앞의 글에서 정보보안 전문가의 직무 및 직업에 대해 10개 정도로 분류를 해보았습니다.
그러면, 이번부터는 하나씩 조금 더 자세하게 살펴보도록 하겠습니다. 우선 첫 번째로 여러 직무 분야를 거쳐 제가 오랫동안 일해 온 정보보호 컨설턴트입니다. 정보보호 컨설턴트를 알아보기 전에 먼저 컨설팅을 하는 컨설턴트의 정의를 살펴보고 정보보호 컨설턴트의 정의와 단계별 수행 업무에 대해 알아보겠습니다.
1. 컨설턴트의 정의
컨설턴트는 전문적인 지식과 기술을 가지고 고객이나 클라이언트에게 조언과 문제해결 방안(Solution)을 제공하는 전문가를 의미합니다. 컨설턴트는 특정 분야나 업무에 대한 전문성을 바탕으로 조직이나 개인의 문제를 해결하고 발전시키는데 기여합니다. 정보보호 컨설팅을 하는 정보보호 컨설턴트의 정의 및 단계별 수행 업무는 다음과 같습니다.
2. 정보보호 컨설턴트의 정의
정보보호 컨설턴트는 기업/기관이나 조직의 정보보호 문제점을 파악하여 정보보호 중장기 전략을 제시하여 정보보호를 강화하는데 도움을 주는 전문가입니다. 정보보호 컨설턴트는 조직의 정보자산을 보호하고 사이버 위협으로부터 안전하게 유지하기 위한 전략과 정책을 수립하고 이행하는데 기여합니다. 정보보호 컨설턴트는 조직 내부나 외부에서 일할 수 있으나 보통의 경우 조직 외부인 SK쉴더스, 안랩, 신한 DS, 에이쓰리, 이글루시큐리티 등 국가에서 지정한 정보보호전문기업 또는 정보보호 중소기업 소속으로 프로젝트 단위로 일을 하며 경력을 쌓은 후 프리랜서로 활동하기도 합니다. 정보보호 컨설턴트는 IT 및 정보보호 분야의 기술적인 지식과 경험 그리고 비즈니스 이해력을 바탕으로 현황분석, 위험평가, 정보보호 관리체계 수립, 정보보호 정책 및 지침, 절차 수립, 보안가이드 제시, 정보보호 교육, 컴플라이언스 준수, 정보보호 솔 루션 제안, 투자 예산 제안 등 다양한 활동을 수행합니다. 최종적으로 정보보호의 문제해결 방안(Solution)을 종합적으로 제공하여 조직의 정보보호를 강화하는 역할을 수행합니다.
3. 정보보호 컨설팅 수행 업무
정보보호 컨설팅은 보통 짧게는 1개월에서 길게는 6개월 정도로 프로젝트 단위로 수행하고 있습니다. 프로젝트는 5단계 또는 6단계로 수행합니다. 환경분석 및 요구사 항 정의, 현황분석, 취약점진단, 위험평가, 정보보호 관리체계 수립(정책 및 지침 제 개정), 중장기 전략 수립, (ISMS, ISMS-P, ISO27010 인증 컨설팅 시) 인증심사 준비 지원의 단계로 구성됩니다.
1단계(PHASE 1): 환경분석 및 요구사항 정의
전사 조직, IT 조직 등 환경을 분석하고 비즈니스 목표와 요구사항을 이해합니다. 그리고, 프로젝트를 통하여 정보보호를 강화하고자 하는 정보보호 책임자 및 담당자의 요구사항을 정의합니다.
2단계(PHASE 2): 현황분석
전사 및 정보보호 조직의 직무(업무분장), 정보자산, 정보보호 관련 정책 등 운영 문서, 물리보안 현황, IT 및 정보보호 위탁(IDC, 유지보수, 고객센터 등) 운영 현황 등 조직의 전반적인 정보보호 상태를 문서검토, 인터뷰, 현장실사 등을 통해 현황을 분석하여 평가를 진행합니다. 이를 정보보호 수준평가 또는 정보보호 GAP 분석 평가라고도 합니다.
3단계(PHASE 3): 시스템/웹 취약점 진단 및 모의해킹
▶시스템 취약점 진단 :
- 정보자산(서버, 네트워크, 정보보호시스템(보안장비), 미들웨어(WEB/WAS), DBMS 등 IT 자산에 대해 취약점 진단을 수행하여 보안가이드를 제시함으로써 취약한 항목이 개선될 수 있도록 합니다.
- 시스템 취약점 진단 시 고객사의 기준이 있을 경우 고객사의 기준 항목으로 진단을 수행하나, 보통 주요 정보통신기반시설 취약점 분석•평가 가이드에서 제시한 항목 기준으로 진단을 수행합니다. (금융기관의 경우 전자금융 주요 정보통신기반시설 취약점 분석•평가 기준)
▶웹/앱 취약점 진단 및 모의해킹 :
- 웹애플리케이션(WEB)/모바일 APP이 운영되고 있는 URL에 대해 수동진단을 하거나 무료로 사용할 수 있는 여러 가지 공개된 취약점 진단 Tool 또는 자동화 Solution을 통해 자동진단으로 수행하여 취약점 정보를 수집합니다. 모의해킹은 도출된 취약점을 이용하여 OS, TCP Port, RPC 등에 대해 공격을 통해 취약점이 나올 경우 보안가이드를 제시함으로써 취약한 항목이 개선될 수 있도록 합니다.
