[이민재의 CMMC 탐구 (8)] 사이버시큐리티 성숙도 모델 인증 : ‘구성관리’ 도메인

김한경 안보전문기자 입력 : 2021.09.14 09:28 ㅣ 수정 : 2021.09.14 09:28

조직 시스템의 구성 기준선을 설정하고 변경을 추적 및 통제하여 지정된 요건 충족 여부 검증

  • 카카오스토리
  • 네이버밴드
  • 페이스북
  • 트위터
  • 글자크게
  • 글자작게

최근 방산업계와 국책 연구기관들이 북한의 소행으로 보이는 해킹 공격에 연일 뚫리고 있다. 이와 관련, 미국이 방산업체를 대상으로 적용하는 ‘사이버시큐리티 성숙도 모델 인증(CMMC)’에 대한 소개가 우리의 방위산업 보호에 도움이 될 것으로 판단해 이를 소개하는 시리즈를 시작한다. <편집자 주>

 

image
이민재 TQMS 대표 (공학박사)

[뉴스투데이=이민재 TQMS 대표] CMMC의 17개 도메인 중, 이번에 다룰 주제는 ‘구성관리(Configuration Management)’ 도메인이다. 구성관리 활동은 시스템 구성 요소의 기능적 특성이나 물리적 특성을 정의하고 그들 특성의 변경을 관리하며, 변경 과정이나 실현 상황을 기록 및 보고하여 지정된 요건이 충족되었다는 사실을 검증하는 것 또는 그 과정을 의미한다.

 

구성관리 도메인의 1단계에서는 요구하는 프랙티스가 없으며, 2단계에서는 각 시스템 개발 수명주기 동안 조직 시스템의 구성과 인벤토리 기준선을 설정하고 변경을 추적하며 통제하는 것과 관련한 6가지 프랙티스를 다루고 있다.

 

각 시스템 개발 수명주기 동안 조직 시스템(하드웨어, 소프트웨어, 펌웨어 및 문서 포함)의 구성과 인벤토리 기준선을 설정하고 유지하는 것으로 여기에는 시스템의 소프트웨어 및 구성 설정 문서화, 네트워크 내 배치 및 조직에서 요구하는 기타 사양과 같은 사항을 포함한다. 효과적인 사이버보안 프로그램은 시스템과 컴포넌트 구성 및 관리에 달려 있다.

 

필수 기능만 제공하도록 조직 시스템을 구성하는 최소 기능의 원칙을 사용한다. 조직 시스템을 맞춤화하는 것으로 이를 위해 필요하지 않은 응용 프로그램은 제거하고 필요하지 않은 서비스는 비활성화한다. 또한 불필요한 소프트웨어도 비활성화한다. 여기에는 사용하지 않는 포트와 프로토콜도 포함된다. 시스템이 효과적으로 작동하는데 필요한 최소한의 기능만 남겨둔다.

 

사용자가 설치하는 소프트웨어를 통제하고 감시한다. 조직에서 승인한 항목으로 소프트웨어 설치를 제한해야 한다. 간혹 사용자는 위험을 초래하는 불필요한 소프트웨어를 설치하는데, 이 위험은 시스템과 운영 환경 모두에 적용된다. 따라서 사용자가 설치할 수 있는 소프트웨어를 통제해 조직에 대한 위험을 줄일 수 있는 정책과 기술적 통제를 마련해야 한다.

 

조직 시스템에 사용되는 정보기술 제품의 보안 구성 세팅을 설정 및 적용한다. 보안 설정은 맞춤화해 모든 정보시스템의 기본 구성에 포함돼야 한다. 이러한 구성 설정은 조직의 보안 요구사항을 충족해야 하며, 조직은 보안 관련 구성 설정을 문서화하고 테스트를 거쳐 승인된 모든 시스템에 적용해야 한다. 이것은 정보보안이 조직의 구성관리 프로세스의 필수적인 부분임을 보장한다.

 

조직 시스템의 변경 사항을 추적, 검토, 승인 또는 거부하고 기록한다. 컴퓨팅 환경을 변경하면 의도하지 않은 예상치 못한 이슈가 발생할 수 있다. 이러한 이슈들은 시스템의 보안 및 가용성에 영향을 줄 수 있다. 조직은 정기적인 회의를 개최해 변경요청 사항을 검토하고 승인하되, 조직이 변경사항을 적용하기 전에 잠재적 영향에 대해 논의해야 한다. 관련 항목에는 물리적 환경과 그 안에서 호스팅 되는 시스템에 대한 변경사항이 포함된다.

 

변경 사항을 구현하기 전에 변경의 잠재적인 보안 영향을 분석해야 한다. 복잡한 환경을 변경하면 시스템과 환경에 예상치 못한 문제가 발생할 수 있다. 변경이 보안에 미치는 영향에 중점을 둔 분석을 수행해야 한다. 이렇게 하면 변경사항을 구현하기 전에 잠재적인 문제를 발견할 수 있으며, 예상치 못한 문제를 완화하는데 도움이 될 수 있다.

 

구성관리 3단계에서는 조직 시스템의 변경과 관련된 물리적이고 논리적인 접근 제한 및 인가되지 않은 소프트웨어의 사용을 방지하는 3가지 내용의 프랙티스를 다루고 있다.

