TUTOR 리덕토의 배움세상

처음에 두 눈을 보고 의심했다. 아니 이런 자격증을 팔아서 먹고사는 기업이 이런 이벤트를 한다고? 싶었다. 이벤트의 본문은 다음과 같다.

* 링크

원문의 해석은 다음과 같다.(번역기를 돌리고 어색한 부분을 조금 번역한 부분이다.)

지금 등록하고 시험을 볼 때 재시험은 무료입니다. 어렵지 않습니다! Pearson Vue를 통해 등록하고 2022년 10월 31일까지 시험에 응시하십시오. 재시험이 필요한 경우 2022년 12월 31일까지 1회 무료로 재응시가 가능하다.*

* 재응시를 선택하신 경우 examadministration@isc2.org으로 이메일을 보내 재응시권을 청구하십시오. 첫 번째 응시 이후 30일 후에 두 번쨰 시험이 가능하다는것을 잊지마세요! 본 특별 행사에서는 별도의 구매가 필요하지 않습니다. 하지만 빠른 복습이 필요하다면 온라인 자체 페이스 교육을 고려해보세요. 시험 바우처를 묶으면 20% 할인됩니다.

이용 약관: 9월 1일부터 10월 31일까지 예정된 구매 시험에 대해 유효합니다. Certified in Cyber Security 시험에는 유효하지 않습니다. 시험 미응시는 금지합니다. (ISC)²는 언제든지 본 프로모션을 취소하거나 수정할 수 있습니다.

요지는 다음과 같다.

• 신청조건 : 2022년 9월 1일 ~ 2022년 10월 31일 사이에 시험응시자는 2022년 12월 31일 동 시험 재응시 무료로가능(1회한정)
• 신청방법 : ISC2이메일로 응시문의(examadministration@isc2.org)
• 별도의 구매 필요없으나  ISC2의 사정에의해서 취소되거나 할 수 있음 

중간에 Certified in Cyber Security 시험은 해당에서 제외된다는데, ISC2의 새로운 시험인 CC를 의미하는거 같다. CC를 재응시하는 경우는 적을 것으로 생각하니 큰 의미 없겠다.

ISC2시험은 다른시험에 비해서 운적인 요소로 떨어지기 쉽기 때문에, 재응시를 목표로하시는 분은 참고해주시면 되겠다. 

통제(Control), 정보보안에서 빼놓을 수 없는말이다. 통제 그 자체를 의미하는 NIST 800-53문서에서 통제에 대한 정의는 다음과 같다.

A measure that is modifying risk. (Note: controls include any process, policy, device, practice, or other actions that modify risk.)
'위험을 변경하기 위한 조치. (참고 : 통제는 어떠한 절차, 정책, 장치, 노력, 혹은 다른 위험을 변경하는 활동을 의미합니다.'

* 출처 : NIST 800-53 rev 5

위험을 관리하기 위한 조치라 함은 어떤것일까? 가령 전산실에 도난을 방지하기 위해서 자물쇠를 사용해서 문을 관건하였다면 이는 '통제'이다. 또한 회사원 개인이 본인의 단말기를 안전하게 정책을 수립하는것도(AUP) 통제다. 이토록 통제는 엄청 넓은 범위이지만, 성격과 목적에 따라서 분류할 수 있다.

성격에 따른 분류

1. 물리적 통제(Physical Control)

- 물리적통제는 현실세계에서 일어나는 위험을 다루기 위한 통제이다. 소방/방재시설과 출입문, 턴사이트혹은 맨트랩등은 모두 물리적인 통제방안이다. 

2. 기술적 통제(Technical Control) :

- 다른 말로는 논리적 통제(Logical Control)이라고도 부른다. 즉 물리적통제와는 다르게, 전자세계에서 일어나는 통제를 지칭한다. 가령 예시를 들면 방화벽의 룰셋, ACL을 통한 접근통제시스템의 구현등은 기술적 통제라고 칭한다.

3. 관리적 통제(Administrative Control) :
- 정책/행정적인 통제이다. 정책을 수립하고, 이를 배포하며 사람들을 교육하는 등 행정적인 노력이 주가되는 통제를 관리적인 통제라고 칭한다.

4. 운영적 통제(Operational Control) :
- 경우에 따라서 운영적 통제는 물리적/기술적/관리적 통제의 하위분류로 보기도 한다. 어떠한 통제를 운영적인 통제로 분류하는 주요한 기준은 바로 주기이다. 무엇인가 정기적으로 이루어지는 행동으로 위험이 관리된다면 이는 운영적인 통제가 될 것이다. 대표적인 예시로는 매일 수행하는 방화벽 로그검토 등이 있겠다.

목적에 따른 분류

1. 예방통제(Prevention Control)

- 예방통제는 위험이 발생하는 것을 '방지'하는 통제이다. 문제자체가 생기지 않아야 예방통제로써 올바른 기능을 한것이다. 예를들어 네트워크 경계에서 침입을 방지하기위해 사용되는 침입방지시스템(IPS)는 예방통제의 예시이다.

2. 탐지통제(Detection Control)

- 탐지통제는 위험을 차단할 수는 없다. 그러나 발생한 위험을 적시에 탐지하는 것을 주된 목표로 하는 통제이다. CCTV가 대표적인 탐지통제의 예시인데, CCTV는 도난의 발생을 예방할 수는 없지만 발생한 도난을 탐지하는데 큰 도움을 준다.