- WEB/APP 취약점 진단 시 고객사의 기준이 있을 경우 고객사의 기준 항목으로 진단을 수행하나, 보통 주요 정보통신기반시설 취약점 분석•평가 가이드에서 제시한 항목 기준으로 진단을 수행합니다. (금융기관의 경우 전자금융 주요 정보통신기반시설 취약점 분석•평가 기준)
※ 주요 정보통신기반시설 취약점 분석•평가 기준은 OWASP TOP 10, 국가정보원 8대 취약점 항목 등을 바탕으로 WEB/APP 취약점 항목을 제시하고 있으며, 정보보호전문기업의 경우 자체 진단(23개~27개) 기준을 통해 진단하는 경우도 있습니다.
▷ ▷ ▷ 시스템 취약점 진단, 웹/앱 취약점 진단, 모의해킹은 별도(단독)의 프로젝트로 진행되는 경우도 많습니다.
4단계(PHASE 4): 위험평가
- 위험평가는 정보보호 관점에서 정보자산에 영향을 미칠 수 있는 위험을 식별하고 평가하여 정보자산 보호를 위한 근거를 마련하는 것으로, 위험평가는 자산 중요도 평가, 취약점 진단 결과를 기반으로 수행합니다.
- 위험분석은 관리적/물리적/기술적 취약점 진단 결과를 바탕으로 정보보호 측면에서 고려해야 할 위험(Risk)과 발생 가능한 위험 유형을 고려하여 항목을 도출하고 평가하며, 위험수용 기준을 설정하고 관련 위험에 대한 관리계획을 수립합니다. - 위험평가는 위험분석 ▶ 위험요인 도출 및 DoA(Degree od Assurance:허용 가능한 위험 수준) 결정 ▶ 위험평가 및 개선방안 도출 ▶ 위험조치 계획 수립의 순서로 진행합니다.
- 위험조치 계획은 다음의 4가지 전략을 바탕으로 수립합니다.
● 위험 수용(Acceptance)
● 위험 회피(Avoidance)
● 위험 전이(Transference)
● 위험 감소(Reduction)
※ 개인정보의 경우 위험평가를 별도로 진행합니다.(나중에 별도로 작성 예정)
5단계(PHASE 5): 정보보호 관리체계 수립(정책 및 지침 제·개정)
정보보호 관리체계를 수립하는 것에는 여러 가지 의미가 내포되어 있습니다. 이 중에서 대표적인 예로 정보보호 및 개인정보보호 관련 정책 및 지침 제·개정을 들 수 있습니다. 정책 및 지침 제·개정을 위해서는 먼저 정보보호 관련 법적 요구 사항들과 주요 위험들을 반영하는 등의 작성 기준을 마련하여야 합니다. 작성 기준은 다음과 같습니다.
1) 정보통신망법, 개인정보보호법, 신용정보보호법, 개인정보의 안전성 확보조치 기준 등 관련 법률 및 상위기관 지침 준수 사항 반영합니다.
2) 정보보호 및 개인정보보호 관리체계 국내·외 기준 (ISMS-P, ISO27001, ISO27701, GDPR 등)을 검토하여 정보보호 관련 요구사항을 반영합니다.
3) 고객사의 정보시스템 및 업무 환경 특성을 고려 정책 및 지침, 절차를 단계적 구조로 제정합니다.
4) 관리적/물리적/기술적 영역으로 구분하여 체계화합니다.
6단계(PHASE 6): 중장기 전략(Master Plan) 수립
정보보호 중장기 전략(마스터플랜)을 수립하는 단계는 다음과 같습니다.
1) 정보보호 관리체계 전 영역(관리/물리/기술)과 IT 인프라 및 웹/앱 취약점 진단에서 발견된 취약점을 개선하기 위한 개선 방향을 도출합니다.
2) 개선 방향에 대한 추진체계를 수립하고 추진과제에 대한 상세 과제를 도출합니다.
3) 보안 위험 제거를 위한 추진 방향 수립, 과제별 위험도, 구축난이도, 소요 비용 등에 따라 과제 우선순위를 선정합니다.
4) 추진과제, 상세 이행과제에 대한 이행시기를 선정하여 과제별 이행로드맵 수립합니다.
5) 정보보호 수준의 지속적인 향상을 위한 단기, 중기, 장기의 단계별 3단계 과제 이행 계획을 수립, 이행합니다.
6) 마지막으로 향후 3년 정도에 대한 예상 소요 비용(예산)을 산정합니다.
7단계(PHASE 7): (ISMS, ISMS-P, ISO27010 인증 컨설팅 시) 인증심사 준비 지원
인증 심사를 위한 증적 자료 작성, 인증 심사 대응 담당자 교육 실시, 자체 모의인증 심사 실시, 인증 심사 필요 사항 대응 지원을 통하여 ISMS, ISMS-P, ISO27010 인증을 획득에 차질이 없도록 철저한 준비를 지원합니다.
간단하게 작성하여 이해를 돕고자 하였으나, 작성해 놓고 보니 이해하시는데 어려움이 있을 것 같네요. 정보보호 컨설팅의 전체적인 맥락이 이렇다 정도 이해하시는 게 좋으실 듯합니다.
정보보호 컨설턴트의 직업에 대해서 관심 있으신 분들께 이 글이 도움 되셨길 바랍니다.
지속적인 관심 부탁드립니다.