독서 | 정보 보안 개론 - 양대일

책을 선택한 계기

서비스 개발을 목표로 열심히 코딩도 배우고 개발도 하고 있다. 항상 발생 가능한 문제들에 대해서 해결책, 대책을 찾아 놓아야 마음이 놓이는 성향인데 서비스 개발에서 항상 발목을 잡고 주저하게 만드는 부분이 보안 이슈였다. 어디까지 조치를 취해야 안전하고 어떤 조치를 취해야 하는지 몰랐기 때문이다. 백엔드 공부를 하면 자연스럽게 알 수 있을 거라 생각했지만 대답을 찾지 못해 결국 보안 서적을 찾아보기 시작했다. 컴퓨터 공학 출신이 아니라 어떤 분야의 어떤 것을 공부해야 하는지 감을 잡지 못해 관련 분야 개론 서적을 읽어보게 되었다. 

정보 보안 개론 책

책을 통해 알게된 것

시스템 보안

시스템이라고 불릴 수 있는 운영체제, 응용 프로그램, 네트워크 장비, 데이터베이스 등의 보안을 다룰 때는 아래의 6가지 사항들을 잘 갖추고 있는지를 살펴보아야 한다.

1. 계정과 패스워드 관리
2. 세션 관리 (Session Control)
3. 접근 제어 (Access Control)
4. 권한 관리
5. 로그 관리
6. 취약점 관리

암호화 

평문을 특정 규칙을 이용해서 다른 문자열로 변환하는 것을 암호화(Encription) 한다고 한다. 암호화하여 다른 문자열로 변환하는 방식이 있으므로 반대로 원래의 문자열로 재변환하는 방식도 존재한다고 유추할 수 있다. 암호화된 정보를 원래의 정보로 재변환하는 과정을 복호화(Decryption) 과정이라고 한다. 

암호와 복호 단어들을 살펴보자면 암호에서 암은 어두울 암자를 사용하여 이름을 어둡게 한다란 의미를 갖고 있다. 반대로 복호의 복은 회복, 복구의 복자를 사용한다. 따라서 복호는 이름을 되돌린다 또는 복구한다라는 의미를 갖고 있다.

정보를 암호화 하는 과정은 과거나 현재나 개념은 똑같다. 단지 점점 더 고도화되고 다양한 방법이 있다는 점만 다르고 새롭게 느껴진 게 한 것이다. 암호화할 때 필수적인 요소가 해시인데 개발 공부할 때는 이용방법에 주안점을 두어서 약간 어렵고 고급 기술만 같았는데 책을 읽어 보니 일정한 규칙에 따라 정보를 다른 문자열로 변환하는 것 이것이 전부였다. 이제 개념을 제대로 이해했으니 사용법을 잘 익혀야겠다.

보안 프레임워크 ISO 27001

체계적이고 일률적인 보안 수준을 만들기 위해 보안 정도를 평가하는 항목이 존재한다. ISO 27001 평가 항목들이 그것이다. 자신이 운영하는 서비스나 만들고 있는 프로그램이 제대로 보안 기준을 따르고 있는지 살펴보고 싶을 때 참고할 수 있는 기준이다.

* 이는 미국에서 만들고 국제 표준화되어 있는 것인데 대한민국에서 만들어 놓은 가이드라인도 있다고 알고 있다. 국내 기준을 먼저 확인해 보길 바란다.

보안정책

보안정책을 정할 때 단계를 정해서 가이드라인을 만든 다는 것을 알게 되었다. 마치 헌법과 하부 법령이 존재하는 것과 같다. 생각해 보지 않았던 것을 알게 되니 규칙을 정할 때도 나름의 짜임새를 갖출 수 있을 것 같다.

영미권의 보안정책 (책 내용 발췌)

• Security Policy

보안 정책 중 가장 상위의 문서로 보호하고자 하는 자산, 정보의 소유자와 그에 대한 역할과 책임, 관리되는 정보의 분류와 기준, 관리에 필요한 기보적인 통제 내용이 담긴다. 새로운 보안 문서를 작성하게 된다면 이 문서를 기초로 해야 한다. 때문에 내용이 간단명료해야 하고 분량이 많지 않기를 권장한다.

• Standards

소프트웨어나 하드웨어 사용 등의 일반 운영에서 지켜야 할 보안 사항을 기록하는 문서로 일반적인 절차 표준을 담고 있다.

• Baselines

조직에서 기 켜야 할 가장 기본적인 보안 수준을 기록하는 문서이다.

• Guidelines

부합하는 Standards가 없을 때 참고하는 문서이다. 상황에 대한 충고와 방향등을 제시한다.

• Procedures

가장 하위 문서로 각각의 절차에 대한 세부 내용을 담고 있다. 일반적인 매뉴얼 수준의 내용이다.

OECD 개인정보 보안 8원칙 (책 내용 발췌)

1. 수집 제한의 원칙 (Collection Limitation Principle)
2. 정보의 정확성의 원칙 (Data Quality Principle)
3. 목적 명시의 원칙( Purpose Specification Principle)
4. 이용 제한의 원칙 (Use Limitation Principle)
5. 안전성 확보의 원칙 (Security Safeguard Principle)
6. 공개의 원칙 (Individual Participation Principle)
7. 책임의 원칙 (Acoountability Principle)

감상평

개론 서적의 매력

zyn은 한국에서 대학생활을 하지 않았고 zyn의 대학은 교양수업이 없이 바로 전공수업을 진행했기 때문에 또 개론 서적이 굉장히 낯설다. 당장 어느 수준까지 깊게 봐야 하는지 감이 안 와서 한 번 개론 책을 선택해 보았다. 솔직히 개론, 각론 같은 말을 들어는 보았지만 무슨 말을 하는지 이해도 못했다. 단지 개론은 뭔가 기초적인 내용을 다뤄서 교양수업에서 사용된다 정도 알고 있었다. 아무튼 쉽게 한 번 훑어볼 수 있을 것 같아서 골랐는데 개론서라는 것에 큰 매력을 느꼈다. 일단 개론서는 한 학문이 어떤 것들을 다루는지 알 수 있고 전문가가 아니라면 딱 이 정도 까지 알면 되겠다 싶은 수준까지 다루고 있었다. 그래서 여러 사람들에게 물어봐야 했고 많은 구글링을 해봐야 했던 것들을 한 권의 책으로 다 해결한 것만 같은 기분이 들었다. 앞으로 어떤 잘 모르는 분야에 대해서 궁금한 점이 있거나 알고 싶다면 개론 책을 읽어볼 생각이다.