[CISM 특집] ⑦ISMS-정보보호관리체계

취약점 점검·지속적 개선 노력 제공...정보보호관리체계(ISMS)

사이버사회의 양적·질적 팽창으로 인해 사이버 공간에 대한 질서와 체계 그리고 보안을 확립시켜가야 한다는 것이 이제 사회 전반적인 화두가 되고 있다. 또 국가와 기업에서는 이를 총괄 관리할 수 있는 조직과 인재가 절실한 상황이다. 이번 주부터 매주 8회분에 걸쳐 CISO(Chief of Information Security Officer: 정보보안담당 이사)의 필요성을 조명하고 CISM 자격증에 대해서도 집중 소개하는 시간을 갖도록 하겠다. 7회 필자는 정보시스템 감리법인 ㈜프라임에이엔씨 수석 컨설턴트 유지호 감리사. <편집자 주>

[게재 순서]

①CISM 소개

②CISM 시험영역: 정보보안 거버넌스

③CISM 시험영역: 정보위험관리

④CISM 시험영역: 정보보안 프로그램 개발

⑤CISM 시험영역: 정보보안 프로그램 관리

⑥CISM 시험영역: 사고대응관리

⑦ISMS(정보보안관리체계)

⑧산업보안

승인 받지 않는 외부인의 접근통제에서 승인된 내부인의 권한 오남용이 최근 보안 이슈로 떠오르고 있다.

따라서 과거와 같이 단순히 외부 보안 컨설턴트의 도움을 받아서 보안 정책을 만들고, 그에 따른 절차와 지침을 만드는 정도로는 부족하다. 이제 보안은 내부 통제의 일 부분으로 인식되어야 하며, 지속적인 관심이 필요하다.

따라서 이러한 보안 체계에 취약점을 점검하고 지속적인 개선의 노력을 제공하는 것이 바로 정보보호관리체계(ISMS)이다. 본 글에서는 정보보호관리체계의 필요성과 구성, 인증 절차에 대해서 알아보고자 한다.

정보보호 인증체계의 필요성

정보 자산의 가치에 대해 인식하고, 보안 전문 컨설팅 업체와 협력을 통해 사내 정보보호에 대한 체계를 수립한 조직의 위협은 오히려 내부에서부터 시작된다. 초기에 정립된 절차와 표준이 시간이 지나면서 단순화 되고 잘 지켜지지 않고, 점차 사람들의 관심 밖으로 밀려나게 된다. 최근의 급변하는 경영환경이나 경기의 어려움은 정보보호에 대한 투자까지 낭비 요소로 지목되기도 한다. 그러나 적절한 보안 수준을 제공하지 못한 경우 오히려 더 큰 위험을 초래할 수 있고, 기업 가치에까지 좋지 않은 영향을 줄 수 있다. 더구나 기술의 발달과 새로운 기법의 등장으로 하루에도 새로운 보안 취약점이 발견되는 등 정보보호 책임자와 담당자는 밖으로는 기술로 중무장한 해커를 대응하랴, 내부적으로 최고 경영자를 설득하고, 업무 담당자와 협조하는 노력이 더더욱 절실해진다.

이렇게 초기에 잘 정립된 보안 체계를 주기적으로 점검하고, 지속적인 정보보호에 대한 관심을 고조하기 위한 대안 중 하나가 바로 정보보호 관련 인증이다. 따라서 정보 자산에 대한 위협에 대한 기술적인 대응 노력뿐만 아니라 지속적인 정보보호 관리를 통해 기업 내 정보자산의 무결성과 신뢰성을 확보를 위한 노력이 필요하다. 이러한 필요성으로 정보보호 관리체계(Information Security Management System, 이하 ISMS)가 필요하게 되었다. 이러한 정보보호 관리체계에는 BS7799, OSI 27001 등이 있으며, 국내에는 정보 한국정보보호진흥원 (Korea Information Security Agency : KISA)이 시행 중에 있는 ISMS 인증제도가 있다.

