시스템 구축이 아닌 자생능력 향상이 목적

정보보호 관리체계 국제표준 ISO27001 길라잡이

1993년 정보보호에 대한 실행지침을 영국의 BSI가 처음 발행한지 12년 만에, 정보보호 관리체계에 대한 실행표준이 2005년 국제표준으로 제정되었다. ISO/IEC 27001:2005(이하 ISO27001)로 명명된 정보보호 관리체계 국제표준은 ISO(International Organization for Standardization) 140개 회원국에서 국가표준으로 채택되어 활용되고 있다. 특히 명실상부한 정보보호 유일 규격으로 지구촌의 각 국가, 각 기업의 정보보호 실행체계의 기준으로 활용되고 있다.

정보보호에 대한 관리적 인증 표준

ISO27001은 기업들이 정보보호 업무를 수행함에 있어 참조 및 기준으로 활용되고 있다. 뿐만 아니라 이 규격을 바탕으로 조직의 특성에 맞는 정보보호 경영체계를 수립한 후 BSI와 같은 독립적인 인증기관으로부터 시스템의 적합성 및 실행여부를 평가 받고, 신뢰할 수 있는 정보보호 관리를 갖추어 운용하고 있다는 것을 보증하는 제3자 심사 및 등록제도이기도 하다.

ISO27001에서 의미하는 정보보호 관리체계는 보안 솔루션의 구축과 기술적인 사항을 요구하는 것이 아니라 이와 같은 사항을 조직의 비즈니스 목적에 준하여 관리할 것을 요구한다. 즉, 기업의 정보를 보호하기 위하여 최신 방화벽을 구축하는 것보다는 외부 네트워크로부터의 침입에 대한 위험을 기업이 식별하고 이 위험을 제거 또는 수용, 회피하기 위하여 기업 스스로 통제방안을 마련하며, 이 통제가 목적을 달성할 수 있도록 관리할 것을 요구한다.

때문에 ISO27001의 체계를 구축한다면 정보보호 활동에 대하여 보다 체계적인 접근이 가능하다. 기술적인 부분이나 물리적인 보안에만 투자한다거나 하는 것이 아니라 표준에서 언급하고 있는 11개 정보보호 영역의 모든 부분에 대하여 고려할 수 있다. 또한 보안 솔루션을 도입 및 구축만하는 것이 아니라 이에 대한 모니터링 및 성과를 측정하여 본래 의도했던 보안 솔루션의 목적을 달성하고 있는지를 확인할 수 있다.

물론 어떤 기업에서는 굳이 ISO27001을 왜 해야 하는가? 하는 의문을 제기할 수 있다. 그러나 ISO27001은 글로벌 표준이기 때문에 다른 기업과 대비하여 조직의 보안활동이 원활하게 수행되고 있는지 비교해 볼 수 있으며, 객관적 심사를 통하여 타 기업의 실행사례를 자사에 적용할 수 있는지 확인해 볼 수도 있다.

글로벌적인 ISO27001 확산 배경

최근 1~2년 간 주요 글로벌 기업들은 파트너들과 비즈니스 협업을 하기 전에 그들의 보안 수준을 확인하길 원하고 있다. 예를 들면 몇몇 글로벌 기업들은 비즈니스 파트너들의 기업현장에 직접 방문하여 정보보호 수준을 직접 점검하면서 그들이 원하는 보안 요구수준을 만족시킬 것을 파트너들에게 강력하게 요구한다. 심지어 보안 요구사항이 이행되지 않는다면 비즈니스 자체를 중단하기도 한다. 이와 같은 현상은 비즈니스 파트너 및 협력사에게 제공된 정보가 경쟁사에게 유출될 경우 득보다 실이 훨씬 크다는 사실을 각 기업들이 예전보다도 심각하게 인지하고 있다는 것을 의미한다. 따라서 기업들은 ISO27001의 인증을 획득한 파트너사의 경우 이와 같은 정보보안 요구사항을 만족시키고 있다고 간주하기도 하며, 그렇지 않더라도 정보보호 요구사항을 ISO27001의 프레임워크로 준용하는 경우가 허다하다. 즉, 이는 정보보호활동 중에서 관리적인 부분은 ISO27001의 관리체계로 통일화되고 있음을 반증한다.

정보보호경영체계의 효과적 수립절차

ISO27001에 대한 인증은 관련한 문서를 작성하여 보관하고 있다고 해서 획득할 수 있는 것이 아니다. 즉 기업에서 식별한 정보보호활동을 올바로 이행하고 통제의 효과성을 획득하고 있는지를 경영층 레벨, 실무 레벨, 시스템 레벨 등에서 심사원이 직접 눈으로 확인하는 것이 ISO27001 인증심사이다.

