사이버 공격에 대한 체계적인 대응

기업은 정보 보안 측면에서 선택의 여지가 거의 없다. 몸값이나 벌금 지불을 위한 비상금 또는 손해 구제 예비금을 마련해 두거나 아니면 무단 접근으로부터 데이터를 체계적으로 관리하고 보안을 강화해야 한다.

안드레 재켈(André Säckel): DQS GmbH 정보 보안 부문 제품 매니저이자 전문가

사이버 범죄가 급증하고 있다! 수치는 알려져 있지 않지만, 독일에서만 평균 수백억 단위의 피해액과 지출된 몸값이 그리 적지는 않을 것이다. 전문가들은 드러나지 않은 금액이 어마어마할 것으로 추산하고 있다. 많은 사람들에게 인더스트리 4.0이나 스마트 팩토리와 같은 캐치프레이즈가 오래전부터 회자되고 있지만, 아직 광범위하게 구현되지는 않고 있다. 이렇게 궁극적인 네트워킹이 이루어지지 않았다 하더라도 사이버 공격(랜섬웨어)을 당하는 경우 기업들은 대부분 값비싼 비용을 치르고, 급기야 존립까지 위협을 받을 수 있다. 해킹 위협의 잠재력은 너무나 높은 액수의 몸값과 피해 구제를 위한 막대한 비용과 보상금까지 더해질 수 있다. DS-GVO(정보 보호 기본법)를 침해하는 경우는 더욱 그러하다.

가이드라인 선택

점점 증가하는 디지털화 측면에서 ISMS (정보 보안 관리 시스템)을 도입하고 승인받아 경우에 따라 데이터 보안 구성 요소를 보완하는 것이 권장할만한 조치이다. 효과적인 정보 보안 관리 시스템은 적용 영역에 따라 비즈니스 정보 보안을 보장하는데 적합한 요건을 제시한다. 기본이 되는 가이드라인을 선택하면 ISMS의 프로세스 방향성과 리스크 방향성이 어떤 특색을 띠고 어떤 방법을 적용할 것인지 또는 어떤 방법이 권장되는지가 결정된다.

우리 회사 상황에 어떤 가이드라인이 맞을까?

우리 회사의 IT 구조는 얼마나 복잡한가?

우리 회사의 개인 정보 범위는 얼마나 광범위한가?

우리 회사는 어떤 외부 요건 또는 분야 별 요건을 충족해야 하는가?

우리 회사는 어느 정도의 시간, 인력 및 재정적 비용을 운영할 수 있는가?

공격 대상으로부터 회사의 귀중한 정보를 방어해야 할 뿐만 아니라, DS-GVO 차원에서 고객의 개인 정보를 보호해야 하는 기업은 가이드라인을 선택할 경우, 정보 보안 테마를 고려해야 한다. 아래 가이드라인은 각각 다른 깊이로 문제에 개입하고 다양한 목표 그룹을 다루고 있다.

ISA+: 간단하게 시작하기

ISA+정보 보안 분석(줄여서 ISA+)은 바이에른 IT 보안 클러스터 협회가 중소기업과 지방 자치단체를 위해 입문용 정보 보안을 개발하였다. 이 방법은 이해하기가 쉽고, 특별한 IT 지식이 필요 없으며, 인증 측면에서 저렴한 비용으로 구현할 수 있다. 하지만 DS-GVO 요건은 명시적으로 다루지 않고 있다.

먼저 다음 4가지 주제 영역으로 분류되는 50개의 실무 관련 질문을 이용하여 회사의 정보 보안 수요를 확인한다. 일반적인 테마(회사에 대한 수치), 조직(예를 들어 가이드라인 또는 책임), 기술(IT 시스템과 데이터 백업), 법률(컴플라이언스 등). 각 질문에 대해 공인 컨설턴트가 회사의 답변과 비교하는 행동 권장안이 있다. 공인 컨설턴트는 강점과 약점을 4개 성숙도로 분류하고, 이를 바탕으로 효과적인 정보 보안 프로세스를 위해 이행해야 할 조치를 확인한다. 회사는 프로세스의 유효성을 증명하기 위해 1년 동안 DQS GmbH에서 ISA+까지 독점적으로 인증을 받을 수 있다.