3. 복구통제(Recovery Control)

- 위험이 발생하면 영향을 남긴다. 이 영향을 빠르게 정상상태로 돌려두기위해서 행해지는 통제를 복구통제로 칭한다. 대표적인 예시로 자연재해로 부분파괴된 데이터를 살리기 위해서 사용된 RAID디스크등이 복구통제의 예시가 되겠다. 교정통제(Corrective)라고도 칭한다. 

4. 보상통제(Compensate Control)

- 언뜻보면 복구통제와 헷갈릴 수 있는데, 보상통제는 주 통제에 추가하여 사용되는 통제, 혹은 주통제의 도입이 비용적인 문제로 사용할 수 없어서 사용하는 대체통제의 개념이다. 예를들어 새로 판매하게된 노트북 OS에 심각한 영향이 있어서 리콜하는 것이 가장옳다는 판단을 경영진이 하여도 비용적으로 할 수 없으니, 그 대신 OS에 영향을 줄여주는 패치를 배포하는 식등의 통제가 있겠다.

5. 억제통제(Deterrent Control)

- 억제통제는 공격자의 공격의도를 꺾는 통제를 의미한다. 가령 경계선에 경비원/경비견이 다수 배치되어있다면 도둑이나 침입자는 쉽사리 경계선을 넘어오지 못할것이다. 

읽다보면 알겠지만 통제가 꼭 하나로 분류되지는 않는다. CCTV는 탐지통제의 예시이지만 공격자가 이를 보고 침입을 포기한다면 억제통제로도 기능한것일거고,  CCTV가 설치된 이유가 경계라인을 보강하는 비용이 너무 커서 대체로 사용된 것이라면 보상통제로도 기능한 것이다. 

국제시험(CISSP나 CISA 등)과 한국 정보보안 시험에서도 통제를 분류하는 문제가 많이 나온다. 필자도 문제하나 던지고 물러나겠다.

Q. 컴퓨터회사 ABC Company는 최근 일어난 도난사고와 관련하여 주전산실에 자물쇠를 설치하고 직원을 고용해서 1일 1회의 순찰로 자물쇠의 훼손유무를 점검하기로 결정하였습니다. 이때 자물쇠를 추가로 설치한 것은 어떤 통제에 해당합니까?

1. 물리적 / 탐지
2. 물리적 / 예방
3. 관리적 / 예방
4. 관리적 / 탐지
5. 운영적 / 예방
6. 운영적 / 탐지

정답은 2. 이다. 문제가 물어본것은 자물쇠를 추가로 설치한 것이다. 

SOC(Service Organization Controls) Report에 대해서 들어본 사람이 있을까? 이게 무엇이며 왜 필요한지 또한 모르는 사람들도 많을 것이다. 결론 부터 말하면 이것은 잠재적인 고객이 조직의 보안 통제 평가를 확인 할 수 있는 보고서이다.

서론 

보안통제 항목의 평가나 감사활동의 결과, 침투테스트의 결과는 모두 비밀로 여겨지고는 한다. 조직의 취약성이 들어나는 곳이기도 할뿐더러, 어떠한 통제항목이 적용되어 평가되는지에 대한 내용은 조직입장에서는 지켜야할 자산이지만, 잠재적인 고객의 입장에서는 이를 모르는 상태로 나의 정보를 맡기거나 서비스를 위탁하는부담이 있을 것이다. 이에따라 정보누출 수준별로, 통제의 민감성에 따른 정보통제결과를 보고서화 할 수 있는 표준이 필요하였으니, 바로 SOC Report(Service Organization Controls) Report이다. SOC는 수준에 따라 SOC 1/2/3으로 분류되는데 자세한 점은 아래를 참고하자

SOC Report 1

고객의 재정상태에 서비스가 직접적인 영향을 미친다고 판단이 되면, SSAE 16 보고 표준에 따라 SOC 1이 생성이 되어야한다. SOC1은 아래와 같이 두가지로 구분된다.

• Type 1 : 검사/감사는 일회적으로 수행되었고, 운영상에 효과성을 검증하지는 않는다.
• Type 2 : 검사/감사는 사용자의 재정적인 불일치를 효과적으로 통제하기 위해서 수행되며, 시간이 지나감에 따라 지속적으로 수행된다. 표본방식또한 방법론적으로 정확한 것을 사용한다.

SOC Report 2

SOC Report 2는 다음과 같은 항목의 보고서 이다. AT 101의 보고 표준을 준수한다.

• 보안 통제(필수)
• 가용성 통제
• 무결성 처리 통제
• 기밀성 통제
• 개인정보 통제

SOC Report 2또한 2가지의 Type으로 분류된다.

• Type 1 : 검사/감사는 일회적으로 수행되었고, 상단의 통제들만을 평가한다.
• Type 2 : 검사/감사는 사용자의 재정적인 불일치를 효과적으로 통제하기 위해서 수행되며, 시간이 지나감에 따라 지속적으로 수행된다. 표본방식또한 방법론적으로 정확한 것을 사용한다.

SOC Report 3

SOC Report 3는 SOC Report 2의 Type 2방식을 민간에 Open할 수 있도록 기밀의 정보등을 제거한 보고서이다. 따라서 자세한 통제의 결과나 취약성은 공개되어있지 않다.

듣자하니 요즘 ISC2문제에 SOC를 물어보는 문제들이 많아서 종류만 정리를 해보았다. 한국어로 어떻게 번역이 되고 있는지는 모르겠지만... 정리에 다음의 글들을 공부하며 올려놓은 것이니, 궁금한 사람들은 참고하자 우리나라의 표준이 아닌만큼 자격증 공부제외 알아둘 일은 없을거 같다.