통신보안인증- GSMA SAS 인증

<GSMA 인증 - SAS>

인증 심사 지원 배경

SAS(Security Accreditation Scheme) 인증은 우리가 흔히 핸드폰에 사용하는 SIM, USIM 칩과 관련된 인증으로 GSM 제품을 생산 하는데 필요한 보안 수준을 평가하는 인증입니다.

위에서 언급한 핸드폰 즉 모바일 장치에서 사용하는 SIM의 프로그램과 데이터의 무결성을 보호하기 위해서 제조 및 관리에 사용되는 공급자(제조사) 환경과 프로세스 상의 보안을 평가하는 인증입니다. 지사에서 해당 인증을 진행하는 사유는 당시 큰 고객사 중 한 곳에서 해당 인증을 요구하였고 회사 차원에서도 그 고객뿐 아니라 해외 고객도 유치하자는 차원에서 진행을 하기로 했던 것입니다.

당시 해당 인증 획득 프로젝트에 투입이 된 것은 입사하고 얼마되지 않아서 입니다. 인증을 진행하는데 지사에서 인증 획득을 위한 심사를 진행했었지만 안타깝게 인증에 탈락하게 되어서 문제가 되는 상황이었습니다.

 

그래서 관련되어서 도움을 받을 수 있을지 회사내 인증팀에서 문의가 왔었고, 지원하는 것은 문제 될 것은 없으나 아무래도 타 부서 그리고 지사를 지원하는 문제였으니 정식으로 업무 협조를 진행해 주시면 지원을 하겠다고 한 상황이었습니다.

인증 실패 요인

우선 당시 기억으로 해당 인증의 문제는 다음과 같았습니다.

1. 회사 내 보안 관련 구축 및 인증 경험자가 부족했음

2. 지사 담당자가 보안에 관련되어서 지식이 부족했음.

3. 인증 심사를 너무 안일하게 받음.

4. 심사 대응을 국내 심사원 대응하듯이 대충 받으려고 했음.

5. 회사 내 자산에 대한 현행 파악이 제대로 되어 있지 않았음.

6. 인증 충족을 위한 기본적인 보안 요구사항 분석이 부족했음.

등등 여러 가지 부적합 이슈가 있었는데 당시 지원을 위해서 지사로 반년 동안 일주일에 2박 3일씩 내려가서 지원했던 것으로 기억합니다. 

인증 지원 내용

당시 인증 심사를 지원하기 위해서 제가 다시 시작한 사항은 인증 요구사항에 대해 파악하는 것이었습니다. 아무래도 인증이 해외인증이다 보니 영어가 부족한 제가 확인할 수 있는 부분이 많이 적었으나 다행이 인증팀 인원들이 모두 영어를 잘하는 분들이라 도움을 많이 받았습니다.

그리고 관련되어서 번역된 문서도 많이 있어서 관련된 문서를 토대로 진행을 하였고, 기존에 인증을 위해 해외 업체로 부터 컨설팅도 진행을 하여 부족하지만 그래도 어느 정도 문서가 있어서 해당 문서를 참고하였습니다.

 

우선 보안 요구사항중 자산에 대한 파악 부분이 있어서 자산 파악부터 진행을 하였고, 보안 시스템에 관련되어서는 로그 관리 및 분석에 대한 부분,  네트워크에 대한 전체적인 흐름과 방화벽 정책 등이 중요하였습니다.

다른 물리적인 부분이나 관리적인 정책 부분은 타부서 분들이 진행하고 저는 보안과 관련된 부분만 집중하였습니다.

현상을 파악해 보니 우선 네트워크 구성에 대한 부분도 기본적으로 망이 분리되어 있어야 하기를 요구하는데 이부분도 명확하지 않았고 기본적인 방화벽에 대한 정책이 정리가 되어 있지 않았습니다. 각 서비스에 대한 용도가 불명확하고 중복되는 항목들도 많아 관련되어서 네트워크  및 방화벽 정책 정리를 우선 진행하였습니다.

로그 관련된 내용은 수집되는 로그에 대한 정의가 불명확하고 요구사항 또한 명확하지 않아서 우선 수집해야 하는 로그와 관련 부서와의 협의를 통해서 인증에서 요구하는 로그들이 수집 가능하지 가능하다며 어떤 경로로 수집되고 관리되고 있는지 파악하고, 정상적으로 수집이 되지 않는 로그는 업체와의 협의를 통해서 로그 포맷 정의부터 다시 하였습니다.

