IT Consulting

정보보호 아키텍쳐 수립방안

신수정/넷시큐어테크놀로지 컨설팅본부장(sjs1234@netsecuretech.com)

연재제목: 정보보호 실행/관리 체계의 구조와 적용방안

1회: 주요 정보보호실행기준들의 구조 및 특징
2회: 정보보호 위험관리 체계의 적용현실 및 대안
3회: IT아웃소싱 구조하에서의 보안체계의 수립방안
4회: 정보보호 아키텍쳐 수립방안
5회: 정보보호 체계수립을 위한 컨설팅의 활용방안

1. 정보보호 아키텍쳐의 필요성

최근 1-2년간 대기업을 중심으로 여러 기업들은 정보보호활동에 많은 노력을 기울여 왔다. 이들 기업들은 보안사고로 인한 위험을 깨닫고, 정보보호의 필요성을 인식하며 나름대로 정보보호 관련 스터디도 수행해왔고, 관련 조직도 수립했으며, 심지어 컨설팅도 받기도 했다. 그럼에도 불구하고 이렇게 노력을 한 기업들 중 다수는 여전히 정보보호 계획과 이행에 대해 우왕좌왕하며 자신의 기업에 적합한 명확한 정보보호 구조나 청사진을 가지고 있지 못하고 있다. 이러한 이유가 무엇인가? 많은 이유가 있겠지만 이들 이유 중 하나는 정보보호를 접근하는 방식에 문제가 있기 때문이다.
과거 몇 년간 기업이 정보보호활동을 접근하는 방식은 대개 미시적이고 국소적이며 상향적이고 분석 중심이었다. 즉 전형적으로 미시적인 개별 시스템을 기반으로 취약성분석-> 시스템 하드닝 등의 대책수립->보안시스템 도입의 순서를 밟아왔으며 특히 이 순서 중 취약성 분석활동에 많은 초점을 맞추어 왔다. 최근에는 이러한 경향이 많이 바뀌고 있고, 또 과거의 접근도 효과적인 부분이 많은 것이 사실이지만 이러한 접근으로 정보보호 활동을 수행한 기업들은 여전히 다음과 같은 고민을 토로하곤 한다.
1) 이러한 정보보호 활동이후 그 다음에는 무엇을 해야 하는가? 패치도 설치하고 방화벽 및 각종 보안시스템도 구입했다. 그러면 다음엔 무엇을 해야 하는가? 이것으로 보안이 된 것인가? 도대체 보안을 제대로 한다는 것이 무엇인가?
2) 전사적인 정보보호조직을 구성했으나 조직의 주요 활동 방향에 대해 혼란이 있다. 정보보호조직의 주요 활동은 보안시스템을 도입하고 운영하는 것인가? 취약성을 분석하고 주기적으로 패치를 이행하는 것인가? 도대체 정보보호 조직이 중장기적으로 수행할 핵심 미션이 무엇인가?
3) 컨설팅회사의 도움을 받아 과거 환경을 잘 분석하고 대책을 수립했다. 그런데 새롭게 대형 시스템을 구축하게 되었다. 과거의 Legacy시스템을 새로운 환경으로 완전히 이전하게 되었다. 이 경우 보안을 어떻게 적용해야 하는가? 과거 컨설팅회사에서 제시한 분석결과와 대책이 변화하는 환경에 도대체 무슨 도움이 되는가?
4) 어플리케이션의 개발과정에서 정보보호를 어떻게 고려해야 하는가? 사실 이 경우 현재 상황에 대한 취약성 분석작업은 의미가 없다. 여기에는 보안 설계가 중심이 되어야 하는데 특별한 표준도 없고 정책도 없으며 방안도 없다. 기존의 보안접근은 대부분 네트웍 중심이고 인프라 중심이라 이러한 과정가운데의 체계를 어떻게 가져가야 할지 모르겠다.
5) 우리 조직은 대규모의 조직이라 별도의 정보보호조직이 존재한다. 그럼에도 불구하고 정보보호조직이 모든 조직의 정보보호활동을 관찰하고 설계할 수 없다. 결국 각 부서별, 프로젝트 별로 보안설계와 대책 구성을 별도로 수행하게 된다. 결과적으로 정보보호가 조직, 프로젝트별로 각기의 방식에 의해 이행되고, 시간이 흐른 후 확인해보니 도입된 정보보호 대책들이 일관성이 없고 제각기이다.

