TUTOR 리덕토의 배움세상

통제(Control), 정보보안에서 빼놓을 수 없는말이다. 통제 그 자체를 의미하는 NIST 800-53문서에서 통제에 대한 정의는 다음과 같다.

A measure that is modifying risk. (Note: controls include any process, policy, device, practice, or other actions that modify risk.)
'위험을 변경하기 위한 조치. (참고 : 통제는 어떠한 절차, 정책, 장치, 노력, 혹은 다른 위험을 변경하는 활동을 의미합니다.'

* 출처 : NIST 800-53 rev 5

위험을 관리하기 위한 조치라 함은 어떤것일까? 가령 전산실에 도난을 방지하기 위해서 자물쇠를 사용해서 문을 관건하였다면 이는 '통제'이다. 또한 회사원 개인이 본인의 단말기를 안전하게 정책을 수립하는것도(AUP) 통제다. 이토록 통제는 엄청 넓은 범위이지만, 성격과 목적에 따라서 분류할 수 있다.

성격에 따른 분류

1. 물리적 통제(Physical Control)

- 물리적통제는 현실세계에서 일어나는 위험을 다루기 위한 통제이다. 소방/방재시설과 출입문, 턴사이트혹은 맨트랩등은 모두 물리적인 통제방안이다. 

2. 기술적 통제(Technical Control) :

- 다른 말로는 논리적 통제(Logical Control)이라고도 부른다. 즉 물리적통제와는 다르게, 전자세계에서 일어나는 통제를 지칭한다. 가령 예시를 들면 방화벽의 룰셋, ACL을 통한 접근통제시스템의 구현등은 기술적 통제라고 칭한다.

3. 관리적 통제(Administrative Control) :
- 정책/행정적인 통제이다. 정책을 수립하고, 이를 배포하며 사람들을 교육하는 등 행정적인 노력이 주가되는 통제를 관리적인 통제라고 칭한다.

4. 운영적 통제(Operational Control) :
- 경우에 따라서 운영적 통제는 물리적/기술적/관리적 통제의 하위분류로 보기도 한다. 어떠한 통제를 운영적인 통제로 분류하는 주요한 기준은 바로 주기이다. 무엇인가 정기적으로 이루어지는 행동으로 위험이 관리된다면 이는 운영적인 통제가 될 것이다. 대표적인 예시로는 매일 수행하는 방화벽 로그검토 등이 있겠다.

목적에 따른 분류

1. 예방통제(Prevention Control)

- 예방통제는 위험이 발생하는 것을 '방지'하는 통제이다. 문제자체가 생기지 않아야 예방통제로써 올바른 기능을 한것이다. 예를들어 네트워크 경계에서 침입을 방지하기위해 사용되는 침입방지시스템(IPS)는 예방통제의 예시이다.

2. 탐지통제(Detection Control)

- 탐지통제는 위험을 차단할 수는 없다. 그러나 발생한 위험을 적시에 탐지하는 것을 주된 목표로 하는 통제이다. CCTV가 대표적인 탐지통제의 예시인데, CCTV는 도난의 발생을 예방할 수는 없지만 발생한 도난을 탐지하는데 큰 도움을 준다.

3. 복구통제(Recovery Control)

- 위험이 발생하면 영향을 남긴다. 이 영향을 빠르게 정상상태로 돌려두기위해서 행해지는 통제를 복구통제로 칭한다. 대표적인 예시로 자연재해로 부분파괴된 데이터를 살리기 위해서 사용된 RAID디스크등이 복구통제의 예시가 되겠다. 교정통제(Corrective)라고도 칭한다. 

4. 보상통제(Compensate Control)

- 언뜻보면 복구통제와 헷갈릴 수 있는데, 보상통제는 주 통제에 추가하여 사용되는 통제, 혹은 주통제의 도입이 비용적인 문제로 사용할 수 없어서 사용하는 대체통제의 개념이다. 예를들어 새로 판매하게된 노트북 OS에 심각한 영향이 있어서 리콜하는 것이 가장옳다는 판단을 경영진이 하여도 비용적으로 할 수 없으니, 그 대신 OS에 영향을 줄여주는 패치를 배포하는 식등의 통제가 있겠다.

