LAN 보안을 위한 ISMS 기반 위험 평가 및 대응 방안

초록

본 논문은 LAN 환경에 ISMS(Information Security Management System)를 적용하여 자산, 위협·취약점을 식별하고 위험을 정량·정성적으로 평가한 뒤, 위험 감소를 위한 구체적 통제와 절차를 제시한다. 이를 통해 조직 내 LAN의 기밀성·무결성·가용성을 확보하고 지속 가능한 보안 관리 체계를 구축하는 방법을 제안한다.

상세 분석

본 연구는 먼저 LAN을 구성하는 주요 자산을 하드웨어(스위치, 라우터, 서버, 워크스테이션), 소프트웨어(운영체제, 네트워크 서비스, 애플리케이션), 데이터(전송 중인 민감 정보, 로그 파일) 그리고 인적 요소(관리자, 사용자)로 구분한다. 각 자산에 대해 CIA(기밀성, 무결성, 가용성) 관점에서 위협을 도출하고, 물리적 침입, 악성 코드, 내부자 오용, 서비스 거부(DoS) 등 전형적인 네트워크 위협을 매핑한다.

취약점 분석 단계에서는 OS 및 펌웨어의 패치 미적용, 기본 비밀번호 사용, 포트 불필요 개방, VLAN 설정 오류, 로그 관리 부재 등을 식별한다. 위험 평가는 ISO/IEC 27005의 위험 평가 절차를 차용해 자산 가치, 위협 발생 가능성, 취약점 심각도를 정량화하고, 위험 매트릭스를 통해 고위험, 중위험, 저위험으로 구분한다. 고위험 항목에는 ‘스위치 관리 인터페이스 무단 접근’, ‘서버 OS 취약점 악용’, ‘핵심 데이터 무단 전송’ 등이 포함된다.

위험 처리 단계에서는 위험 회피, 전이, 수용, 감소 네 가지 전략을 적용한다. 위험 감소를 위한 구체적 통제로는 1) 물리적 접근 제어 강화(키카드, CCTV), 2) 네트워크 경계 방화벽 및 IDS/IPS 도입, 3) VLAN 및 ACL을 통한 세분화, 4) 정기적인 패치 관리와 취약점 스캐닝, 5) 강력한 인증·암호 정책, 6) 로그 수집·분석 및 보관 정책 수립을 제시한다. 또한, ISMS의 지속적 개선(PDCA) 사이클을 적용해 보안 정책, 절차, 교육, 감사 등을 정기적으로 검토하고 업데이트한다.

특히, 논문은 위험 평가 결과를 기반으로 ‘보안 목표’를 정의하고, 이를 ISMS의 통제 목표(ISO/IEC 27001 Annex A)와 매핑함으로써 조직 차원의 보안 거버넌스를 강화한다. 위험 관리와 ISMS 통합은 단순히 기술적 방어를 넘어, 조직 문화와 관리 프로세스 전반에 보안 의식을 내재화하는 효과를 가진다.