콘텐츠로 바로가기
HY_TECH_BASE

Governance, Risk & Compliance

기업 전반의 보안 목표를 수립하고, 기술적 위험을 관리하며 법적 규제를 준수하기 위한 체계적인 보안 관리 체계와 감사 역학을 다루는 학습 노드입니다.

sys.entry
M

Me

hyunyoun's Blog

posts6 min read

1. Overview

거버넌스, 리스크 및 컴플라이언스(Governance, Risk & Compliance, GRC)는 보안을 개별 기술의 집합이 아닌 조직의 전략적 경영 체계로 다룹니다.

기술적인 방어 코드를 짜는 것만큼이나 중요한 것은, '우리가 어떤 위협에 더 투자할 것인가'를 결정하는 의사결정 체계입니다. 학습자는 조직의 보안 목표를 설정하는 거버넌스(Governance) 정책, 자산의 가치와 위협을 정량적/정성적으로 분석하는 위험 관리(Risk Management) 물리, 그리고 ISO 27001, ISMS-P 등 국내외 법적 규제를 준수하는 컴플라이언스(Compliance) 역학을 배웁니다. 이를 통해 기술적 보안 활동이 비즈니스 연속성과 법적 안전성을 보장하도록 정렬하는 역량을 갖춥니다.

2. Scope & Boundaries

In-Scope

  • Security Governance: 전사 보안 전략 수립, 조직 구성 및 R&R(역할과 책임) 정의
  • Risk Assessment: 위험 식별, 분석, 평가 및 대응(보유/회피/전이/완화) 물리
  • Compliance Frameworks: 국내외 표준(ISO 27001, ISMS-P, SOC2) 및 개인정보보호법
  • Security Audit: 내부 감사 절차, 증적 수집 및 지속적 모니터링 역학

Out-of-Scope

  • 구체적인 방화벽 패킷 필터링 룰 설정 (10-02 IPS 영역으로 위임)
  • 암호학적 코드 구현 실무 (10-01 SFC 영역으로 위임)

Boundaries

  • GRC vs. Project Management: GRC는 '정보 자산의 보호와 법적 책임'에 특화된 관리 체계이며, 09-01 ELM의 일반적인 소프트웨어 공학 프로젝트 관리와 긴밀히 연동됩니다.

3. Counterexample

  • 단순히 규제 기관에서 요구하는 문서를 작성하고 인증을 받는 것은 GRC 학습이 아닙니다. 왜 특정 **보안 통제(Control)**가 조직의 비즈니스 효율성을 저해하면서도 물리적 필연성을 갖는지 '위험 수용 수준(Risk Appetite)'의 관점에서 설명할 수 있어야 하고, 실질적인 위험 감소 없는 'Paper-only' 보안이 현대의 복합적 위협 앞에서 왜 치명적인 실패 사례가 되는지 조직적 관점에서 논증할 수 있어야 합니다.

4. Prerequisites

  • 컴퓨터 과학 및 공학 루트 (Basic): 전체 지식 체계와 보안의 중요성에 대한 인식이 필요합니다. (ROOT)
  • 보안 기초 및 암호학 (Recommended): 보호 대상인 데이터와 암호 기술의 기본 지식이 권장됩니다. (10. SFC)

5. Learning Map

  1. Setting the Compass: 조직의 가치와 일치하는 보안 목표와 거버넌스 구조를 확립합니다. [P3, P5]
  2. Identifying the Danger: 자산을 위협하는 요소들을 찾아내고 발생 가능성과 충격을 수치화합니다. [P3]
  3. Playing by the Rules: 법적, 사회적 합의인 기획 규제와 표준을 준수하는 체계를 배웁니다. [P3, Industry]
  4. Closing the Loop: 감사를 통해 실제 보안 수단이 계획대로 동작하는지 확인하고 지속적으로 개선합니다. [P5, Industry]

6. Learning Topics

Basic

Core: 보안 관리 체계와 거버넌스 (Governance Basics)

  • Why to Learn: 보안이 일회성 활동이 아닌 지속 가능한 비즈니스 프로세스로 정착시키기 위함입니다.
  • What to Learn:
    • 보안 거버넌스의 정의와 5대 핵심 영역 (전략 연계, 위험 관리 등)
    • 정보보호 최고책임자(CISO)의 역할과 조직 내 위상
    • 보안 정책(Policy), 표준(Standard), 지침(Guideline), 절차(Procedure)의 물리적 위계
  • How to Learn:
    • 가상의 스타트업과 대기업의 보안 조직도를 그려보고 각 역할의 책임을 배분하는 실습
    • 조직의 비즈니스 목표와 상충되는 보안 정책 사례를 찾고 해결 방안 토론
  • Implement: 조직의 핵심 보안 원칙을 담은 정보보호 헌장 제안서

Core: 위험 관리 및 완화 전략 (Risk Management)

  • Why to Learn: 한정된 예산과 인력을 가장 치명적인 위협에 집중적으로 투입하기 위해서입니다.
  • What to Learn:
    • 자산 분류 및 가치 평가 물리: 기밀성, 무결성, 가용성 점수 산정
    • 위험 평가 기법: 정성적(High/Mid/Low) vs 정량적(ALE - 연간 기대 손실) 분석
    • 위험 대응 4개 옵션: 완화(Mitigation), 전이(Transfer), 회피(Avoidance), 수용(Acceptance) 역학
  • How to Learn:
    • 특정 시스템(예: 고객 DB)에 발생 가능한 위협(유출, 변조, 유실)에 대한 위험 대장 작성 실습
    • 보험 가입을 통한 위험 전이와 기술적 방어(IPS 도입)를 통한 위험 완화의 비용 대비 효과 분석
  • Implement: 우선순위별 대응 방안이 포함된 연간 위험 관리 계획서

