정보보호 관리체계(ISMS)란 정보통신망의 안전성 확보를 위하여 수립·운영하고 있는 기술적·물리적 보호조치 등 종합적인 관리체계에 대한 인증제도를 말한다. 이는 ‘2016년 10대 보안 이슈‘에 선정되었으며 최근 ISMS 인증 의무 대상이 의료기관 및 대학 등 여러 기관으로 확대되면서 2017년에 들어서도 화제가 되고 있다.

ISMS 인증 기준은 정보보호 5단계 관리과정 요구사항 12개 통제항목, 정보보호대책 13개 분야 92개 통제 항목 총 104개 통제사항으로 구성되어 있다. 정보보호 정책 수립과 외부자 보안, 물리적 보안 등 여러 항목들이 존재하고 있고 각 기관들은 ISMS 인증을 통해 정보자산의 안전을 점검하고 있다.

ISMS 인증항목 (출처 : KISA ISMS)
ISMS 인증항목 (출처 : KISA ISMS)

이런 ISMS 인증과 여러 보안시스템 구축을 통해 많은 기관들이 정보보호에 힘쓰고 있지만 보안 위협과 사고들은 여전히 끊이지 않고 있다. 이는 기업들이 주로 서버 등 기업의 중심부 시스템 보안 강화에만 주력하고 있고 실제 보안 사고가 발생하는 시발점인 엔드포인트 보안에는 소홀한 경우가 많기 때문이다. 한국인터넷진흥원(KISA)에서 발표한 ISMS 인증 주요 결함 분석에서도 알 수 있다.

2016년 KISA ISMS 현황 및 추진계획, 인증 주요 결함 분석 (출처 : KISA)
2016년 KISA ISMS 현황 및 추진계획, 인증 주요 결함 분석 (출처 : KISA)

KISA에서 3년에 걸친 발표한 ISMS 인증 주요 결함 분석 결과를 보면 사용자 패스워드 관리, 접근권한 검토, 네트워크 접근, 인터넷 접속 등 엔드포인트 보안에 소홀해서 일어나는 보안사고 항목들이 매년 빠지지 않고 계속되고 있다. 아직도 많은 기관 및 기업들이 엔드포인트 취약점을 인지하지 못하거나 이를 인지하더라도 구축해야할 알맞은 시스템을 잘 모르고 있는 실정이다.

왜 이러한 보안 취약점들이 발생하는 것일까? 보안시스템은 유형별로 관리자 지정, 최신 정책 업데이트, 룰셋 변경, 이벤트 모니터링 등의 운영절차를 수립하고 보안시스템 별 정책 적용 현황을 관리해야 한다. 그런데 많은 기업들이 보안정책 관리절차가 수립되지 않거나 관리 단말 및 시스템 접근에 대한 인증, 인가의 통제가 적용되지 않는 경우로 볼 수 있다.

사용자 패스워드 관리는 법적 요구사항, 외부 위협요인 등을 고려하여 패스워드 복잡도 기준, 초기 패스워드 변경, 변경주기 등 패스워드 관리절차를 수립·이행하고 패스워드 관리 책임이 사용자에게 있음을 주지시켜야 한다. 그러나 안전한 패스워드 사용에 대한 관리·감독과 사용자들의 패스워드 정책 요구사항 미준수 등 패스워드 관리에 대한 보안 정책과 관리절차의 부재로 인해 발생한다.

접근권한 검토 항목은 정보시스템 및 중요 정보에 대한 접근을 관리하기 위해 접근권한부여, 이용(장기간 미사용), 변경(퇴직 및 휴직, 직무변경, 부서변경)의 적정성 여부를 정기적으로 점검해야 한다. 그러나 접근 권한에 대한 관리시스템의 부실 및 부재한 경우와 꾸준한 접근로그 모니터링 수행이 없을시 발생한다.

네트워크 접근은 네트워크에 대한 비인가 접근을 통제하기 위해 필요한 네트워크 접근통제리스트, 네트워크 식별자 등에 대한 관리절차를 수립하고 서비스, 사용자 그룹, 정보자산의 중요도에 따라 내·외부 네트워크를 분리해야 한다. 하지만 네트워크 구성 변경 시 그 절차와 보안성 검토가 미흡하고 인가되지 않은 단말 또는 인터넷 망에서 내부 시스템·네트워크 접근이 발생하며 네트워크 접근통제를 위한 변경관리절차 및 정보자산의 중요도에 따른 내·외부 네트워크에 대한 분리가 되지 않아 발생한다.

인터넷 접속 결함 항목은 인터넷 접속 검토 항목으로 인사정보, 영업비밀, 산업기밀, 개인정보 등 중요정보를 대량으로 취급·운영하는 주요직무자의 경우 인터넷 접속 또는 서비스(P2P, 웹메일, 웹하드, 메신저 등)를 제한하고 인터넷 접속은 침입차단시스템을 통해 통제해야 하고 필요시 침입탐지시스템 등을 통해 인터넷 접속내역을 확인하고 모니터링을 해야 한다. 그러나 각 단말에 대한 인터넷 접속제한 조치가 미흡하고 모니터링 및 통제가 이뤄지지 않는 취약점을 지니고 있다.