이러한 고민은 기업들로 하여금 정보보호 활동을 다른 각도로 접근해야 할 필요성을 인식하게 했다. 물론 과거의 접근방식도 당장의 취약점을 발견하고 즉각적으로 해결하는데 있어서는 효과적인 방법이므로 여전히 기업에 적용될 필요가 있다. 그러나 과거의 접근방식은 기업전체의 일관성 있는 체계를 제공해줄 수 없고, 환경의 변화에 능동적으로 대응하기 어려우며 중장기적인 청사진을 보여줄 수 없으므로 기업은 새로운 접근방식을 적용할 필요를 느끼게 된 것이다.
새로운 접근방식은 어떤 형태인가? 당연히 새로운 접근방식은 ‘미시적이고 국소적이며 상향식이며 분석중심의’ 형태가 아닌 ‘거시적이고 통합적이며 하향식이며 설계중심의’ 형태이다. 이러한 접근방식은 종종 ‘아키텍쳐’ 중심의 접근방식이라고 불리운다. 사실 이러한 접근방식이 실제로는 ‘새로운’ 것이라 할 수는 없다. 과거에도 이러한 개념과 방법론이 존재했었다. 그러나 단지 최근에 정보보호 활동을 어느 정도 수행하고 있는 대형기업을 중심으로 이러한 필요성이 대두되었기에 ‘새로운’ 이라는 용어를 사용한 것 뿐이다.
본 글에서는 이러한 필요에 부응하여 정보보호 아키텍쳐와 관련된 간략한 개념, 모델,전형적인 구축단계 들을 제시해 보려 한다.

2. 정보보호 아키텍쳐의 개념

아키텍쳐라는 말은 상당히 광범위하게 활용된다. 그러므로 다양한 정의가 존재한다. 그러나 본 글에서 말하는 아키텍쳐는 시스템 레벨의 미시적인 아키텍쳐가 아닌 ‘전사적인’ 관점에서의 정보보호 아키텍쳐(*주) 이하 ‘아키텍쳐’ 또는 ‘정보보호 아키텍쳐’라는 용어는 ‘전사적 정보보호 아키텍쳐’를 의미함)이다. 정보보호 아키텍쳐에 대한 몇 몇 정의를 살펴보면 다음과 같다.
- 보안정책을 실현시키는 기술/관리 프레임웍
- 현재와 계획된 사업목적에 부응하기 위한 대책과 관련하여 사람, 프로세스, 기술을 통합한 스케일러블한 프레임웍
- 정보인프라의 가용성, 비밀성, 무결성을 확증하기 위한 프레임웍
- 기업을 보호하기 위해 사용되는 보안설계, 도구, 프로세스, 활동들을 기술한 문서
- 정보보호의 요구사항을 만족시키기 위한 정보보호서비스 및 메커니즘에 대한 정의
이를 그림으로 표현하면 그림1과 같다.