Isis12: 소규모 회사를 위한 ISMS

Isis12는 2012년에 중소기업의 정보 보안 네트워크를 통해 효과적인 ISMS의 기초로서 개발되었고, 바이에른 IT 보안 클러스터의 ISA+와 같은 방식으로 출간되었다. 이 가이드라인 역시 중소기업과 공공 행정을 위해 고안되었으나, 현재 진행되고 있는 개정은 보다 큰 규모의 기업들을 대상으로 하고 있다. Isis12는 IT 구조가 관리 가능한 정도로 복잡한 경우, 고정적인 정보 보안 프레임을 제공한다. 구현은 다음 3가지 시기로 나뉘는 12 단계로 이루어진다. 첫 번째 시기는 초기화이고, 두 번째 시기에는 구성 조직과 진행 조직이 결정되고, 세 번째 시기에는 컨셉트가 개발 구현된다.   

Isis12는 핸드북과 소프트웨어를 이용하여 자율적으로 도입할 수 있다. 하지만 대체적으로 공인 컨설턴트가 투입된다. 인증은 역시 DQS를 통해 독점적으로 이루어진다. Isis12의 경우, DS-GVO의 요건을 충족할 수 있는 추가 데이터 보호 모듈이 있다. 현재 수정의 주요 관심은 ISO 27001로 업그레이드를 용이하게 하는 것으로(문서화된 정보 보안 관리 시스템의 확립, 구현 및 유지), 이는 예를 들어 IT 복잡도가 증가하는 경우에 또는 외부 요건으로 인한 수많은 Isis12 사용자들의 요구를 충족한다. 따라서 Isis12 2.0은 (IT 베이스라인 보안 카탈로그 대신) ISO 27001 베이스로 변환된다. 하지만 ISO 27001에 대한 무시할 수 없는 델타가 남아 있다.

ISO 27001: 포괄적 보안

2005년에 처음 발행된 ISO 27001은 IT 구조가 복잡한 모든 분야와 규모의 회사들이 합리적인 방식으로 이행할 수 있다. 이른바 Kritis 시행령에 해당하고 그와 더불어 ISMS를 ISO 27001 또는 B3S(산업 별 보안 표준)을 기반으로 도입해야 하는 조직은 예외이다. 여기서 주요 기준은 IT 구조의 복잡성이 아니라, 조직이 사회 공급을 위한 중요 인프라로서 갖는 중요성이다.

ISO 27001이 앞서 언급된 가이드라인과 구분되는 것은 개별적인 접근 방식 외에 포괄적인 리스크 분석과 그로부터 도출된 보안 조치이다. 100가지가 넘는 실무 중심 보안 점검을 포함하는 표준 부록과 제어 메커니즘에 대한 권장 사항을 포함하는 표준 텍스트 자체가 유용하다. ISO 27001은 기술 보안 또는 액세스 제어가 관건인 그런 곳에서만 개인 정보 보호 이슈를 부분적으로 커버한다. 또한 개인 정보 보호 책임자는 언급하지 않는다. 추가의 개인 정보 보호 감사(컴플라이언스)가 이러한 델타를 안전하게 메울 수 있다.

Tisax: 자동차 업계 표준

2017년에 VDA(독일 자동차 산업 협회)는 Tisax(Trusted Information Security Assessment Exchange, 자동차 산업의 정보 보안)로 특히 자동차 공급망을 위해 개발한 업계 표준을 발표하였으나, 다른 산업에도 적용할 수 있다. 몇몇 제조사(그 가운데 VW 포함)는 협력의 전제 조건으로 엔진 개발에서 크리에이티브 에이전시에 이르기까지 Tisax 프로세스의 성공적인 수행을 요구한다.

Tisax 포털에 등록,

공인 인증기관을 통해 평가와 감사,

Tisax 플랫폼 결과 교환.

이 프로세스는 인증서를 결론으로 제공하지 않고(ISO 27001에 따르지 않음) 3년간 유효한 보고서를 제공한다.