Practical

Core: 컴플라이언스와 인증 체계 (Compliance & Standards)

  • Why to Learn: 법적 책임을 준수하여 사회적 신뢰를 확보하고 사업 중단 리스크를 물리적으로 제거하기 위함입니다.
  • What to Learn:
    • 주요 국내외 표준: ISMS-P(한국), ISO/IEC 27001(국제), GDPR(유럽)의 핵심 요구사항
    • 개인정보 보호법의 주요 조항: 수집 금지, 이용 제한, 파기 절차 물리
    • 서드파티 및 공급망 컴플라이언스 관리 역학
  • How to Learn:
    • ISMS-P 인증 항목 중 하나를 골라, 실제 우리 시스템에서 이를 증명하기 위한 증적(Log, 문서) 목록 도출 실습
    • GDPR의 '잊힐 권리' 위반 사례를 분석하고 기술적으로 어떻게 대응했어야 했는지 연구
  • Implement: 특정 규범 준수 여부를 확인하기 위한 컴플라이언스 체크리스트 및 매핑표

Advanced

Core: 보안 감사 및 성숙도 평가 (Audit & Maturity)

  • Why to Learn: 보안 대책이 형식적인 수준에 머물지 않고 실제 현장에서 효과를 발휘하는지 검증하기 위해서입니다.
  • What to Learn:
    • 내부 감사(Internal Audit) 프로세스와 독립성 확보 물리
    • 보안 성숙도 모델: NIST CSF, CMMC 등을 활용한 수준 진단
    • 지속적 컴플라이언스(Continuous Compliance): 자동화 도구를 이용한 실시간 모니터링 역학
  • How to Learn:
    • 과거 보안 사고 로그를 복기하며, 당시 설계된 보안 통제가 왜 작동하지 않았는지 감사적 관점에서 추적
    • 클라우드 네이티브 환경에서 자동화된 컴플라이언스 점검 도구(Cloud Custodian 등) 연동 실습
  • Implement: 조직의 보안 성숙도 측정 결과 보고서 및 개선 로드맵

7. Terminology

Term (EN / ko, abbr) 1문장 정의 단계(기본/권장/실무/심화) 역할/맥락 관련 개념 유사/대비/함께 사용 오해 포인트 Evidence(Primary/Secondary/Industry) Flags(core)
Information Security Governance 조직의 경영 목표와 보안 활동이 일치하도록 의사결정 권한과 책임을 정의하는 체계입니다. 기본 전략 수립 Risk Mgmt IT Governance 단순히 '보안 교육'으로 오해 P3:CyBOK core
Risk Appetite (위험 수용 범위) 조직이 비즈니스 목표 달성을 위해 감수할 준비가 되어 있는 위험의 종류와 수준입니다. 추천 의사결정 Residual Risk Risk Tolerance '위험을 방치함'과 혼동 Industry 31000 core
Compliance (준수) 법률, 규제, 표준 및 내부 정책을 엄격히 동조하여 이행하는 물리적 상태입니다. 추천 법적 안전 Regulation Audit 단순히 '인증 획득'으로 오해 P3:CyBOK factors core
Security Control (보안 통제) 위험을 관리하고 보안 정책을 실행하기 위해 배치된 기술적, 관리적, 물리적 대책입니다. 실무 보호 실행 Mitigate Safeguard 단순히 '통제(Control)' 개념과 혼동 Industry SP 800-53 core

8. References

Primary References

Secondary References

  • [Information Security Management Principles] Andy Taylor — Entry-level management guide.
  • [CISM Review Manual] ISACA — International standard for security managers.

Industry References

  • [ISO/IEC 27001<2022>] — Information security management systems.
  • [KISA - ISMS-P Certification Criteria] — Local industry compliance standard.

9. Final Checklist

Primary Checklist

  • 조직에서 발생할 수 있는 보안 위험을 '가능성'과 '영향도' 두 축으로 나누어 물리적 위험 매트릭스를 구성하고 우선순위를 도출할 수 있는가? (P3)
  • 보안 정책이 수립되었을 때, 이를 기술적 통제(방화벽 등)와 어떻게 물리적으로 연결하여 배포할지 절차를 기술 가능한가? (P3)

Secondary Checklist

  • 위험 대응 방안 중 '전이(Transfer)'를 위해 사이버 보험 가입이 적절한 상황과 '수용(Acceptance)'이 적절한 상황의 차이를 논리적으로 설명하는가?
  • 인증 심사 시 외부 감사자에게 제시할 수 있는 유효한 증적(Evidence)의 요건(객관성, 일관성 등)을 이해하고 있는가?

Industry Checklist

  • 실무 서비스의 개인정보 보호 영향평가(PIA) 수행 시, 데이터 흐름도 상의 보안 취약점을 법적 기준에 맞춰 식별할 수 있는가? (SFIA)
  • 클라우드 Shared Responsibility Model에 근거하여, 사용자(조직)가 직접 관리해야 할 컴플라이언스 범위를 정확히 획정할 수 있는는가?

Concepts & Tags

#it-governance#risk-management#compliance#security-audit