그림1. 정보보호 아키텍쳐에 대한 정의도

이러한 정의의 공통점을 찾아 재 정의해본다면 전사적인 정보보호 아키텍쳐는 조직의 ‘사업목적’을 지원하며 ‘정보보호’의 목적을 이루기 위한 전사적인 정보보호의 관리, 기술의 통합 체계 또는 청사진이라고 할 수 있다. 결국 중심 단어는 ‘통합’ 이라는 단어와 ‘체계 또는 프레임웍’이라는 단어이다. 두 단어에서 파악할 수 있듯이 전사적인 정보보호 아키텍쳐는 조직내의 통합된 원칙 및 기술/관리 구조를 제시함으로써 조직내의 통일되고 일관성있는 의사소통의 도구로 활용될 수 있고, 세부적인 기술요건보다는 체계를 제시함으로써 환경변화에 따라 능동적으로 대응될 수 있다.
그렇다면 기업의 미션, 보안정책, 보안요구사항과 정보보호 아키텍쳐와는 어떠한 연관성이 있는가? 간략히 설명하면 먼저 기업의 보안요구사항은 기업의 미션으로부터 도출된다. 보안정책은 일반적으로 기업의 보안요구사항을 문서화한 것이다. 정보보호 아키텍쳐는 보안정책과 보안요구사항들의 시스템 공학과정을 거친 산출물로 표현된다(DOD). 즉 정보보호 아키텍쳐는 기업의 보안 요구사항을 실현시키기 위해 정보시스템 아키텍쳐의 구성요소 내에 할당되는 적절한 보안 서비스와 메커니즘을 정의한다고 말할 수 있다.

그림2. 기업의 미션, 정책, 아키텍쳐의 연관도

3. 정보보호 아키텍쳐의 구조

그렇다면 전사적인 정보보호 아키텍쳐의 구성요소는 무엇이며 그 구조는 어떠한 형태인가? 정보보호 아키텍쳐의 구성요소와 구조에 대해서는 여러 학자, 벤더, 컨설팅회사 등에 의해서 다양하게 제시되어 왔다. 본 글에서는 이러한 구조를 학문적인 관점에서 분류하고 제시하기 보다는 필자의 개인적인 관점에 따라 몇몇 가지 구조의 특성들을 간략하게 보이려 한다. 각 구조에 대한 세부적인 설명은 관련 참고문헌을 참고하길 권고한다.
정보보호 아키텍쳐의 가장 일반적인 구성요소는 정보보호 원칙, 표준, 메커니즘, 기술요소, Best Practice, 서비스, 프로세스 등이다. 이러한 구성요소 들을 체계화한 가장 일반적인 구조는 그림 3과 같은 Layer구조이다. 여기서는 기업의 전사적인 정보보호 원칙, 표준, 메커니즘, 기술요소, Best Practice, 프로세스 등을 Layer별로 분류하여 수립하게 된다. 이러한 Layer구조를 적용한 아키텍쳐 프레임웍의 예시는 그림4와 같다.

그림3. Layer중심의 구조

그림4. Layer중심의 구조를 적용한 프레임웍의 예시

또한 아키텍쳐의 구조는 그림 5와 같이 보안 서비스별로 표현되기도 한다. 즉 정보보호 원칙, 표준, 메커니즘, 기술요소, Best Practice 등이 보안서비스 별로 분류되어 수립되게 된다.

그림5. 보안서비스 중심의 구조

Nick은 전사 정보보호 아키텍쳐의 요소로 정보보호정책, 보안영역, 신뢰도, 티어(tiered) 네트웍을 제시하였다. 그는 아키텍쳐의 구조를 적절한 기준을 통해 분류된 요소들 간의 상호관계로 표현하였다.(그림5) 즉 정보보호정책을 수립하고 이 중 하나인 데이터분류정책에 의해 데이터를 분류하고, 전사적인 네트웍을 논리적인 영역으로 분류하여 보안정책 및 분류된 데이타를 각 영역에 적용한다. 또한 신뢰도를 분류하여 영역간의 요청자원 및 전송경로에 근거하여 신뢰도에 따른 영역간의 인증과 허가방식을 정의한다. 또한 전사네트웍의 물리적인 분리 분류를 통해 불법적인 접근으로부터 기업의 정보에 대한 물리적인 보호를 보장하려 한다. Nick의 모델은 아키텍쳐 요소들의 분류 및 상호 연관성을 정의함으로써 전사적인 보안의 일관성을 보장하려 한다. IBM의 정보보호 아키텍쳐 구조의 경우도 구성요소는 요소들은 위의 것과 다르지만 요소를 설정하고 분류하며 이들간의 상호관계로 보안을 표현하는 방식은 위와 비슷하다. 이에 따른 구조의 예시도는 그림7과 같다.

