기업의 전사 보안 관리는 모든 보안 분야에 걸쳐 관리가 필요하다 : 서버, 네트워크, 정보보호 시스템(방화벽, IPS, IDS 등), 어플리케이션, 데이터베이스, PC, 바이러스/해킹, 메일, 모바일 등
정부 산하 관련 기관에서도 보안과 관련해서 많은 정책, 표준, 절차, 가이드를 내놓고 있다. 그러면서 인증 제도도 다양하게 내 놓으면서 인증 심사에 사용될 체크리스트도 있다. 문제는 이런 가이드, 체크리스트는 실제로 기업의 시스템을 운영하는 사람들이 유지 보수에 사용하려면 별 도움이 되지 않는다. 표준, 절차, 가이드는 너무 추상적이다. 그리고 인증 심사에서 사용하는 체크 리스트는 너무 순간적인 상황의 체크에만 관심을 갖는듯하다. 해서 "인증받으면 끝이다"는 말이 있게 된다. 실제로 보안 점검 및 체크가 유지보수 활동 및 프로세스에 적용되지를 못하는 듯 한다.
이번에는 어플리케이션 차원에서 "보안 적용 프레임워크"를 만들어보려고 한다. 각 기업마다 보안과 관련된 기준 또는 요구사항들이 있을 것이다. 그런 요구사항들을 체계적으로 정리해서 신규 어플리케이션의 보안 적용 가이드로 또는 기존 어플리케이션의 보안 점검에 사용할 수 있을 것이다.
CIA+2 모델 | 기업 요구 기준 | 참조 | 비고 | |
분류#1 | 분류#2 | |||
기밀성 | 암호화 | 데이터 암호화 | 시스템 로그인 방식 상세기준v2.0.docx | |
파일 암호화(DRM솔루션) | ||||
패스워드 해시화 | ||||
무결성 | 신원관리 | 계정 생성, 계정 찾기 아이디 문자 조합 패스워드 인증 또는 공인인증서 인증 후 사용자 기본정보 변경 | 시스템 로그인 방식 상세기준v2.0.docx | |
패스워드 모듈 설계 | 패스워드 문자 조합 패스워드 유효기간 체크 | 시스템 로그인 방식 상세기준v2.0.docx 정보시스템 보안 기준.docx 제 5 조 ( 패스워드 모듈 설계 ) | ||
패스워드 초기화 | 패스워드 초기화(분실시) | 정보시스템 보안 기준.docx 제 20 조 ( 패스워드 ) | ||
패스워드 관리 | 패스워드 주기별 변경
패스워드 변경 이력 관리 패스워드 재사용 금지 등 | 정보시스템 보안 기준.docx 제 28 조 ( 패스워드 관리 ) | ||
신원확인 | ||||
인증 | 사용자 인증 | 정보시스템 보안 기준.docx 제 6 조 ( 사용자 인증 ) | ||
중복 로그인 불가 | 시스템 로그인 방식 상세기준v2.0.docx | * 중복 로그인 - 1대 PC에 2개 아이디 로그인 방지 | ||
동시 로그인 불가 | 정보시스템 보안 기준.docx 제 7 조 ( 동시 로그인 불가 ) | * 동시 로그인 하나의 사용자ID로 다른 머신에서 로그인 | ||
인증 시도 횟수 제한 | 시스템 로그인 방식 상세기준v2.0.docx | |||
권한부여 | 어플리케이션, 메뉴, 화면, 데이터 | 정보시스템 보안 기준.docx | 사용자별, 그룹별, 직무별로 자원 접근 권한 설정 ( 어플리케이션, 데이터 또는 웹 페이지) | |
전송계층 보안 | HTTPS | |||
가용성 | ||||
보안감사 | 로깅 | 감사 추적 정보(비기능요구사항) | 정보시스템 보안 기준.docx
| * 로깅 - 이벤트에 대한 상세 정보 |
성능, 예외, 오류 | ||||
감사 | 접속기록의 보관 | 정보시스템 보안 기준.docx | * 감사 - 이벤트 발생 사용자, 원인 - 누가, 언제, 무엇을, 어떻게 | |
접속 기록, 위,변조 방지 | ||||
보안 정보 접속,사용,변경,출력 기록 | 정보시스템 보안 기준.docx 제 25 조 ( 어플리케이션 감사 기록 ) | |||
추적 | 코드 실행 발자취 | |||
부인방지 | 전자서명 | |||
최신보안위협 | 모의해킹 진단 항목 | 모의해킹별 보안 대책 가이드 |
"참조" 컬럼에는 해당 기업에서 요구하는 보안 항목들이 있는 문서나 자료들을 표시하고 있다. 이런 보안 항목들이 제대로 정리되어 있는 기업들이 그렇게 많지 않다. 여기 저기 흩어져 있을 수 있다. "기업요구기준"은 그런 문서들에 정의되어 있는 항목들을 CIA+2 모델에 따라서 정리한 컬럼이다. 그리고 OWASP같은 곳에서 발표하는 최신 보안 위협같은 항목들이 있는데, 보안 업체에 모의 해킹등을 의뢰하면 자신들이 가지고 있는 체크 항목들이 있다. 이런 체크 항목들을 보안 요구사항에 포함시킬 수도 있을 것이다. 이것을 마지막에 추가했다.
각 항목(보안 요구사항)별로 어플리케이션 아키텍처와 잘 융합되도록 어떻게 적용할 것인가에 고려가 있어야 할 것이다. 그런 다음 적용을 할 수 있는 가이드가 있어야 할 것이고, 필요하다면 공통 모듈로로 제공되어야 할 것이다.
간단한 표이기는 하지만, 어플리케이션 관리자의 체크리스트로서 유용할 것으로 보인다. 사용해봐야쥐....
'IT 살이 > 03. 관리 - 보안 관리' 카테고리의 다른 글
05. 클레임 기반 보안 아키텍처 (0) | 2015.09.13 |
---|---|
03. CIA Triad + 2 보안 모델 설명 (0) | 2015.09.12 |
02. 조직 정보 보안 프레임워크 모델 설명 (0) | 2015.09.10 |