지역이 지방이다 보니 초기에 엔지니어 지원을 받는부분에 있어서 일정 조율 등이 많이 힘들었지만 추후 관련된 장비 매뉴얼 및 교육을 통해서 간단한 정책 정의 등은 제가 진행하여 업무 진행이 조그이나마 빨라질 수 있었습니다.

인증 진행

인증 진행은 정확히 기억은 안나지만 약 4박 정도 2명의 심사원이 진행했던 거 같습니다. 각자 맡는 파트가 있었고 당시에 지사에 보안 담당자의 팀장으로 영어가 되시는 분이 입사를 하셔서 심사원이 질문을 하면 그 팀장님과 당시 인증 담당자가 함께 통역을 해주는 방식으로 진행을 했습니다.

우선 위에서 언급한 방화벽과 관련되어서 정책에 대한 전체적인 리뷰를 하고 자신들이 의문이 되는 부분이 있으면 문의를 하는 형식으로 진행을 하였는데 여기서 느꼈던 점이 모든 서비스 정책과 서비스 하나 하나 어떤 사유로 왜 사용하는지 신청한 내역은 있는지에 대해서 꼼꼼히 물어보았습니다. 그러면서 왜 이렇게 해야 하는지에 대해서도 간략히 설명해 주었습니다. 그 심사원의 의견은 보안 사고는 아주 사소한 것부터 일어나고 또한 칩에 대해서는 제조 또는 개발 과정에서 어떤 사소한 문제가 나중에 큰 사고로 이어질 수 있기 때문에 사소한 것 하나 그냥 넘어갈 수 없다는 식으로 이야기해 주었습니다.

 

다음으로는 로그 관련되어서 직접 서버실에 입실하여서 자신이 보고 싶은 로그를 하나 하나 체크하면서 진행을 하였습니다. 그렇게 보안과 관련된 부분을 확인하는 것만 거의 2일 정도를 봤던 것 같습니다.

물리보안과 관련되어서도 상세히 봤는데 기억상으로 창고에서 칩을 꺼내고 제조 공정, 발주 등 나가는데 있어서 정확히 몇 명이 입실하고 동행하였는지 정확한 수량으로 발주가 되어서 나갔는지 일일이 관련 문서를 확인하면서 CCTV를 확인하면서 심사를 하였습니다. CCTV만 확인하는데 하루를 사용하였습니다. 공장 주변을 돌면서  CCTV도 상세히 확인하여 사각지대는 없는지 출입자에 대한 기록은 정확히 되어 있는지 제 경험상 아직까지도 이렇게 상세히 심사를 진행했던 인증은 없었습니다.

특이 사항

심사 진행시 심사원들은 어떠한 작성도 하지 않았습니다. 그냥 자신이 문의하고 답하는 형식으로 진행이 되었고 작성을 하거나 체크하는 모습을 보지 못하여 왜 아무런 작성을 하지 않는지 나중에 물어보니 만일 어떠한 질문을 하고 그것을 받아 적게 되면 심사 대상자들이 자신이 어떤 부분에 대해서 지적이 나올지 짐작을 할 수 있기 때문에 그날 진행된 내용은 숙소로 돌아가서 정리를 한다는 것이었습니다.

그러니 심사 종료 보고 때까지는 어떤 부적합, 지적사항이 나올지 짐작하는 것이 어려웠습니다. 물론 대충 심사 진행하면서 제대로 대응하지 못한것에 대해서는 자신들도 알 수 있는 부분이 있었지만 그 외 지적사항은 알기 힘들었습니다.

심사 결과

약 반년간의 지원 결과는 만족스러웠습니다. 지적사항이 몇 개 나오기는 했지만 제가 지원한 부분에 대해서는 심각한 부분은 없었고 간단한 서류만으로 대체 가능한 것이었고, 다른 파트도 비슷하였습니다.

회사에서는 1번의 실패를 교훈 삼아 2번째는 결국 심사에 통과하여 인증을 획득하였고 저 또한 그 실적를 인정받아 당시 최우수 사원상을 받기도 했습니다.

당시 인증 심사에 대한 경험이 부족했던 저에게 큰 경험이 된 심사였으며, 가장 기본적인 것이 되어 있어야 한다는 것도 다시 한 번 인지하게 된 심사였습니다.