정보보호 인증체계의 심사 대상과 기준

ISMS인증제도는 국가 정보통신망의 안정성을 확보하고 조직의 정보자산을 보호하기 위해 기술, 관리, 물리적 정보보호대책을 구현하여 지속적으로 관리 ? 운영하는 종합적 시스템이다. 따라서, ISMS 인증제도란 정보통신서비스제공자, 정보통신서비스를 위해 물리적 시설을 제공하는 자, 민간사업자 등 인증대상기관이 수립?운영하고 있는 ISMS의 기술, 물리, 관리적 정보보호대책이 인증심사기준에 적합한지를 한국정보보호 진흥원이 객관적으로 평가하여 인증하는 제도이며 정보통신망이용촉진및정보보호등에관한법률 제47조에 근거를 두고 있다.

정보통신망법 제47조제1항에 따라 인증심사 대상은 정보통신서비스 제공자, 정보통신서비스를 위한 물리적 시설을 제공하는 자, 그 밖에 정보통신망을 운영하는 자로서 대통령령이 정하는 자로 규정하였다. 즉, 기간, 별정, 부가통신을 위한 전기통신사업자로 등록된 회사나 IDC(인터넷 데이터 센터)와 같이 네트워크나 서버 등의 통신시설을 관리하는 조직 등은 기본적으로 인증대상이 될 수 있으며, 사실상, 인터넷과 연동된 정보통신망을 운영하는 사업자는 대부분 ISMS 인증의 대상이 된다고 볼 수 있다.

ISMS 인증심사 기준은 정보보호 5단계 관리과정 요구사항 14개 필수항목, 문서화 요구사항 3개 필수항목, 정보보호대책 15개 분야 120개 세부항목 총 137개 항목으로 구성되어 있다. 즉, ISMS 인증을 받기 위해서는 위의 3가지 요구사항을 만족해야 한다. 첫째로 5단계 정보보호관리과정에 따라 ISMS를 수립하고 운영해야 하며 둘째로 ISMS 수립과 운영에 관련된 사항을 관련자들이 쉽게 이용할 수 있도록 문서화해야 하고 셋째로 위험분석을 통해 필요한 통제사항을 선정하고 이에 해당하는 정보보호대책을 구현하고 운영해야 한다.

ISMS는 정보보호정책 수립, ISMS 범위 설정, 위험관리, 구현, 사후관리의 5단계 과정을 거쳐 수립, 운영된다.

정보보호대책 요구사항으로. ISMS 인증심사 기준에서는 15개 통제분야에 대하여 120개 통제사항을 제시하고 있다. ISMS를 수립하기 위해 15개 통제분야 120개 통제사항을 모두 구현해야 하는 것은 아니다. 위험분석을 통해 조직이 수용할 수 없을 정도의 위험이 식별되고, 통제를 구현하여 이 위험을 적절한 수준으로 감소시키기로 결정했다면 해당위험에 대한 통제를 15개 통제분야 120개 통제사항 중에서 선택하면 된다. 다만 120개 통제사항 중 선택하지 않은 통제사항의 경우에는 인증심사 시 미선택 사유의 적정성을 검토하게 되므로 선택하지 않은 구체적인 사유를 밝혀야 한다.

정보보호 인증체계의 심사 대상과 기준

누구든 평가를 받는 것을 좋아할 사람은 없을 것이다. 하지만 내부 정보보호 담당자의 입장에서 외부의 객관적이고 독립적인 전문가들의 의견을 구할 수 있고, 지속적인 내부 보안을 강화할 수 있다면 충분히 가치 있는 일이 될 것이다. ISMS인증에 대해서 더 많은 정보가 필요하다면 한국정보보호진흥원 사이트 (http://www.kisa.or.kr/)에서 정보를 찾아 볼 것을 권한다. 최근 인증 업체의 모범 사례집을 다운받아 인증 효과와 인증 수행을 통해 발견된 기업의 취약점 수준도 확인할 수 있다. 또한 플래시로 구현된 ISMS인증 가이드로 다운받을 수 있어 관심있는 정보보호 담당자에게는 좋은 자료가 될 것이다.

참고자료 및 출처

www.kisa.or.kr/isms.html

cafe.naver.com/ekisa

[필자 약력]

-기고자: 유 지 호 기술사/감리사

-정보시스템 감리법인 ㈜프라임에이엔씨 수석 컨설턴트 재직 중

-라이지움 교육센터 전임 강사

-서울디지털대학교 컴퓨터 공학과 초빙교수

-(사)한국정보시스템 감사통제협회 회원

글·유지호(정보처리기술사/정보시스템감리사/ISMS인증심사원/ newzio@naver.com)

[정리 길민권 기자(http://reporter21@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)