정보보안 인프라·실무

45. 영향평가에서 암호화·접근통제·로그를 볼 때 개인적으로 체크하는 순서

privacydo 2025. 12. 17. 17:00
반응형

지금 맡고 있는 업무는
서비스·시스템에 대한 개인정보 영향평가와
관련 보안 요구사항 검토다.

예전에 시스템팀에서 보안 담당자로 일하면서
방화벽, WAF, IPS, DLP, NAC, EDR 같은 장비를 운영하고,
계정·권한, 로그 정책을 손봤던 경험이 있어서
지금은 그 경험을 평가 관점에서 다시 활용하고 있는 느낌이다.

그중에서도
암호화, 접근통제, 로그 세 가지는
거의 모든 평가에 등장하는 기본 항목이라
나름대로 순서를 정해두고 들여다보려고 한다.

암호화 – “무엇을, 어디서, 어떻게”까지는 그림이 그려지는지

암호화는 평가표에서도 항목이 많지만,
결국은 세 가지를 확인하려고 한다.

  • 무엇을
    → 주민등록번호, 계좌번호처럼
    법·가이드라인에서 명시된 대상뿐 아니라,
    서비스 특성상 민감하게 봐야 할 정보까지 포함하는지
  • 어디서
    → DB, 파일, 백업, 로그 등
    저장 위치별로 암호화 적용 여부가 정리되어 있는지
  • 어떻게
    → 알고리즘, 키 길이, 키 관리 방식이
    최소한 기준 수준 이상인지

여기까지만 정리돼 있어도
“이 서비스가 암호화를 어디까지 중요하게 보고 있는지”를
어느 정도 가늠할 수 있는 것 같다.

모든 걸 완벽히 맞추기는 어렵더라도,
핵심 데이터와 나머지를 구분해서
우선순위를 둔 흔적이 있는지가 중요하다고 느낀다.

접근통제 – ‘권한 구조’와 ‘절차’가 동시에 보이는지

접근통제는
기술적 구조만 볼 때보다
사람과 절차를 같이 봐야 이해가 되는 부분이 많은 것 같다.

그래서 평가할 때는
대략 이런 순서로 확인한다.

  • 구조
    → 어떤 역할(직무)들이 있고,
    각 역할이 어느 시스템·데이터에 접근할 수 있는지
  • 계정·권한 관리
    → 신규 입사, 조직 이동, 퇴사 때
    계정과 권한이 어떻게 생성·변경·회수되는지
  • 예외
    → 업무 특성상 더 넓은 권한이 필요한 계정이
    어떻게 관리되고 있는지
    (예: 운영 계정, 개발자 조회 계정 등)

실제 현업과 대화하다 보면
권한 구조 자체는 잘 설계했지만,
권한 회수가 제때 안 되거나
예외 계정이 계속 늘어나는 경우가 종종 보인다.

그래서 문서상 구조뿐 아니라
실제로 “줄였다 늘렸다” 하는 흐름이 있는지
조금 더 신경 써서 보게 된다.

로그 – ‘나중에 다시 봐도 쓸 수 있을까’를 기준으로 보기

로그는 “있다/없다”보다
“나중에 사고가 났을 때 실제로 쓸 수 있을까”가
더 중요한 것 같다.

그래서 확인할 때는
항상 이런 것들을 같이 적어둔다.

  • 어떤 행위가 로그로 남는지
    (접속, 조회, 수정, 삭제, 다운로드 등)
  • 어떤 정보까지 포함하는지
    (계정, IP, 시간, 대상 데이터 범위 등)
  • 어디에, 얼마 동안 보관하는지
  • 관리자·개발자 등 특수 권한 계정의 행동이
    충분히 남는지

실제로 로그 설계가 잘 되어 있으면,
사고 분석뿐 아니라
평상시 점검·보고에도 활용도가 높아진다.

반대로
기록은 많은데 구조가 없거나
필드 구성이 애매하면,
로그가 있어도 쓰기 어려운 경우가 생기는 것 같다.

세 가지를 따로 보지 않고, ‘연결된 흐름’으로 다시 보기

영향평가는 항목별로 작성하지만,
마지막에는 암호화·접근통제·로그를
다시 한 번 연결해서 본다.

예를 들면,

  • 민감도가 높은 데이터인데
    암호화는 되어 있지만
    넓은 권한 계정이 너무 많지는 않은지
  • 권한은 잘 나눠져 있는데
    로그가 부족해서
    실제로 누가 무엇을 했는지 알기 어려운 구조는 아닌지

이렇게 이어서 보면
각 항목이 “체크 완료”로 끝나는 게 아니라,
서비스 전체 구조 안에서
어디가 상대적으로 약한지 조금 더 보이는 것 같다.

마무리

암호화, 접근통제, 로그는
거의 모든 개인정보 영향평가에서
빠지지 않고 등장하는 항목이다.

개인적으로는

  • 암호화는 “무엇을, 어디서, 어떻게”까지
  • 접근통제는 “구조와 절차, 예외”까지
  • 로그는 “나중에 다시 봐도 쓸 수 있을지”까지

이 세 가지 관점으로 보고,
마지막에는 전체 흐름 안에서 다시 연결해 보려고 한다.

아직 갈 길이 멀지만,
이 기준을 머릿속에 두고 평가하다 보면
좀 더 현실적인 보호조치 제안을 할 수 있지 않을까
조심스럽게 기대하고 있다.

반응형
저작자표시 변경금지 (새창열림)

'정보보안 인프라·실무' 카테고리의 다른 글

51. 클라우드 기반 서비스 평가할 때 먼저 그려보는 보안 체크 그림  (0) 2025.12.19
48. 여러 보안 솔루션을 한 번에 운영해 보면서 느낀 ‘기본기’의 중요성  (0) 2025.12.18
39. 개인정보 영향평가를 하면서 인프라 쪽에서 자주 보게 되는 포인트들  (0) 2025.12.15
27. IPS와 WAF 기능 비교를 넘어서 운영 관점에서 느낀 차이들  (0) 2025.12.10
22. 방화벽 정책을 리뉴얼할 때 실무에서 꼭 거치는 세 단계  (0) 2025.12.08

'정보보안 인프라·실무'의 다른글

  • 현재글45. 영향평가에서 암호화·접근통제·로그를 볼 때 개인적으로 체크하는 순서

관련글

티스토리툴바