개요 — 목표와 접근법

기업의 정보보호 전략은 단순 규칙 모음이 아니라 비즈니스 연속성, 법규준수, 평판보호를 위한 경영전략의 일부입니다.
핵심 목표는 다음과 같습니다.

핵심 자산(데이터·시스템·서비스) 보호
위협·취약점에 따른 리스크 수용·감축(리스크 기반 우선순위)
법규·계약·산업표준(예: 개인정보법, ISO 27001 등) 준수
사고 발생 시 신속 복구 및 피해 최소화

접근법: 거버넌스 → 평가(가시화) → 정책(원칙) → 통제(기술·절차) → 운영(교육·모니터링) → 검증(감사·개선)

1. 거버넌스(경영층 관여) 및 조직체계

1.1 최고 의사결정자 역할

CISO(또는 CSO): 정보보호 전략 수립·예산 요청·우선순위 조정
이사회·경영진: 리스크 허용치(risk appetite) 승인, 보안 정책 최종 승인
DPO(개인정보보호책임자): 개인정보 관련 규제 준수 주관

1.2 조직·책임(권한·책임 매트릭스)

RACI 표 작성(예: 정책 승인: R=CISO, A=CEO, C=법무/IT, I=전사)
각 사업부에 보안 담당(보안 챔피언) 지정

2. 초기진단: 자산·위협·리스크 파악

2.1 자산 식별 및 분류

IT 자산(서버, DB, 애플리케이션), 비-IT(계약서, 설계도), 인적자원
자산별 소유자 지정, 중요도(기밀·내부·공개) 및 비즈니스 영향도(BIA) 평가

2.2 데이터 분류 기준

예: 기밀(영업비밀/개인정보), 내부용, 공개
분류에 따라 저장·전송·접근 통제 수준 결정

2.3 리스크 평가(정량/정성)

위협 식별 → 취약점 매핑 → 영향도·발생확률 산정 → 우선순위
방법론: NIST SP800-30, ISO27005 등(내부 프로세스에 맞게 가감)

2.4 갭 분석

현재 상태 vs 필요 통제 비교 → 우선순위 작업 목록 도출

3. 정책 프레임워크 설계 (Policy Hierarchy)

정책은 상위정책 → 표준 → 절차 → 가이드로 계층화합니다.

3.1 정책 계층 예시

정보보호 기본정책(최상위) — 경영진 승인, 원칙·목표·범위
영역별 정책 — 접근통제, 암호화, 네트워크 보안, 개인정보보호, 인시던트 대응 등
표준(예: 암호화 표준) — 구체적인 기술 기준(키 길이, TLS 버전 등)
절차/가이드 — 운영 단계별 절차(계정 생성·폐쇄, 패치관리, 침해대응 매뉴얼)

3.2 핵심 정책 목록 (우선순위)

정보보호 기본정책(정보보안 거버넌스)
접근통제 정책(계정·권한·인증)
데이터 분류·취급 정책
암호화 및 키관리 정책
네트워크 보안 정책(방화벽, 분할, 원격접속)
엔드포인트 보안 정책(EDR, 탈취방지)
클라우드 보안 정책(클라우드 책임분담 모델 포함)
인시던트 대응(IR) 및 사고보고 정책
취약점·패치 관리 정책
백업·복구 및 BCP/DR(비즈니스 연속성)
제3자/협력사(공급망) 보안 정책
로그·모니터링·SIEM 정책
소프트웨어 개발 보안(Secure SDLC) 정책
개인정보처리·보호 정책(법적 요구사항 포함)
물리적 보안 정책
교육·인식(보안훈련) 정책

4. 핵심 통제(기술·관리·물리)

4.1 아이덴티티·접근관리(IAM)

최소권한 원칙, 역할기반권한(RBAC) 적용
MFA(다중요소인증) 필수화(원격·관리자 계정)
계정 수명주기(온보딩→권한 변경→오프보딩) 자동화

4.2 네트워크·인프라 보안

네트워크 분리(내부망/관리망/생산망/DMZ)
방화벽·세션필터링, IDS/IPS
원격접속은 VPN 또는 ZTNA(Zero Trust Network Access)

4.3 엔드포인트·애플리케이션 보안

EDR/AV/안티맬웨어, 디바이스 암호화(디스크 암호화)
애플리케이션 취약점 스캔, SCA(소스 라이브러리 취약성) 점검
코드리뷰·정적 분석(SAST)/동적(DAST) 배포 전 통과 기준

4.4 암호화·키관리

데이터 전송(TLS >=1.2/1.3) 및 저장(필요 시 AES-256)
키 수명·교체 정책 및 HSM/키관리 시스템 사용 권장

4.5 로그·모니터링·탐지

중앙 로그 수집(SIEM), 보존기간·검색성 확보
탐지 시나리오(계정 이상행동, 권한 상승, 대량 데이터 전송)
SOAR/자동화로 초기 대응 루틴 구성