그림6. 요소내의 분류 및 연관성 중심의 구조

그림7. IBM의 정보보호 아키텍쳐 구조의 예시도

위에서 언급한 아키텍쳐 구조는 대부분 기술적인 구조를 강조하고 있다. 그러나 전사적인 정보보호 아키텍쳐 수립에 있어서는 기술적인 구조뿐 아니라 관리적인 구조도 고려되어야 한다. Jan 등은 관리체계를 포함한 전사적인 정보보호 아키텍쳐 구조를 제시한다.

그림8. 관리체계를 포함한 구조

많은 경우 정보보호 아키텍쳐는 IT 인프라에 초점을 맞추어 고안 되어왔다. 또한 어플리케이션의 개발 프로젝트에 있어서 정보보호 아키텍쳐는 어플리케이션의 개발과정 및 어플리케이션 자체의 보안구조와 연관되어 설계되고 구축되기 보다는 어플리케이션의 플랫폼인 네트웍이나 시스템 인프라 구축의 한 요소로서만 반영된 경우가 많았다. 그러나 어플리케이션 개발에 있어서의 정보보호 아키텍쳐는 어플리케이션 개발의 전 과정에 연합되어 총체적으로 분석되고 설계되며 이행되고 관리될 필요가 있다. King 등은 그림 9와 같이 이러한 관점에서 정보보호 아키텍쳐를 시스템개발의 생명주기와 연관하는 구조를 제시하고 있다.

그림9. 어플리케이션 개발과정과 연계된 구조

위에서는 다양한 관점에서 바라본 정보보호 아키텍쳐 구조들을 살펴보았다. 이러한 구조들 중 어떠한 구조를 채택하여 구체화시키는 것이 기업의 정보보호 활동에 효과적인가는 기업의 환경과 상태, 기업내 조직원들의 관점에 따라 달라질 수 있다. 그러나 아키텍쳐 설계작업을 외부 컨설팅업체의 도움을 받아 수행할 경우에는 그 업체의 방법론에 의존하게 되므로 선택의 여지는 별로 없을 것이다.

4. 정보보호 아키텍쳐 설계의 원칙과 구축 절차

기업의 정보보호 아키텍쳐를 설계하기 위해서는 설계 전에 먼저 명확한 기본원칙을 정의하여야 한다. 대표적인 원칙을 살펴보면 다음과 같다.
- 정보보호 아키텍쳐는 변화하는 보안의 필요와 요구사항을 수용할 수 있어야 한다.
- 정보보호의 수준이 변화할 경우에도 기본 아키텍쳐를 수정하지 않고 지원할 수 있어야 한다.
- 보안의 서비스가 여러 가지 보호의 수준을 수용하고 미래의 확장되는 필요성을 수용할 수 있도록 충분히 Granular해야 한다.
- 정보보호 아키텍쳐는 조직으로 하여금 안전한 업무를 전자적으로 수행할 수 있도록 통합된 보안서비스를 제시해야 한다.
- 정보보호 아키텍쳐는 컴퓨터의 플랫폼에 걸쳐 일관성있는 프레임웍을 제공해야 한다.
- 정보보호 아키텍쳐는 사용성(Usability)을 최대화하면서 미래의 수정 및 변경에 대한 필요성은 최소화해야 한다.
- 자원들에 대해 적용되는 보안의 레벨은 조직에 주는 가치에 비추어 적절해야 한다.
- 보안에 소요되는 비용은 그것이 주는 혜택에 비추어 비추어서 충분히 합리적이어야 한다.

