[독후감] ISACA 저널 2021년 2호 개인정보보호: Privacy in Practice

 

출처: Volume 2, 2021 (isaca.org)

2021 제2권 저널에서 개인정보보호을 주제로 다루었다. 개인정보보호 프레임워크, 개인정보보호 감사기법부터 시작하여 개인정보보호 통계적 분석 및 보호기술까지 폭넓은 주제를 다루었다.
*Note: This Korean writing is description of my personal thought about the articles in the ISACA journal. This is not a translation of full text from ISACA journal. If you would like to read the original and full copy, please visit ISACA website.

 

★ 읽기 추천에 대한 색깔 표시
원문읽기 추천 ●●●
나쁘지 않음. 시간이 있다면 원문읽기 추천●●
원문읽기 글쎄?●

 

기밀정보보호
Information Security Matters: 기밀정보 유지 Keeping Secrets (Steven J. Ross)●●  

• 개인정보(PII-Personally Identifiable Information)와는 별도로 기밀정보 (Secret Information) 보호를 다룬 칼럼이다.
• 기밀정보는 그 정보의 중요성 정도와 정보누출 여파에 따라 개인정보보다 더 조심스럽게 다루어져야 한다. 예를 들면 경영진 카톡 기록이라든지, 공시(公示) 되지 않은 재무보고서, 제품/약품 제조방법 같은 민감한 정보는 정보누출 여파에 따라 그에 따른 정보보안전략을 짜는 것이 좋다. 
• 필자가 이야기한 것과는 별도로 내 주관적인 관점에서 기밀정보보안은 세가지인 듯 하다. 1) 정보 접근 관리 (Access Management), 2) 보안 교육 (Sescurity Awareness), 3) 해킹 대응 프로그램 (Cybersecurity Incident Response) 이다.
  • 정보 접근 관리는 우선 정보 접근 허가전 정보 접근 요청자의 신분조회(Background check) 및 승인절차(Authorization)을 철저히 하고 정보 접근 허가후에는 정보 접근 기록을 모니터링해야한다. 정보접근기록이 조작되지 않도록 시스템만이 정보접근기록을 관리하도록 하는 것이 좋겠다 (system account with disabled interactive access).
  • 기밀정보를 관리하는 사람들을 대상으로 특별보안교육을 정기적으로 실시하여 정보유출이 개인당사자 및 회사에 어떤 영향을 미치는 명확히 인지시켜야 한다. 또한 보안절차에 대한 상세한 교육이 이루어져야 함은 물론이다.
  • 외부자 침략 (Hacking, Intrusion)시 대응 매뉴얼을 준비하고 대응 전략에 따른 보안 기술을 익혀야 한다. 보안전문가을 채용하여 해킹 사고시 신속한 대처가 이루어질 수 있도록 해야 한다.
• 기밀정보의 백업 (Backup)도 보안전략에 포함시켜야 한다는 기고자의 말에 동의한다. 그동안 백업 보안은 정보보안 분야에서 큰 관심을 받지 못했지만 랜섬웨어(Ransomware) 출현 후 백업 데이터가 정보보안의 중요한 요소로 자리잡기 시작했다.
• Steven의 기고문이 항상 그렇지만 구체적인 이야기보다는 큰 맥략에서 기밀정보보안을 다루었다. 다음편에는 정보보안 종사자들이 기밀정보보안을 주의해야할 점에 대해 이야기한다고 하니 기대를 가져봐야겠다.

 

의료연구 자원봉사 참여자의 개인정보보호에 대한 고찰
IS Audit in Practice: Relinquishing Privacy to Research (Cindy Baxter)◐  

• 기고자의 의료연구 자원봉사 참여경험을 바탕으로 정보시스템 감사인(IS Auditors)을 주의해야할 사항들에 대해 이야기하고 있다. 
• 글을 읽으면서 참 이 분은 글을 어렵게 쓰시는구나 하는 생각이 들었다. 현학적인 표현은 없었지만 문장 구성에 있어서 읽고 바로 이해할 수 있는 구조는 아니었다.
• 기본적인 주의사항은 감사인이 감사 준비전 감사 대상 조직의 정책 및 지침 (Policies & Standards)를 숙지하고 각 부서가 그러한 정책을 어떻게 수행하는지에 대해 잘 이해해야 한다. 이러한 이해를 바탕으로 통제활동을 파악하고 이에 대한 감사계획을 수립해야 한다. 기본적인 감사 테스트는 감사 가이드라인에 따라 수행되어야 한다. 최종 감사 보고서를 마무리 하기 전 피감인과 충분한 협의를 통해 감사결과를 확인하고 합의를 도출해야 한다. 어찌보면 감사에 있어서 가장 기본적인 사항을 이야기하고 있다. 

