새옷 갈아입은 정보보호 국제표준 엿보기

ISO/IEC 국제표준, 매니지먼트 시스템 표준화하고 통제항목 개정

[보안뉴스 김경애] 국내 ISMS 인증을 포함해 2005년 국제표준으로 첫 선을 보인 ISO/IEC 27001과 27002 등이 올해 새롭게 개정됐다.

이와 관련 정보보호 GRC연구회(회장 김정덕)에서는 ISO/IEC 27001(ISMS 요구사항)을 비롯해 ISO/IEC 27002(보안관리 통제), ISO/IEC 27014(거버넌스), ISO/IEC 27018(클라우드 보안), ISO/IEC 27009(섹터인증) 부문의 국제 표준 소개와 함께 개정된 ISMS 인증체계에 대한 주요 이해관계자들의 심도 있는 토론의 장을 마련했다.

우선 ISO가이드83를 기반으로 제정된 ISO/IEC27001 국제표준의 경우 본문 일부와 통제항목 부문이 개정됐다. 또한, ISO/IEC27001는 매니지먼트 시스템을 체계화해 ISO/IEC 다른 표준에도 일괄적으로 적용되도록 규정했다. 매니지먼트 시스템 표준화 항목에는 범위, 규범 참조, 용어 및 정의, 조직의 상황, 리더십, 계획, 지원, 운영, 성능평가, 측량 등이 포함돼 있다.

이와 관련 한국뷰로베리타스의 박태완 선임심사원은 “이전에는 여러 ISO/IEC 국제표준의 매니지먼트 시스템 항목이 제각각으로 체계적이지 않았으나 그동안의 표준화 활동을 통해 앞으로는 표준화된 매니지먼트 시스템이 적용된다”며 “그간의 오랜 심사경험으로 볼때 매니지먼트 시스템의 표준화가 무엇보다 중요하다고 생각했기 때문에 이번 개정방향이 바람직하다고 본다”고 설명했다.

박 선임심사원은 매니지먼트 시스템 표준화 중에서도 가장 중요한 핵심으로 조직의 상황과 이에 따른 리스크 관리를 꼽았다. 이와 관련해 그는 “정보보호의 목표를 달성하기 위해서는 리스크 관리가 가장 중요하다”며, “이를 위해서는 리스크 방법론을 체계적으로 정리해야 하고, 다양한 리스크에 대해 분석해야 하며, 분석결과를 토대로 도출된 가장 위험도가 높은 리스크에 대해 어떻게 대응해야 할지 명확히 제시해야 한다”고 설명했다.

▲정보보호 GRC연구회에서 진행한 'ISMS 2.0 개선 방안 모색을 위한 워크샵'이 역삼동 아이타워에서 진행된 가운데 중앙대학교 김정덕 교수가 정보보안관리 국제표준화 동향 및 ISMS 2.0 발전방향에 대해 설명하고 있다.

이어서 ISO/IEC 27002의 국제표준과 관련해 고려사이버대학교 박대하 교수가 설명했다. ISO/IEC 27002는 보안관리 통제와 관련된 표준으로 통제분야, 통제목적, 통제항목 등이 제시돼 있다.

이 가운데 통제항목의 주요 개정방향은 △통제구조의 완전성 △통제의 중복 최소화 △통제의 실현가능성 및 정확성 △경영진의 이해할 수 있는 상위 수준의 지침 제공 등이다.

통제구조의 완전성 측면에서는 조직의 규모, 업종, 지역 등에 상관없이 일반적으로 적용 가능한 모든 통제 분야를 포함시키고, 통제분야의 세분화 및 통제목적의 재그룹화를 목적으로 개정됐다.

통제의 중복 최소화에 있어서는 둘 이상의 통제분야에 포함되는 통제항목을 통합하고, 둘 이상의 통제항목에 중복되는 구현지침을 최소화하는데 초점을 맞췄다.

통제의 실현 가능성 및 정확성은 현실적으로 적용 가능한 구현지침을 개발하고, 모호한 표현을 명확하게 표현하는데 중점을 뒀다. 또한, 경영진이 이해할 수 있는 상위 수준의 지침을 제공하는 내용도 포함됐다.

이와 관련 박대하 교수는 “기존 2005년 버전에서 개정된 2013년 버전 ISO/IEC 27002를 국내표준인 ISMS 2.0과 비교해보면 통제분야 및 통제목적 수가 거의 비슷해졌다”고 설명했다. 이는 정보보호 분야의 국제표준과 국내표준 간의 차이가 많이 좁혀졌다는 것을 의미한다.

덧붙여 그는 “다만, 통제항목 수의 경우 ISO/IEC 27002 국제표준은 133개, ISMS 2.0은 92개, 점검항목 수는 각각 273개, 225개로 차이가 난다”며, “국제표준의 경우 암호화, 운영보안, 통신보안, 공급업체와의 관계 등의 항목 등이 신규 추가되거나 의미가 변경됐다”고 덧붙였다.

이외에도 중앙대학교 김정덕 교수가 ISO/IEC27014(거버넌스), 한국MS의 신종회 이사가 ISO/IEC27018(클라우드 보안), 박태완 심사원이 ISO/IEC 27009(섹터인증) 등의 국제표준에 대해 발표했으며, 한국인터넷진흥원 고규만 책임연구원이 국내인증 제도인 ISMS 2.0에 대해 소개했다.
[김경애 기자(boan3@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)