5. 억제통제(Deterrent Control)

- 억제통제는 공격자의 공격의도를 꺾는 통제를 의미한다. 가령 경계선에 경비원/경비견이 다수 배치되어있다면 도둑이나 침입자는 쉽사리 경계선을 넘어오지 못할것이다. 

읽다보면 알겠지만 통제가 꼭 하나로 분류되지는 않는다. CCTV는 탐지통제의 예시이지만 공격자가 이를 보고 침입을 포기한다면 억제통제로도 기능한것일거고,  CCTV가 설치된 이유가 경계라인을 보강하는 비용이 너무 커서 대체로 사용된 것이라면 보상통제로도 기능한 것이다. 

국제시험(CISSP나 CISA 등)과 한국 정보보안 시험에서도 통제를 분류하는 문제가 많이 나온다. 필자도 문제하나 던지고 물러나겠다.

Q. 컴퓨터회사 ABC Company는 최근 일어난 도난사고와 관련하여 주전산실에 자물쇠를 설치하고 직원을 고용해서 1일 1회의 순찰로 자물쇠의 훼손유무를 점검하기로 결정하였습니다. 이때 자물쇠를 추가로 설치한 것은 어떤 통제에 해당합니까?

1. 물리적 / 탐지
2. 물리적 / 예방
3. 관리적 / 예방
4. 관리적 / 탐지
5. 운영적 / 예방
6. 운영적 / 탐지

정답은 2. 이다. 문제가 물어본것은 자물쇠를 추가로 설치한 것이다. 

* 시험일자 : '21. 11. 26.

* 준비기간 : '21. 11. 12. ~ '21. 11. 26.(15일)

CISM에 합격했다. 저번에 떨어진 CGEIT가 화가나서 ISACA의 시험을 하나 더 봤다.(사실 자격증을 취득하는걸 취미로 삼고 있는 필자이기에, ISACA(CISM / CISA / CGEIT 등 자격 출제기관) 시험의 마인드를 알고 있을때 다른 시험도 처리하자는 생각이 강했다.) 합격 난이도를 논하자면, CISSP보다 쉽다. 뭐랄까 근데 CISSP에 붙었다고 바로 CISM을 본다고 합격한다는 보장은 못하겠다. ISACA시험은 합격점수가 450/800(약 56%)로 700/1000(70%)인 CISSP보다 합격커트라인이 낮다. 여기서오는 합격허들의 차이가 있을 뿐이지, 문제의 난이도는 비슷하다고 생각한다. 물론 아직도 답이 무엇인지를 모른다. 

공부는 ISACA에서 제공하는 QUEISTON DATABASE와 Reveiw manual을 사용하였다. 이것만으로도 충분히 합격이 가능하다. 2주만에 시험을 본 것은 ISACA시험의 감이 있을때 연속으로 본것이기에 2주만에 본거고, 적당하게 정보보안분야에 계신분들은 1달이면 어렵지 않게 취득할 수 있을것이라고 생각한다.

* 혹시나 필자가 공부한 자료가 필요하거나, 공부방법에 대해서 궁금한사람이 있다면 댓글남겨주시기바란다. 빠른 자격취득을 위해서 기꺼이 필자의 시간을 사용해주기를 바란다.

* 시험일자 : '21. 10. 27.

* 준비기간 : '21. 10. 18. ~ '21. 10. 27.(10일)

CISA에 합격했다. 우선 준비기간을 위에 적어둔건 '남들 오래걸리는 시험 잘났다고 내가 10일만에 되었습니다'라는 의미로 적은것이 아니니, 그냥 얘가 떨어질 위험을 감수하고 일찍시험봤구나라고 생각해주시면 감사하겠다.