 

판도라 상자와 슈뢰딩거의 고양이
The Bleeding Edge: The Boxes of Pandora and Schrodinger (Dustin Brewer)◐

• 사이버보안, IT 감사, 리스크 종사자들이 퀸텀 컴퓨팅(Quantum Computing)에 관심을 가져야한다는 이야기다. 참고로 슈뢰딩거의 고양이는 밀페된 상자 속에 독극물과 함께 있는 고양이의 생존여부를 이용하여 양자역학 원리를 설명한 실험을 말한다.

 

개인정보보호 솔루션 혁신
Innovation Governance: Privacy Innovations (Brian Kelly)●◐

• 만일 민감한 개인정보를 다루는 응용프로그램(Application)이나 데이터베이스(Database) 시스템을 구축해야 한다면 개인정보보호 솔루션이 탑재된 시스템을 구축해야한다고 주장하는 글이다. 개인정보보호 솔루션의 구성요소로서 1) 저장데이터 암호화 (Encryption data at rest), 2)이동데이터 암호화 (Encryption data in flight), 3) 권한 있는 사용사 보호 (Privileged access user protection), 4) 정보접근기록 추적조사 (Audting every relevant aciton : audit trail)이다.
• 만일 기존의 응용프로그램이나 데이터베이스가 이러한 구성요소를 제공하지 못한다면 개인정보 누출에 따른 리스크를 완화시켜줄 수 있는 대안적인 통제활동을 수립해야 한다. 그것이 사람의 손길이 많이 가는 비효율적인 통제 활동이라도 말이다.

 

개인정보보호 프레임워크 채택에 있어 고려할 사항
Feature: A Guide to Selecting and Adopting a Privacy Framework (Minaz Khan)●●●

• 각 기업들이 개인정보보호 프레임워크를 채택하는 과정에 있어서 어떻게 기업환경에 최적화된 프레임워크를 선택하는지에 대한 방법론을 보여주는 글이다.
• 우선 현재 기업이 가지는 프레임워크가 어떤 것인지 파악하고 개인정보보호에 관련된 새로운 프레임워크 도입이 필요한지 결정해야 한다. 예를 들면 이미 기업이 사이버보안 프레임워크를 갖추고 있다고 많은 리스크와 통제활동이 개인정보보호에 이미 도움을 줄 수 있을 수도 있다. 이 경우 기존에 있는 통제활동 활용을 극대화시키고 기존 프레임워크가 관리하지 못하는 부분에 한해서 개인정보보호 프레임워크 부분적 도입을 생각해볼 수 있다. 참고로 현재 이용되고 있는 개인정보보호 프레임워크와 사이버보안 프레임워크을 아래 나열해보았다.
  • 개인정보보호 프레임워크 (Privacy Framework)
    • US NIST Privacy Framework (2020)
    • ISO 27701 Privacy Information Management (2019)
    • ISO 29100 Information Technology - Security techniques - Privacy Framework (2011)
  • 사이버보안 프레임워크 (Cybersecurity Framework)
    • NIST Cybersecurity Framework (CSF)
    • NIST Special Publication (SP) 800-53
    • ISO 27001/27002
• 개인정보보호 프레임워크 채택시, 이 프레임워크에 참여할 이해관계자들, 프레임워크 이익과 비용, 현재 운용중인 비즈니스 프로세스에 대한 영향, 현재 기업이 지켜야할 규제와 법률 등을 세심히 고려하여 평가한 후 채택의사결정을 내리는 것이 좋다. 또한 프레임워크 채택후 프레임워크에서 제시한 리스크 및 통제활동을 현재 기업운영환경과 비교하여 관련성이 있는 프로세스에 적절히 적용하도록 하고 (map framework and regulation) 필요하다면 현재 환경에 맞춰서 고쳐쓰는 것(tailer to enterprise)도 좋은 방법 중 하나이다. 문서화와 이해관계자들과 항상 대화하고 적절한 프로젝트 방법론을 이용하는 것도 성공적인 프레임워크 실행 및 적용에 있어서 필수요건이다.
• 개인정보보호 프레임워크 채택 및 적용에 대해 구체적인 방법론을 제시한 좋은 글이다. 개인정보보호 정책을 계획하고 막 실행하려는 실무자들이 이 글을 읽으면 방향점이 잘 잡힐 것이라 생각된다.

