[서평] 정보보안의 이해



나는 업무 특성상 매우 다양한 범주의 업무를 수행한다. (항상 그렇겠지만 이 역시 장단점이 있다..) 그로인해 언제가 한번 정보보안에 대한 지식을 재정리 해야겠다고 생각했고, 그 즈음 이 책을 읽게 되었다.

이 책은 정보보안을 거시적 관점에서 바라볼 수 있게 도와준다. 정보보안을 구성하고 있는 각각의 요소(title)와 그 요소에 대한 설명이 간단하지만 정확하게 설명되어 있다. 개인적으로 이 책을 2회 정도 정독하는 것을 추천한다. (별로 기대하지 않았던 책이어서 그런지 몰라도, 꽤 맘에 든다.) 전공자는 물론이거니와 비전공자 역시 쉽게 이해할 수 있으리라 생각된다.

개인적으로 맘에드는 '정의'나, '설명'은 아래에 메모를 하였다.


1. 보안이란 무엇인가 - 28 Page

“미국 법률에 의하면 정보보안은 “정보에 대한 승인받지 않은 접근, 이용, 노출, 중단, 변조, 파괴로부터 보호하는 것” 이다. 본질적으로 데이터와 시스템을 악용하는 사람들로부터 보호하는 것을 의미한다.

보안은 일반적인 의미로 자산을 보호하는 것을 의미한다. 궁극적으로 주어진 환경에서 가장 합리적인 수준으로 정해진 공격에 대항하여 우리 스스로를 지킬 필요가 있다.

자산을 보호하려는 노력과 더불어 보안을 구현한 후의 결과를 고려해야 한다. 높은 수준의 보안 상태인 시스템은 안전하지만 가용성이 떨어지고 생산적이지 못하다. 보통 보안 수준이 증가함과 동시에 생산성은 감소하기 때문이다. 인용문에서 언급된 시스템의 보안 수준은 높지만 생산성 수준은 거의 제로에 가깝다.

2. 언제 안전할까? - 29 Page
보안을 생각할 수 있는 정확한 시점에 대해 몇몇 의문이 제기된다. 시스템의 패치가 적절히 되었다면 안전한가? 강력한 비밀번호를 사용하면 안전한가? 전체적으로 인터넷 연결을 끊어버리면 안전한가? 특정 관점에서 모든 질문의 답은 “아니오”다.

적절한 패치를 적용하더라도 취약한 쪽에 새로운 공격을 당할 수도 있다. 강력한 비밀번호를 사용하면 공각자는 다른 경로를 이용하여 공격할 것이다. 인터넷 연결을 끊어버리더라도 시스템의 물리적 접근이나 도난이 일어날 수 있다. 간단히 말해, 완전히 안전한 시점을 정의한다는 것은 매우 어렵다. 그러나 질문을 다른 관점에서 생각할 수 있다. 

불완전한 시점을 정의하는 것은 훨씬 더 쉬운 일이며, 그런 상태에 관련된 목록을 재빨리 만들어보면 다음 과 같다
  • 패치를 하지 않은 시스템
  • “password”, “1234” 와 같은 비밀번호 사용
  • 인터넷에서의 프로그램 다운로드
  • 알지 못하는 송신자로부터 온 메일 열기
  • 암호화되지 않은 무선 네트워크 사용

이러한 목록은 끊임 없이 늘어날 수 있다. 가장 좋은 것은 주어진 환경에서 불안전한 부분을 살펴본 후에 이러한 쟁점을 완화시키는 조치를 취하는 것이다. 이 문제는 어떤 것을 계속 반으로 자르는 경우 남은 부분에는 다시 반으로 잘라야 할 부분이 항상 남아 있는 것과 같다. 명확하게 안전하다고 불릴 수 있는 상태에 도달할 수 없을지는 모르지만, 옳은 방향으로 조치를 취할 수는 있다.

어떤 법이나 규율을 통해 “충분히 안전한 것” 에 대해 정의가 가능하다.

  • 신용카드 지불을 담당하는 회사를 위한 신용카드보안규격(PCI DSS)
  • 환자들의 건강기록을 다루는 조직을 위한 책임건강보험법령(HIPAA)
  • 미연방정부기관의 보안 표준을 정의한 연방정보보안관리법(FISMA)
  • etc

3. 최소 권한의 원칙 - 67 Page

접근을 인가한 주체에게 어느 정도의 접근 권한을 허용할지를 결정할 때 명심해야 할 최소 권한의 원칙이라는 중요한 개념이 있다. 최소 권한의 원칙은 필요한 접근이 허용된 주체(사람, 사용자 계정, 프로세스 등이 될 수 있다) 에게 목적을 수행하기 위해 필요한 거의 최소한의 접근만을 허용해야 한다는 것을 의미한다. 예를 들어 판매부서에서 근무하는 직원이 그들의 일을 수행하기 위해서 내부 인사시스템 내의 데이터에 접근할 필요는 없을 것이다. 최소 권한의 원칙을 위반하는 행위들의 대부분이 오늘날 우리가 직면하는 보안 문제의 근본적인 원인 되고 있다


시스템을 구성하고 계정의 권한을 할당하고 보안에 대해 계획할 때 최소 권한의 원칙을 주의 깊게 준수함으로써 공격자들이 좀 더 쉽게 시스템에 접근할 수 있도록 도와주는 도구들을 제거할 수 있다. 이것은 우리가 실행할 수 있는 매우 간단한 보안 조치이지만 효과는 매우 탁월하다. 
No comments

0 개의 댓글:

댓글 쓰기

피드 구독하기: 댓글 (Atom)

Popular Posts

  • [세계사] 기독교의 동서 분열 - 로마 가톨릭교회와 동방 정교회
    종교에 관심이 많은 것은 아니지만 기독교의 동서 분열은 한번 정리할 가치있다고 생각했다.  기독교의 동서 분열 은 기독교 역사상 11세기에 로마 가톨릭 교회와 동방 정교회가 상호 파문으로 분리된 사실을 말한다. 교회가 동서로 분열된 이유는 교리, ...
  • [세계사] 마그나 카르타 / 권리청원 / 권리장전
    영국에서 발생한  마그나 카르타 / 권리 청원 / 권리 장전 은 헌정사상 가장 중요한 의미를 가지는 의회 제정법이다. 이와 같은 역사가 기반이 되었기 때문에 오늘날 영국이 선진국으로서 세계를 호령하게 되었는지 모르겠다. 훗날 전세계에 영향을 미칠 그들...
Powered by Blogger.