KISA ISMS 접근통제 항목 (출처 : KISA ISMS)
KISA ISMS 접근통제 항목 (출처 : KISA ISMS)

이런 취약 항목들을 종합하면 접근통제 항목에만 집중되어 있음을 알 수 있다. 이는 많은 기업과 기관들이 확실한 보안정책을 세우고 이를 적용하게 해주는 엔드포인트 보안의 핵심 시스템들인 네트워크 접근통제(NAC) 시스템, IP관리 시스템(IPMS), IT자산관리(DMS, PMS) 시스템들이 유기적으로 구축되어 있지 않고 있다는 것이다.

그럼 엔드포인트 보안의 핵심인 NAC, IPMS, DMS, PMS 시스템들은 왜 필요한 것일까? NAC는 네트워크 접근통제 시스템으로 네트워크에 접속하는 모든 유·무선 엔드포인트에 대한 보안 상태를 점검하여 사내망과 모든 엔드포인트를 보호하는 핵심이다. NAC 보안 개념은 성문과 같아 네트워크에 접속하는 모든 기기들을 내부망으로부터 철저히 격리한 상태에서 보안점검을 실시한다. 정책에 의해 중앙에서 강력한 통제가 이뤄져 보안을 유지하고 있는 기기만 내부망을 사용할 수 있어 항상 안전한 내부 네트워크를 유지시키고 엔드포인트 보안 사고를 사전에 예방하는 보안장비다. NAC 구축시 엔드포인트를 통한 외부침입에 대해 실시간으로 탐지 및 차단이 가능해지고 내·외부자에 의한 정보유출을 방지할 수 있다. 보안시스템 관리자 등 접근이 허용된 인원 이외의 비인가자 접근통제가 쉬워 ISMS 접근통제 항목의 많은 부분을 보완할 수 있다.

IPMS는 수동적인 관리로는 제어하기 어려운 다양한 엔드포인트 기기들의 IP와 MAC을 통합 및 자동으로 관리할 수 있도록 하는 시스템으로 NAC를 실행하기위한 기본 기술이다. IPMS는 중앙통제를 통한 정책 기반의 강제적 관리를 통해 실시간으로 IP를 수집해 단말 자동분류가 가능하다. 이 기능으로 인가되지 않거나 유해 트래픽을 발생시키는 IP, MAC을 차단시키고 또한 사용자의 부주의로 인한 IP충돌을 사전에 방지하는 기능을 통해 중요장비의 IP와 MAC을 보호한다. 이런 IPMS의 기능들은 접근통제 적용 시 IP관리 효율성을 증대시키고 내부 네트워크 보안강화, 안정적인 네트워크 유지 효과를 제공한다.

추가적으로 IT자산관리의 DMS(Desktop Management System)와 PMS(Patch Management System)를 적용시켜 엔드포인트단의 HW, SW 자산을 파악하고 IT자산의 불법 복제 및 다운로드 및 불법 SW의 사용을 사전에 막아 보안취약점으로 활용될 위험성을 줄이고 자동 패치 시스템을 통해 보안시스템 운영의 자동화 및 강제화를 이룰 수 있다.

이 시스템들이 유기적이고 상호보완적으로 구축되어야 기업과 기관 내에 정한 보안정책을 확고히 하고 엔드포인트단 사용자들에 대한 통제와 강제화가 가능해져 보안시스템 운영과 접근통제들이 확고한 엔드포인트 보안망을 구축했다고 할 수 있다.

엔드포인트의 정책 및 통제 방안
엔드포인트의 정책 및 통제 방안

많은 기업들이 다양하고 많은 보안시스템을 구축하고 ISMS 인증을 받으며 보안점검을 실시하고 있다. 2017년 정유년 새해에 들어서도 정보보호 위협은 많은 각 기관과 기업들을 위협할 것이다. 올해에는 ISMS 인증 결함 보고에서도 알 수 있었듯이 중심 시스템에 대한 보안에만 집중하여 실제적으로 보안 위협에 노출되어 있는 엔드포인트를 통한 보안위협과 사고에 노출되는 기업이 줄어들었으면 한다.

이무성 musso@mlsoft.com 엠엘소프트 대표이사. 30여년간 소프트웨어 개발과 사업을 영위해온 엔드포인트 분야 전문가로 자산관리시스템, IP관리시스템, 네트워크 통제시스템등을 자체 개발하여 높은 기술력과 풍부한 구축경험으로 동 분야를 선도하고 있다.

(* 이 칼럼은 Nextdaily의 편집방향과 다를 수 있습니다.)

저작권자 © 넥스트데일리 무단전재 및 재배포 금지