 

개인정보 및 데이터 보호 전략
What is Your Privacy and Data Protection Strategy? (Corlane Barclay)●●

• 기업 전략적 관점에서 개인정보 및 데이터 보호 전략을 어떻게 수립할 것인가에 대한 글이다. 개인정보보호 전략수립에 필요한 요소들을 나열하고 이에 따라 고려해야할 사항을 제시하고 있다. 예를 들면; 
  • 기업 개인정보보호 사안을 효과적으로 관리할 수 있는 프레임워크 수립
  • 기업이 성취하고자 하는 목적과 일관된 방향성
  • 개인정보보호 전략이 어떤 범위에내에서 적용될 것인가에 대한 고민
  • 전략적 목표를 성취하기 위한 계획 및 기대효과 설정
  • 목표성취를 위한 특정 업무 또는 프로세스 실행 및 교육
  • 지속적인 모니터링
• 결과적으로 기업환경에 최적화된 개인정보보호 전략을 어떻게 수립하고 효과적으로 실행할 것인가에 대한 원론적인 기고문이다.

 

인터넷으로 연결된 환경내 정보검열과 개인정보보호 표준이 다양화되는 현상에 대하여
Varying Standards of Censorship and Privacy in an Interconnected World (William Emmanuel Yu)●◐

• techno-nationalism (기술 자국주의)나 mercantilism (상업주의)와 같은 인터넷 시대 새롭게 떠오르는 단어와 그 쓰임에 관해 배웠던 글이었다. 미국의 깨끗한 네트워크 프로그램(Clean Network Program), 미국 자유법안 (USA FREEDOM Act)과 중국의 국가정보법안( 2017 Chinese National Intelligence Law)을 관찰하면서 검열(censorship)과 개인정보보호(privacy)라는 서로 대척점에 있는 이슈를 다루었다. 각 나라마다 검열과 개인정보보호에 대한 규제와 범위가 다를 수 있으므로 글로벌화된 인터넷 공룡기업들 (페이스북, 트위터, 유튜브)이 고려해야할 사항에 대해 아래와 같이 이야기하고 있다.
  • 적절한 감사기록 관리
  • 규제와 법률준수를 뒷받침해줄 수 있는 시스템 환경
  • 정보생산자와 소비자들을 상대하는 근로자들에 대한 관련 규제/법률 교육
  • 지속적인 교육과 훈련
  • 규제 및 법률 변화 숙지 및 적용
• 클라우드 사업자나 인터넷 커뮤니티 플랫폼을 운용하는 회사들에게 유용한 정보라 생각된다. 다만 중국과 미국간 정보보안전쟁에서 애매한 위치에 있는 제3국의 인터넷플랫폼 회사들의 개인정보보호 전략에 대해 좀더 구체적으로 언급해주었으면 했는데 글쎄 정치적인 이유에서인지 몰라도 잘 피해간 듯 하다.

 

개인정보보호 균형 Need Signal: Information Privacy Equipoise (Patrick Offor)●●

• 오랜만에 학술논문 비슷한 글을 읽어본다. 이 기고문은 개인정보보호 평형 (IPE: Information Privacy Equipoise) 모델을 바탕으로 전자거래 참여자들의 개인정보보호 성향을 통계적으로 분석한 글이다. 우선 equipoise는 균형, 평형이라는 뜻으로 개인정보보호 평형모델은 전자거래 참여자들의 개인정보보호에 대한 걱정/염려와 전자거래 욕구가 교차되는 접점이다. 다시말하면 전자거래 참여자가 개인정보 침해에 대한 걱정이 있지만 그럼에도 불구하고 전자거래를 하게되는 상황 또는 하고자하는 욕구를 숫자로 측정한 모델이다. 경제학에서 수요와 공급선이 만나는 접점에서 가격이 결정되듯이 개인정보보호 걱정/염려와 전자거래 욕구가 만나는 접점에서 평형점(IPE)이 결정된다.
• IPE 모델에서 3개 그룹에 대한 설명이 나온다. 1) 모든 것을 전자거래로 해결하는 개인정보보호 무관심 그룹 (Unconcerned), 2) 개인정보보호에 중도적 입장으로 필요할때 전자거래를 하는 실용적 그룹 (Pramatist), 3) 최소한의 전자거래만 하고 개인정보보호에 우려가 많은 보수적 그룹 (Fundamentalist)이다.
• 통계분석을 이용하다 보니 변수설정에 대한 설명이 나온다. 전자거래자의 의사결정과 의도, 개인정보보호에 대한 태도, 개인정보 공개에 대한 입장 등 개인정보보호 평형점(IPE)을 결정하기 위한 변수들을 고려하고 있다.
• 한마디로 소비자 행동분석으로 개인정보보호 평형점(IPE)를 찾기 위한 보고서라 할 수 있다. 조금은 이해하기 어려운 개념이지만 내가 하는 실무와는 약간 동떨어져서 그다지 큰 재미로 와닿지는 않았다. 하지만 전자상거래 또는 전자거래에 관한 학위논문을 준비하시는 분이라면 관심을 가질만한 글일 것같다. 그래서 시간이 되면 원문읽기 추천 마크를 달았다.

