보안 거버넌스의 역할
보안 거버넌스는 정보보안 정책과 목표를 조직의 비즈니스 목표와 연계하는 의사결정 프레임워크입니다. 정보보안기사 시험에서는 CISO 역할, 보안 위원회, 위험 관리 체계, 사이버 보험이 핵심 출제 범위입니다.
CISO(Chief Information Security Officer) 역할
- 전략적 역할: 보안 전략 수립, 경영진 리포팅, 이사회 보안 교육
- 운영적 역할: SOC 감독, 인시던트 대응 총괄, 컴플라이언스 관리
- 국내 의무 지정: 자산총액 5조 이상 또는 이용자 100만 이상 정보통신서비스 제공자는 CISO 지정 의무(정보통신망법)
보안 위험 관리(Risk Management)
- 위험 = 위협 × 취약성 × 자산 가치
- 위험 처리 방법:
- 위험 감소(Reduce/Mitigate): 보안 통제 적용
- 위험 수용(Accept): 비용 대비 낮은 위험
- 위험 회피(Avoid): 위험 원인 활동 중단
- 위험 전가(Transfer): 사이버 보험, 아웃소싱
- 잔여 위험(Residual Risk): 통제 적용 후 남은 위험. 경영진 수용 필요
사이버 보험(Cyber Insurance)
사이버 침해 사고로 인한 손실을 보상하는 보험으로 최근 중요성이 급증했습니다.
- First-Party Coverage: 직접 손실. 복구 비용, 비즈니스 중단 손실, 랜섬 지급 비용
- Third-Party Coverage: 제3자 손실. 고객 데이터 유출 배상, 소송 비용
- 보험 가입 요건: MFA 적용 여부, EDR 솔루션, 정기 백업, 취약점 관리 프로그램
- 보험 적용 제외: 국가 행위자 공격(War Exclusion), 패치 불이행, 고의적 행위
보안 성숙도 모델
- CMMC(Cybersecurity Maturity Model Certification): 미국 국방부 공급업체 보안 인증. 3가지 수준
- C2M2(Cybersecurity Capability Maturity Model): 에너지 섹터 보안 성숙도. 0~3 레벨
- BSIMM(Building Security In Maturity Model): 소프트웨어 보안 성숙도. 실제 기업 데이터 기반 벤치마킹
보안 KPI와 메트릭
- MTTD(Mean Time to Detect): 침해 탐지까지 평균 시간. 낮을수록 좋음
- MTTR(Mean Time to Respond): 탐지 후 대응 완료까지 평균 시간
- 패치 적용률: 중요 패치를 SLA 내 적용한 비율
정보보안기사 기출 핵심 정리
- 위험 처리: 감소·수용·회피·전가 4가지 방법
- 잔여 위험 = 통제 후 남은 위험, 경영진 승인 필요
- 사이버 보험: First-Party(직접 손실) + Third-Party(제3자 손실)
- MTTD = 탐지까지 평균 시간, MTTR = 대응 완료까지 시간
- CISO 국내 의무: 자산 5조 이상 또는 이용자 100만 이상