보안 거버넌스 개요
보안 거버넌스는 조직의 정보보호 목표를 달성하기 위한 정책·절차·책임 체계입니다. 정보보안기사에서는 정책 계층, 위험 관리, 사업 연속성 계획이 핵심 출제 영역입니다.
정보보호 정책 계층
- 정책(Policy): 최상위, 경영진이 승인하는 원칙과 방향. “무엇을 해야 한다”
- 표준(Standard): 정책 구현을 위한 구체적 요구사항. 의무적
- 지침(Guideline): 권고 사항. 선택적
- 절차(Procedure): 업무 수행 단계별 세부 방법. 가장 구체적
위험 관리 (Risk Management)
위험 구성 요소
- 자산(Asset): 보호가 필요한 가치 있는 것
- 위협(Threat): 자산에 손해를 줄 수 있는 잠재적 원인
- 취약점(Vulnerability): 위협이 악용할 수 있는 약점
- 위험(Risk): 위협이 취약점을 악용하여 발생할 수 있는 손실 가능성
- 위험 = 자산가치 × 위협 발생 가능성 × 취약점 심각도
위험 처리 방법 4가지
- 위험 수용(Acceptance): 위험을 감수하고 대응 안 함 (잔여 위험 수준이 낮을 때)
- 위험 감소(Reduction/Mitigation): 보안 통제 적용으로 위험 수준 낮춤
- 위험 전가(Transfer): 보험 가입, 아웃소싱으로 위험을 제3자에게 이전
- 위험 회피(Avoidance): 위험 유발 활동 자체를 중단
NIST RMF (Risk Management Framework)
NIST SP 800-37 기반의 위험 관리 절차 6단계:
- 준비(Prepare) → 분류(Categorize) → 선택(Select) → 구현(Implement) → 평가(Assess) → 인가(Authorize) → 모니터링(Monitor)
BCP와 DR
BCP (Business Continuity Planning, 업무 연속성 계획)
- 재해·재난 발생 시 핵심 업무를 지속하기 위한 계획
- BIA(Business Impact Analysis): 업무 중단 시 영향 분석
- 핵심 업무 식별, 복구 우선순위 결정
DR (Disaster Recovery, 재해 복구)
- IT 시스템과 인프라를 복구하는 기술적 계획
- BCP의 IT 부문 해당
핵심 지표
- RTO(Recovery Time Objective): 복구 목표 시간. 시스템이 얼마나 빨리 복구되어야 하는가
- RPO(Recovery Point Objective): 복구 목표 시점. 얼마나 최근 데이터까지 복구해야 하는가
- RTO, RPO가 짧을수록 더 많은 투자 필요
DR 사이트 유형
- 핫 사이트(Hot Site): 실시간 데이터 동기화, 즉시 전환 가능. 비용 최고
- 웜 사이트(Warm Site): 부분적 장비 구비, 수시간 내 복구. 중간 비용
- 콜드 사이트(Cold Site): 공간만 준비, 수일 내 복구. 비용 최저
시험 핵심 포인트
- 정책 계층: 정책 > 표준 > 지침 > 절차 (구체성 증가)
- 위험 처리 4가지: 수용·감소·전가·회피
- RTO: 복구 시간 / RPO: 복구 시점(데이터 손실 허용 범위)
- 핫 사이트: 즉시 전환 / 콜드 사이트: 비용 최저
- BIA: BCP 수립의 첫 단계, 업무 중단 영향 분석
마무리
보안 거버넌스는 개념과 절차를 이해하는 문제가 많습니다. RTO/RPO의 정의와 DR 사이트 유형 비교는 반드시 암기해야 할 핵심 포인트입니다.