 

기업 내 제로 트러스트 아키텍쳐 구현: Building a Zero Trust Architecture to Support an Enterprise (Katie Teitler)●●◐

• Cimpress는 개인이나 기업을 상대로 맞춤형 디자인 또는 제품 서비스를 제공하는 회사다. 기고자는 Cimpress 정보보안책임자 (CSO: Chief Security Officer)와의 인터뷰를 통해 Cimpress의 제로 트러스트 아키텍처 구축사례에 대해 기술하고 있다.
• 제로 트러스트 아키텍쳐 구축에 필요한 구성요소를 살펴보면,
  • 기본적으로 그 어떤 액세스도 신뢰(trust)하지않고 항상 확인(verify)하는 프로세스 구축
  • 보안바리케이드에 대한 의존을 최소화시키고
  • 최소한 접근권한 관리
  • 마이크로 세그멘테이션 (microsegmentation)
  • 접근권한에 대한 지속적인 확인이라고 볼 수 있다.
  • 물론 이를 위해서는 사용하는 소프트웨어를 기반으로 네트워크 정의, 머신러닝, 리스크 또는 위협 감별 능력 (identify) 향상, 변화에 적응할 수 있는 통제능력 등이 필요하다.
• Cimpress가 제로트러스트 아키텍쳐를 구현하는 여러가지 어려움이 있었다. 지속적인 회사합병 인수로 인해 다양한 IT 환경과 문화가 존재했고 보안에 대한 조직구성원의 이해도 역시 각 조직마다 차이가 있었다.
• 따라서 보안팀은 이러한 어려움을 해결하기 위해 조직내 네트워크에 연결된 IT기기가 보안규정에 맞게 사용되고 있는지 조사하고 MDM(Mobile Device Management)와 같은 기존의 모니터링 툴을 이용하여 잠재적보안이슈를 감별하기 시작했다.  또한 회사가 현재 추진중은 클라우드 기반 플랫폼 이전을 바탕으로 기존의 온프레미스 (on-premise)가 재빨리 클라우드로 전환할 수 있도록 도와주고 이에 따른 제로 트러스트 모델 수립에 집중했다고 한다. 물론 이러한 모델 수립에는 다중 인증 서비스 (multi factor authentication - MFA)와 제로 트러스트 기반 인증 툴을 설치하고 직원들을 교육하는 것이 포함되었다.
• 이러한 선제적인 노력으로 Cimpress는 코로나 바이러스 팬데믹에서 원격근무 전환을 쉽게 이끌어낼 수 있었으며 이에 따란 부작용도 최소화시킬 수 있었다고 이야기한다. 
• 개인적으로 상당히 재밌게 읽었다. 물론 Cimpress 사업모델이나 IT 규모가 다른 대기업과  달리 보다 유연했기때문에 이러한 제로 트러스트 아키텍쳐 구현이 가능했다고 본지만 중견급 기업으로 어느 정도 본보기가 될 수 있는 사례연구인 것 같다.

 

패스워드 관리의 미학: The Gentle Art of Password Management (David Trepp, Joshua Schmidt)●●◐