 

조직 시스템의 변경과 관련된 물리적이고 논리적인 접근 제한을 정의하고 문서화하며 승인 및 시행한다. 조직의 하드웨어, 소프트웨어, 소프트웨어 라이브러리 또는 펌웨어 컴포넌트에 접근하고 물리적이며 논리적인 변경을 수행할 수 있는 권한을 부여할 자격을 갖춘 개인을 정의, 식별 및 문서화한다.

 

불필요한 프로그램, 기능, 포트, 프로토콜 및 서비스의 사용을 제한하고 비활성화하거나 금지한다. 조직은 조직의 임무를 달성하는데 필요한 최소한의 프로그램, 서비스, 포트 및 프로토콜만 사용해야 한다. 예외별 거부(블랙리스트) 정책을 적용해 인가되지 않은 소프트웨어의 사용을 방지 또는 금지하거나, 예외별 허용(화이트리스트) 정책을 적용해 인가된 소프트웨어 실행만 허용한다. 

 

조직은 블랙리스트 또는 화이트리스트 정책을 결정하고 실행이 허용된 소프트웨어를 관리하도록 시스템을 구성해야 한다. 블랙리스트 정책을 사용하면 인가되지 않은 소프트웨어 목록에 있는 경우를 제외하고 모든 소프트웨어를 실행할 수 있다. 화이트리스트 정책은 인가된 소프트웨어 목록에 있는 경우를 제외하고는 소프트웨어 실행을 허용하지 않아 블랙리스트 정책보다 더 강력하다.

 

구성관리 4단계에서는 조직에서 식별한 시스템에 대한 응용 프로그램 화이트리스트 및 응용 프로그램 조회 프로세스를 사용한다는 하나의 프랙티스를 다루고 있다.

 

조직에는 통제필요정보 처리에 사용되는 시스템을 확인하고 통제필요정보 처리에 필요한 응용 프로그램을 식별하는 절차가 있다. 이 절차에는 새로운 응용 프로그램이 악성이 아닌지 확인하기 위해 거쳐야 하는 단계가 포함되며, 응용 프로그램이 화이트리스트에 추가되기 전에 응용 프로그램에 대한 비즈니스 요구사항이 있다. 

 

조직은 응용 프로그램을 실행하기 전에 응용 프로그램 사용이 승인됐는지 확인하도록 시스템(예: 데스크톱 컴퓨터, 노트북 컴퓨터, 태블릿)을 구성한다. 인가되지 않은 모든 응용 프로그램은 기본적으로 조직의 시스템에서 실행되지 않도록 차단된다.

 

구성관리 5단계 또한 조직에서 정의한 보안상 중요하거나 필수적인 소프트웨어(예: 신뢰의 근원, 공식 검증 또는 암호화 서명)의 무결성과 정확성을 검증한다는 하나의 프랙티스를 다루고 있다.

 

중요한 보안 기능을 수행하거나 고부가가치의 통제필요정보 데이터를 처리하는 시스템에는 신뢰 플랫폼 모듈(TPM) 버전 1.2 이상의 칩이 포함될 수 있다. 조직은 보안 부팅 프로세스(즉, OS 로더의 서명과 모든 커널 개체가 예상값과 일치하는지 확인)를 사용하도록 조직에서 식별한 시스템을 구성하고, 주요 응용 프로그램을 실행하기 전에 인증한다. 이러한 절차는 보안에 중요한 소프트웨어의 무결성을 보장한다.

 

지금까지 CMMC의 17개 도메인 중, ‘구성관리’ 도메인에 대해 살펴봤다. 구성관리 도메인에서는 ① 구성 기준선 설정 및 ② 구성 및 변경관리 수행의 2가지 역량이 요구된다. 다음 9회에서는 통제필요정보에 대한 접근 권한을 관리하는 ‘신원확인 및 인증’ 도메인을 살펴본다.

 

이민재 대표 프로필 ▶ 미국 로체스터공과대학(Rochester Institute of Technology)에서 응용수학을 전공했고, 미국 뉴욕대(New York University)에서 전산감리학 석사학위를 받았으며, 숭실대에서 CMMI(Capability Maturity Model Integration)에 대한 연구로 소프트웨어공학 박사학위를 취득했다. CMMI 관련 다양한 저서와 논문을 집필했고, 국내 70여 기업에 대한 프로세스 개선 컨설팅 및 CMMI 인증심사 경험을 바탕으로 국가 사이버안보 역량 강화를 위한 사이버시큐리티 프로세스 연구에 매진 중이다. 지난 2015년에는 제9회 ‘아시아·태평양 시스템 엔지니어링 콘퍼런스(APCOSE)’에서 사이버시큐리티 성숙도 모델 설계 방안을 제시하는 논문인 ‘A Study on Designing Cyber Security Maturity Model’을 발표했다.

 

BEST 뉴스

댓글 (0)

- 띄어 쓰기를 포함하여 250자 이내로 써주세요.

- 건전한 토론문화를 위해, 타인에게 불쾌감을 주는 욕설/비방/허위/명예훼손/도배 등의 댓글은 표시가 제한됩니다.

0 /250