 의미하는 NIST 800-53문서에서 통제에 대한 정의는 다음과 같다.

A measure that is modifying risk. (Note: controls include any process, policy, device, practice, or other actions that modify risk.)
'위험을 변경하기 위한 조치. (참고 : 통제는 어떠한 절차, 정책, 장치, 노력, 혹은 다른 위험을 변경하는 활동을 의미합니다.'

* 출처 : NIST 800-53 rev 5

위험을 관리하기 위한 조치라 함은 어떤것일까? 가령 전산실에 도난을 방지하기 위해서 자물쇠를 사용해서 문을 관건하였다면 이는 '통제'이다. 또한 회사원 개인이 본인의 단말기를 안전하게 정책을 수립하는것도(AUP) 통제다. 이토록 통제는 엄청 넓은 범위이지만, 성격과 목적에 따라서 분류할 수 있다.


성격에 따른 분류

1. 물리적 통제(Physical Control)

- 물리적통제는 현실세계에서 일어나는 위험을 다루기 위한 통제이다. 소방/방재시설과 출입문, 턴사이트혹은 맨트랩등은 모두 물리적인 통제방안이다. 

 

2. 기술적 통제(Technical Control) :

- 다른 말로는 논리적 통제(Logical Control)이라고도 부른다. 즉 물리적통제와는 다르게, 전자세계에서 일어나는 통제를 지칭한다. 가령 예시를 들면 방화벽의 룰셋, ACL을 통한 접근통제시스템의 구현등은 기술적 통제라고 칭한다.

 

3. 관리적 통제(Administrative Control) :
- 정책/행정적인 통제이다. 정책을 수립하고, 이를 배포하며 사람들을 교육하는 등 행정적인 노력이 주가되는 통제를 관리적인 통제라고 칭한다.

 

4. 운영적 통제(Operational Control) :
- 경우에 따라서 운영적 통제는 물리적/기술적/관리적 통제의 하위분류로 보기도 한다. 어떠한 통제를 운영적인 통제로 분류하는 주요한 기준은 바로 주기이다. 무엇인가 정기적으로 이루어지는 행동으로 위험이 관리된다면 이는 운영적인 통제가 될 것이다. 대표적인 예시로는 매일 수행하는 방화벽 로그검토 등이 있겠다.

 

목적에 따른 분류

1. 예방통제(Prevention Control)

- 예방통제는 위험이 발생하는 것을 '방지'하는 통제이다. 문제자체가 생기지 않아야 예방통제로써 올바른 기능을 한것이다. 예를들어 네트워크 경계에서 침입을 방지하기위해 사용되는 침입방지시스템(IPS)는 예방통제의 예시이다.

 

2. 탐지통제(Detection Control)

- 탐지통제는 위험을 차단할 수는 없다. 그러나 발생한 위험을 적시에 탐지하는 것을 주된 목표로 하는 통제이다. CCTV가 대표적인 탐지통제의 예시인데, CCTV는 도난의 발생을 예방할 수는 없지만 발생한 도난을 탐지하는데 큰 도움을 준다.

 

3. 복구통제(Recovery Control)

- 위험이 발생하면 영향을 남긴다. 이 영향을 빠르게 정상상태로 돌려두기위해서 행해지는 통제를 복구통제로 칭한다. 대표적인 예시로 자연재해로 부분파괴된 데이터를 살리기 위해서 사용된 RAID디스크등이 복구통제의 예시가 되겠다. 교정통제(Corrective)라고도 칭한다. 

 

4. 보상통제(Compensate Control)

- 언뜻보면 복구통제와 헷갈릴 수 있는데, 보상통제는 주 통제에 추가하여 사용되는 통제, 혹은 주통제의 도입이 비용적인 문제로 사용할 수 없어서 사용하는 대체통제의 개념이다. 예를들어 새로 판매하게된 노트북 OS에 심각한 영향이 있어서 리콜하는 것이 가장옳다는 판단을 경영진이 하여도 비용적으로 할 수 없으니, 그 대신 OS에 영향을 줄여주는 패치를 배포하는 식등의 통제가 있겠다.

 

5. 억제통제(Deterrent Control)

- 억제통제는 공격자의 공격의도를 꺾는 통제를 의미한다. 가령 경계선에 경비원/경비견이 다수 배치되어있다면 도둑이나 침입자는 쉽사리 경계선을 넘어오지 못할것이다. 

 

읽다보면 알겠지만 통제가 꼭 하나로 분류되지는 않는다. CCTV는 탐지통제의 예시이지만 공격자가 이를 보고 침입을 포기한다면 억제통제로도 기능한것일거고,  CCTV가 설치된 이유가 경계라인을 보강하는 비용이 너무 커서 대체로 사용된 것이라면 보상통제로도 기능한 것이다. 


국제시험(CISSP나 CISA 등)과 한국 정보보안 시험에서도 통제를 분류하는 문제가 많이 나온다. 필자도 문제하나 던지고 물러나겠다.

 

Q. 컴퓨터회사 ABC Company는 최근 일어난 도난사고와 관련하여 주전산실에 자물쇠를 설치하고 직원을 고용해서 1일 1회의 순찰로 자물쇠의 훼손유무를 점검하기로 결정하였습니다. 이때 자물쇠를 추가로 설치한 것은 어떤 통제에 해당합니까?

  1. 물리적 / 탐지
  2. 물리적 / 예방
  3. 관리적 / 예방
  4. 관리적 / 탐지
  5. 운영적 / 예방
  6. 운영적 / 탐지

정답은 2. 이다. 문제가 물어본것은 자물쇠를 추가로 설치한 것이다.