• 해커들에게 있어서 조직의 철통받은 보안망을 뚫을 수 있는 가장 쉬운 방법은 바로 사용자의 아이디와 패스워드를 훔치는 것이다. 사용하는 사람에 따라서 패스워드를 관리하는 방법은 다를 것이다. 일반 이용자들은 외우기 쉽고 입력하기 간단한 것을 좋아할 것이고, 헬프데스크 사람들은 패스워드 상담 전화를 적게 만드는 패스워드를 좋아할 것이요, 보안관계자들은 해커들이 쉽게 예측할 수 없고 뚫을 수 없는 패스워드를 좋아하기 때문이다. 
• 뚫기 어려운 패스워드를 만드는 방법은 패스워드 입력에 필요한 문자, 숫자, 특수문자 조합을 늘리거나, 패스워드 관리툴을 이용하거나, 다중 인증 서비스(MFA)를 이용하는 것이다. 하지만 이러한 패스워드는 암호해독(Cryptanalysis)나 전수공격 (brute-force attack)에 뚫릴 수 있다. 물론 대칭암호화기법 (Symmetric Encryptoin)이나 해싱(hashing), 솔트(salt) 등 해킹을 더욱더 어렵게 하는 방법이 있지만 그렇다고 해서 패스워드가 절대적으로 보호되진 않는다.
• 패스워드를 훔치는 것은 점점 어려운 일이 되어가지만 해커에는 보안망을 뚫기 위해서 단한번의 성공이 필요할 뿐이다. 오래된 버전의 윈도우 (e.g., Windows 7)을 가지고 패치를 시키지 않는다면 중간자 공격 (Man in the middle attack)으로 인해 패스워드가 유출될 수도 있다. 또한 계정잠금을 피하기 위한 패스워드 스프레이 공격 (Password spraying), 패스워드 해독 전달 및 릴레이 (Password Hashes Passing or Relaying), 사용자를 직접 접촉하여 패스워드를 알아내는 사회공학기법 또는 온라인 사기(social engineering)나 피싱 (Phishing), 그 밖도 다중 인중 서비스를 뚫는 방법은 무궁무진하다.
• 기고자는 사용자그룹에 따라서 실용적인 패스워드 리스크 관리 전략을 제시한다. 사용자 입장에서는 예측하기 어려운 패스워드 조합을 이용하고 사용자 보안 교육을 통해 패스워드 관리방법을 숙지하는 것이다. 시스템 관리자와 보안담당자는 패스워드 관련 문제해결 프로토콜과 디폴트 서비스 사용을 최소화하고 화이트리스팅을 통한 관리자 접근권한 통제를 강화해야 한다. 사용자들이 보안성이 약한 패스워드를 이용할 경우를 대비해 패스워드 블랙리스트를 만들고 관리자 계정에 대한 모니터링을 강화하여 해킹이 발생할 경우 재빨리 인지할 수 있도록 대비해야 한다.
• 앞으로 패스워드 관리기술이 어떻게 변할지는 모른다. 해킹기술은 정교화/고도화될수록 이를 막기위한 기술도 비례적으로 발전할 것이다. 미래에는 아마도 특별한 장치가 우리 몸에 연결되어 따로 말하거나 입력할 필요없이 우리가 생각하는 뇌파만으로 패스워드를 만들어내는 시대가 올지도 모른다. 어떻게 기계가 인간을 지배하는 무서운 세상일지도 모르겠지만 말이다.
• 여튼 패스워드 관리에 있어서 제일 중요한 것은 조직 구성원들이 패스워드 관리와 이에 따른 리스크를 철저히 인지하고 보안정책을 준수하는 것이다. 이를 위해서는 보안 교육프로그램 및 문화 형성에 경여진이 아낌없는 투자를 해야할 것이다.
• 패스워드 해킹과 관리에 대한 복잡한 용어를 잘 설명해주어서 생각보다 재미있게 읽었다. 보안팀과 패스워드 통제에 대해 자주 이야기하는데 피상적으로 들었던 개념을 잘 이해할 수 있었던 글이었다.

 

다크웹과 보안행동의 역할: The Dark Web and the Role of Secure Human Behaviors (Babur Kohy, Warren D. Holston, Ibrahim Waziri Jr.)●●◐

• 다크웹의 기초적인 개념과 네 개의 분산된 다크웹 게이트웨이인 ZeroNet, FreeNet, Tor, I2P를 다룬 글이다. 다크웹은 분산 네트워크와 피어투피어 (Peer-to-peer) 암호화 연결로 인해 사용자의 프라이버시를 극대화시켜주지만 이를 통제관리하는데는 어려움이 따른다. 결국 사용자들의 자발적인 선의의 사용이 요구되는 셈이다. 다크웹에 대한 거버넌스와 윤리문제에 대한 깊은 고찰과 연구가 필요하다는 결론을 제시한다.
• 다크웹에 대한 기초적 사실을 알기쉽게 설명해주어서 재밌게 읽었다. 특히 게이트웨이가 어떻게 개인정보보호를 극대화시켜주는 것에 대한 설명이 흥미로웠다.