학습은 ISACA에서 제공하는 교재와 Problem DataBank를 활용했다.(하단의 사진참고) 또한 CISA를 위한 이론교육을 SecureNinja Academy에서 수료했다. 교육기관의 힘은 역시 대단했다. 이론을 잡아주는데 그치지않고, 여러방면으로 넓은 토론을 통해서 ISACA가 원하는 답안을 유추하는데 많은 도움이 되었다.

CISA를 취득할 때 사람들이 '감사인에 빙의해서 시험문제를 보세요!'라고 자주 이야기하던데; 모르겠다. 그게 중요한거같지는 않다. 공감성수치가 떨어져서 그런지 모르겠는데, 무조건 '감사인'만 CISA를 응시하는것은 아니니말이다. '감사인에게 빙의'하는 수준말고 '감사인을 이해'하는 선이면 충분하다. '빙의'는 시험에서도 현실에서도 무서운 단어이니 말이다.

그렇다고 교육기관이 없으면 합격을 못하냐? 그건 절대절대 진실이 아니다. 위에 교재와 Question Database를 가지고만 공부를 한다면 어느정도 정보보호 지식이 있는사람기준 1달이면 충분하다고 생각한다.(생판 정보보호에 처음 들어오시는 분들은 살포시 뒤로가기 누르시고 다른 자격알아봐주시기 바란다. CISA를 첫단추로 선택하는것은 그리 좋지 못하다.)

미국에서 남은기간 교육기관에게 배울 자격이 아직 4개나 남아있다. 필자가 이 '자격'카테고리에 기뻐하며 글을 올릴 수 있도록 지켜봐주시기바란다. 다음자격은 CGEIT다.

* 혹시나 필자가 공부한 자료가 필요하거나, 공부방법에 대해서 궁금한사람이 있다면 댓글남겨주시기바란다. 빠른 자격취득을 위해서 기꺼이 필자의 시간을 사용해주기를 바란다.

이번에는 따로 일자 구분을 하지 않겠다. 뭐; 교육기관-집을 왔다 갔다 하면서 생활했기에 특이사항이 없다. 

-먹거리- 

교육받는곳 바로 옆에는 식당 플라자가 있다. 중국집 / 이탈리안 레스토랑 / 일식집이 나란히 붙어있고, 교육기관의 점심시간이 그리 긴 편은 아니어서 애용하고 있다. 특히 Hunan Cafe라는 중국집은 사장님이 부부로 보이시는 진짜 중국 출신 셰프이신데 음식 솜씨가 기가 막히다. 오랜만에 먹어본 아시아 쌀에 감탄하면서 10~13일 차 기간 동안 3번은 방문했던 기억이 난다.

-CISA취득- 

기술적인내용이나 취득 기는 '자격'에 써두겠다 아래의 링크를 참고해주시길 바란다. CISA수업은 저번 주 1주일간 진행되었다. 강의 내용이 너무나도 알찼다. 선생님께서 기초부터 알려주셨는데 많은 도움이 되었다. 코로나19 시기가 좀처럼 심해지면서 대부분의 시험기관은 원격지 시험을 지원한다.(난 몰랐는데, 심지어 CISSP도 지원한다더라 CBT 시험이 아닌 한국 시험만 안 하는 듯) 내가 있는 버지니아는 동부 표준시(EasterTime)를 따르는데, 시험 스케줄을 예매하려 보니 PM 10:45밖에 적당한 시간이 없었다. 시험일은 10.27. 수요일이었고, 집에 돌아오는 길에 마트에 들려 몬스터를 2캔 사서 시험을 준비했다. 시험은 쌩판 처음 보는 문제였지만 여차저차 PASS를 받아내었다. 시험을 종료하고 시계를 보았을 때는 AM 01:00이 지나가고 있었다. 뿌듯하게 하루 마무리하고 다음날 기쁜 마음으로 교육기관에 결과를 알렸다.

몇 가지 시험을 더 보려고 한다. 기대해주시기 바란다.  글이 짧아진다싶으면 독자여러분이 맞다. 매번 신기하다는 이야기를 반복해서 쓸수는 없으니 말이다.