정보보호 아키텍쳐 구축 절차는 일반 IT 아키텍쳐 설계 절차와 크게 다르지 않다. 즉 요구사항과 현재상태를 분석하고 향후 모델을 도출하며 이를 이행하기 위한 청사진을 설계하는 것이다. 조금 더 세부적인 구축 절차는 다음과 같다(Michael).
1) 업무 부서로부터 현재 및 향후 필요한 보안 요구사항을 수집한다.
2) 보안 노력에 대한 “현재 상태(current state)”를 판단하기 위한 분석을 실시한다.
3) “현재 상태”에 있어서의 “ GAP”을 정의한다.
4) GAP 을 해소하고 떠오르는 기업의 사업 요구사항을 만족하기 위해 기능적인 관점에서 아키텍쳐를 표현한다.
5) “원하는 상태(desired state)”환경에 대해 정의하고 커뮤니케이션 한다.
6) 현재의 상태에서 원하는 상태로 환경을 발전시키기 위한 아키텍쳐 청사진을 고안한다.
7) 선택된 아키텍쳐의 문맥내에서 보안 프로그램을 이행하기 위한 표준을 선택하고 정책을 개발한다.
이를 그림으로 표현하면 그림 10과 같다.

그림10. 정보보호 아키텍쳐 구축 절차

5. 결론
본 글에서는 전사적인 정보보호 아키텍쳐의 필요성, 개념, 대표적인 구조, 설계 원칙 및 절차들에 대해 간략히 살펴보았다. 정보보호뿐 아니라 모든 활동에는 항상 그 활동들을 관장할 수 있는 ‘체계’가 필요하다. 이러한 체계가 구축되어야지만 중장기적이고 관리가능한 활동들을 방향성을 가지고 수행할 수 있게 된다. 그러나 지금까지 국내 기업들은 정보보호 활동을 명확한 원칙과 방향 없이 그때그때의 필요에 따라 임기응변식으로 수행해온 경우가 많았다. 이는 마치 청사진 없이 벽돌들만 이리저리 쌓아서 건물을 짓는 방식과 비슷하다고 볼 수 있다. 작은 규모의 건물을 구축 하는데는 이러한 방식이 도리어 더 효과를 발할지 모르지만 이러한 방식으로는 제대로된 대형 건물을 구축할 수 없을 것이다..
정보보호 아키텍쳐는 바로 청사진과 같다. 이제 기업들은 정보보호 활동에 있어서 체계화되고 중장기적이며 회사전체에 통용될 수 있는 ‘청사진’을 설계하는데 관심을 쏟아야 한다. 좋은 ‘청사진’은 하루아침에 설계될 수는 없을 것이다. 그러나 조직의 전사적인 관심과 인식 하에 한 단계 한 단계 공동으로 설계도를 그려간다면, 그리 멀지 않은 시간내에 환경 변화에 흔들리지 않는 견고한 기업 고유의 정보보호 구조를 수립하고 이행해갈 수 있을 것이다.

참고문헌
Christpger M. King 외, RSA Press, Security Architecture, 2001
Steven H. Spewak, Wiley-QED, Enterprise Architecture Planning, 1999
Jan Killmeyer Tudor, Auerbach, Information Security Architecture, 2001
Chris Britton, Addison-Wesley, IT Architectures and Middleware, 2001
신수정, E-Biz Security Conference, 정보보호전략 및 아키텍쳐 수립방안, 2002
ISO, information processing systems-Open system interconnection- Basic reference model-Part2: Security Architecture, ISO 7498-2, 1989
DoD, DoD Technical Architecture framework for information management- Volume 6 Goal Security Architecture, 1996
Nick Arconati, SANS Information Security Reading Room , One approach to Enterprise Security Architecture, 2002
Michael Roberti, SANS Information Security Reading Room, Building an Enterprise Security Architecture, 2001
Markus Vilcinskas, Microsoft Technet, Security Entities building block architecture, 2002
한국 IBM, IBM 재해복구 및 보안세미나, End-to-end Security, 2002