4.6 백업·DR·BCP

RTO/RPO 정의 및 검증(주기적 복구 테스트)
백업 암호화 및 오프사이트 보관

4.7 제3자 위험관리

공급업체 보안평가(셀프어세스·현장검증), 계약서상 보안조항 강화
SaaS/클라우드 사용 시 데이터 위치·접근 통제 검토

5. 운영 프로세스: 정책 → 실행으로 연결

5.1 정책 수립 프로세스 (권장)

정책 초안 작성(보안팀)
법무·HR·IT·사업부 의견수렴(협의)
리스크·비용 영향 검토(경영진)
경영진/이사회 승인 → 전사 공지
시행(교육) → 모니터링 → 정기검토(연 1회 이상)

5.2 인시던트 대응(예시 프로세스)

식별 → 분류(심각도) → 격리 → 근본원인 분석 → 복구 → 통보(내부/법정) → 보고서 및 개선
인시던트 티어(예: P0~P3) 정의 및 SLA

5.3 보안 교육·훈련

신입·연 1회 법정 교육, 관리자·개발팀 대상 심화 과정
모의 피싱, 침투테스트 결과 공유 및 개선 활동

6. 측정·검증·지속적 개선

6.1 KPI/지표 예시

패치 적용율(중요취약점 30일 이내 %)
MFA 적용률(전체 계정 대비 %)
보안사고 평균 대응시간(MTTD/MTTR)
취약점 치유율(우선순위별)
감사·컴플라이언스 이슈 수(월/분기)
보안교육 이수율·피싱 클릭율

6.2 내부·외부 감사

정기 내부감사, 연 1회 외부 침투테스트 및 준수 감사(ISO 27001, SOC2 등)
규제·계약 요구사항(예: 개인정보보호법, 산업별 규정) 체크

6.3 개선 사이클

Post-incident RCA → 정책·절차·기술 업데이트
분기별 리스크 재평가 및 자산 우선순위 재정립

7. 실행 로드맵(예시 — 6~12개월 단계)

빠른 도입 우선순위(0~3개월):

정보보호 기본정책 확정·공개(경영진 승인)
자산·데이터 분류 표준 도입
MFA 전사 확장, 관리자계정 보호
중요 시스템에 대한 백업·DR 검증

중기(3~6개월):

IAM 정비(RBAC, 계정 프로세스 자동화)
중앙 로그 수집·기본 SIEM 구축(탐지 규칙 일부 적용)
취약점 스캔·패치관리 프로세스 정립

장기(6~12개월):

보안 모니터링·SOAR 확장, EDR 전면 배포
제3자 보안평가 체계화 및 계약 반영
정기적인 모의 훈련·침투테스트, ISO27001 또는 SOC2 준비

8. 주요 정책(샘플 목차와 일부 문구 예시)

다음은 정보보호 기본정책, 접근통제 정책, 인시던트 대응 요약 샘플입니다. (정책은 회사 상황에 맞게 법무·경영진과 검토 필요)

8.1 정보보호 기본정책(목차)

목적 및 적용범위
정의
원칙(기밀성·무결성·가용성)
조직 및 책임
리스크 관리 원칙
자산관리
규정 준수
교육·훈련
정책 위반 시 제재
개정이력

샘플 문구(원칙):

“본 회사는 정보의 기밀성·무결성·가용성을 보장하고, 사업연속성과 고객신뢰를 확보하기 위해 합리적·적절한 기술적·관리적 보호조치를 구현한다. 모든 임직원은 본 정책을 준수해야 한다.”

8.2 접근통제 정책(핵심)

계정 발급: 계정은 최소한의 권한으로 발급. 신청·승인 로그 보관.
비밀번호 정책: 최소 길이·복잡성, 주기적 변경 권장(단, 패스워드 관리 솔루션 이용 권장)
MFA: 관리자 계정·원격접속·외부 인사 접속 시 필수
세션 관리: 비활성시 자동 로그아웃

샘플 문구(권한 검토):

“모든 권한은 분기별로 소유자에 의해 검토되며, 불필요한 권한은 즉시 회수한다.”

8.3 인시던트 대응 요약

보고 의무: 의심되는 보안사고는 즉시 보안팀(또는 지정된 연락처)에 보고.
초기대응: 탐지 후 1시간 내 초기분류(심각도), 4시간 내 격리 여부 판단(예: 랜섬웨어).
법적 통보: 개인정보 유출 등 법적 의무 발생 시 법무·DPO 협의 후 관할기관에 통지.