따라서 인증을 획득하기 위해서는 적합한 정보보호 관리체계를 수립하는 것이 우선이다. 간략한 추진절차는 다음과 같다.

추진팀 구성 및 전략 합의

최고 의사결정권자의 정보보호에 대한 스폰서십을 획득하고 최상위의 정보보호 정책을 수립한다. 이 단계에서 정보보호 관리체계가 조직 전체에 적용될 지 아니면 하나 혹은 그 이상의 부문에 적용될 지 범위를 결정해야 한다. 범위가 결정되면 관리체계를 수립하기 위한 태스크포스팀을 구성한다.

컨설팅의 필요성 검토

정보보호 관리체계의 효과적인 구축 및 실행 방법에 대하여 조직 외부의 독립적인 컨설턴트로부터 도움을 받을 것인가를 결정한다.

위험평가 수행

이 단계에서는 모든 잠재적 보안위험에 대한 검토가 수행되어야 한다. 이는 IT 시스템에만 국한하는 것이 아니라 조직 내부의 모든 민감한 정보를 포함해야 한다.

관련 문서 개발

정보보호 정책을 지원할 수 있는 적용성보고서(SoA) 및 지침, 절차들을 개발한다. 여기에는 자산 분류 및 통제항목, 인사 보안, 물리적 환경적 보안 및 비즈니스 연속성 관리 등의 영역을 다루게 된다.

정보보호경영 시스템 실행

정보보호경영·시스템의 실행에 있어 중요한 점은 의사소통 및 교육훈련이다. 실행단계에서, 모든 인원은 절차에 따라 업무를 수행하고 수행한 업무의 증거 및 분석의 기반데이터로 사용하게 될 기록을 남긴다.

인증 신청 및 심사 절차

1단계 기업은 ISO 27001:2005의 요구사항 및 통제항목에 따라 ISMS를 수립(Plan), 실행(Implementation) 및 운영(Operate)하고 모니터링(Monitor) 및 검토(Review)와 지속적인 개선(Improvement)을 수행.

2단계 설문 및 심사견적 - 기업의 특성을 식별하는 설문 단계를 거쳐 BSI는 ISO27006에 기반을 둔 공식적인 심사에 대한 비용 및 기간을 제시.

3단계 계약서 제출 - 조직은 BSI에 공식 신청서를 제출.

4단계 문서검토(Stage1) - BSI는 위험성평가, 방침, 범위, 적용성보고서(SoA) 및 절차에 대한 문서심사를 수행함. 이를 통해 조직의 경영 시스템에서 해결할 필요가 있는 약점 및 누락된 사항을 파악함.

5단계 현장심사(Stage 2) - BSI는 현장심사를 실시하고 규격 적합성여부 판단.

6단계 심사종료 - 심사가 성공적으로 완료되면 정보보호경영 시스템을 명확하게 담고 있는 인증서를 발행함. 인증서는 3년간 유효하며 이 기간 동안에는 지속적인 사후관리 심사가 6개월마다 수행됨.

ISO27001의 인증은 1회성 인증서 획득행사가 아니다. 6개월 주기로 방문하여 인증의 효과성을 유지하고 있는지 심사원이 현장에서 직접 확인한다. 따라서 ISO27001의 인증을 획득했다 해도 지속적으로 인증의 유효성을 유지하지 못한다면 인증획득 여부는 의미가 없다. 정보보호 위험이 일거에 제거되지 않고 끊임없이 새로운 환경에 새로운 보안위험이 생성되는 것과 같은 맥락일 것이다.

<자료제공 : 비에스아이 매니지먼트시스템즈 코리아(www.bsigroup.com)>

[월간 시큐리티월드 통권 제160호(sw@infothe.com)]

최근 발생한 크라우드 스트라이크의 보안 SW 업데이트 오류 사태처럼 SW 공급망에 보안이슈가 발생할 경우 관련된 각종 시스템 및 IT 인프라 마비가 일어날 수 있다는 게 드러났습니다. 이러한 공급망 보안을 위협하는 가장 큰 요인은 무엇이라고 생각하시나요?
	랜섬웨어, 피싱 등의 사이버 공격
	SW 업데이트 및 SW 교체 과정에서의 오류
	SW 자체에 존재하는 보안 취약점
	시스템 관리자의 운영상 실수 및 관리 미흡
	기타(댓글로)