위험 분석을 통한 금융기관 정보 보호 수준 평가

Abstract

정보 보호는 시스템의 신뢰성을 확보하고 경쟁력 있는 비즈니스 환경을 조성하기 위해 요구되는 최우선 과제이며, 이를 위해 각 기업에서는 많은 노력을 하고 있다. 기업의 취약한 분야를 파악하고, 지속적으로 관리하여 기업의 정보보호 수준을 향상시키기 위해서는 먼저 현 상태의 정보 보호 수준을 정확히 측정 해야 한다. 본 연구에서는 정보 보호 수준 평가 시 산업 혹은 기업의 비즈니스에 따라 중요시되는 정보보호 지표, 혹은 지표를 나타내는 통제 항목의 중요도 간에 차이가 발생할 수 있음을 고려하였다. 즉, 정보보호 수준을 평가하는데 있어, 지표에 대한 일반적인 가중치를 적용하는 것이 아닌 금융기관에서 이슈가 되는 영역에 더 높은 가중치를 갖는 측정 지표를 도출하고자 한다. 연구 방법은 다음과 같다. 먼저 금융기관 각 각에 대해 자산식별, 위협파악 및 취약성 분석을 통하여 얻은 해당 기관의 취약성 목록을 이용한다. 각 기관의 취약성 목록에서 자산 별 위험 완화를 위해 사용되는 통제 목록을 도출하여 BS7799에서 제시하는 통제 항목들로 표준화 하고, 종합하여 가장 많이 사용되는 통제 항목의 순으로 우선 순위를 파악한다. 각 기관의 통일된 용어로 정리된 통제 항목 결과들을 토대로 금융 산업의 주요 통제 영역들을 설정하고, 가중치를 부여하여 금융 기관에 특화된 정보보호 수준 계량화 지표를 도출 한다. 또한, 실제 금융기관에 대한 정보보호 수준을 BS7799를 기반으로 평가 한 뒤, 가중치 적용 전과후의 차이에 대해 알아본다. 금융기관에서 가장 취약한 부분으로 판단 되어, 통제 대책이 집중되는 영역은 인적 보호(30.5%), 정보 보호 정책(17.8%), 접근 통제(15.2%) 영역이다. 최근 금융기관의 취약성 목록들을 살펴본 결과 이를 완화 시키기 위해 보완 되어야 할 통제 대책들이 위의 3가지 영역에 집중 되어 있다고 볼 수 있다. 즉, 가장 리스크가 큰 부분이 인적 보호(사람 관리)에 관한 영역이며, 두 번째가 정보 보호 정책/절차와 같은 지침의 수립 및 공유 부분의 취약, 세 번째가 접근 통제 영역으로 연구 결과 분석 되었다.