9. 실무 체크리스트 (빠르게 시작하는 20개 항목)

경영진 승인된 정보보호 기본정책 수립
CISO 또는 책임자 지정
자산목록 및 소유자 등록
데이터 분류 기준 수립 및 적용 시작
MFA 전사 확대 계획 수립 및 적용(우선 관리자·외부접속)
중앙 로그 수집(SIEM) PoC 시작
EDR 또는 엔드포인트 보호 제품 선정·배포 계획
패치 프로세스(중요 패치 30일 이내 적용) 수립
백업·복구 정책 및 복구 테스트 수행(파일/DB/시스템)
인시던트 대응 계획(IR) 문서화 및 연락망 확보
주요 시스템에 대한 접근권한 정리(RBAC)
개발팀에 Secure SDLC 도입(코드 스캐너 연동)
제3자 리스크평가 템플릿 배포
개인정보처리 등록·관리 현황 점검
보안교육 커리큘럼·일정 수립(모의피싱 포함)
로그 보존 정책(보관 기간·암호화) 수립
내부 감사 일정 및 외부 테스트(침투) 계약
변경관리(CAB) 프로세스 강화
물리보안(출입통제, CCTV 등) 적정성 검토
보안예산 및 투자 우선순위 확정

10. 예산·우선순위 팁

리스크 기반 투자: 가장 큰 비즈니스 영향(데이터 유출, 생산 중단)을 먼저 보호
People > Process > Technology: 기술은 중요하지만 사람과 프로세스가 먼저 갖춰지지 않으면 효과 제한
SaaS/Managed 보안 서비스 활용: 초기 인력·기술 부족 시 MSSP/SIEM/SOCaaS 고려

11. 규제·컴플라이언스 고려사항

개인정보·금융·의료 등 업종별 규제 체크(예: 개인정보보호법, 신용정보법, 전자금융법 등)
고객·파트너 요구사항(SLA·보안조항) 계약 반영
국제표준(ISO 27001, SOC2) 인증은 신뢰·영업 이점 제공

12. 자주 하는 실수와 피해야 할 것

정책만 만들고 실행·모니터링을 안 함
권한 과다화(관리자 권한 남용) 방치
로그는 수집하지만 모니터링·분석 안 함(데이터만 쌓이는 창고)
공급업체 보안 무시(서드파티가 공격벡터인 경우 다수)

13. 첫달(우선 시작) 실행계획 — 30일 액션플랜

경영진과 정보보호 비전과 리스크 허용치 합의(워크숍)
정보보호 기본정책 초안 작성 및 배포(임시 적용)
핵심자산 목록(Top 20) 작성 및 소유자 지정
MFA 및 관리자 계정 강화(긴급)
인시던트 보고 프로세스와 연락처(24/7) 확보
분기내 취약점 스캔 및 패치 적용 스케줄 수립

14. 부록: 간단한 데이터 분류 표(예)

등급	설명	예시	취급/접근
기밀(High)	비즈니스 핵심/법적 민감	고객 개인정보, 영업비밀	암호화, 접근제한, 감사로그
내부(Medium)	영업·운영 정보	내부보고서, 프로젝트 문서	내부망 접근 허용
공개(Low)	공개 가능	보도자료, 제품 브로셔	제한 없음

마무리 — 권장 순서 요약

경영진 합의(리스크 허용치) → 2. 자산·데이터 가시화 → 3. 상위정책 수립(경영진 승인) → 4. 단기(핵심) 통제 적용(MFA, 백업, 패치) → 5. 로그·탐지체계 구축 → 6. 교육·테스트 → 7. 감사·개선 반복

저작자표시 비영리 변경금지 (새창열림)

'[AWS-FRF] > 정보보안' 카테고리의 다른 글

[참고] ISMS vs ISMS-P의 관계 !! (1)	2025.11.10
[정보보호 관리체계] ISMS, ISMS-P, ISO 비교 분석!! (1)	2025.10.28
[Executive-Level Policy Draft] 전사 정보보호 기본정책 초안 !! (0)	2025.10.28
[WEB 3.0] 블록체인·암호자산·분산 프로토콜 기반!! (1)	2025.10.28
[국내 주요 암호화폐 거래소] 업비트(Upbit) vs 빗썸(Bithumb) vs INEX(인엑스) !! (0)	2025.10.28
[CISSP] Certified Information Systems Security Professional 완벽 정리!! (1)	2025.10.26
[ISO/IEC 27001] 정보보호경영시스템 (ISMS, Information Security Management System)!! (2)	2025.10.19
[KISA CSAP] 클라우드서비스 보안인증 체크리스트!! (1)	2025.10.18

[보안 거버넌스] 기업 전사 정보보호 전략과 정책 수립방안 !!