개인정보보호, 최신 국제표준 ‘엑기스’

[인터뷰] 박대하 고려사이버대 교수, 2013년 ISO/IEC 27001 변화
조직의 일관된 관리 위해 타 경영시스템과 용어 및 구조 통일
암호화 별도 통제 분야로 신설, 운영보안과 통신보안 분리

[보안뉴스 김경애] 최근 세계 최대 온라인 경매 사이트 이베이에서 1억 4500만건에 이르는 개인정보 유출사고가 터지는 등 전 세계적으로도 개인정보 유출에 대한 관심이 고조되고 있다.

특히 기업 입장에서는 각종 규제와 법·제도를 준수해야 하기 때문에 컴플라이언스 측면에서의 관심이 매우 높은 것이 현실이다.

이로 인해 기업에서의 보안관련 인증 취득은 개인정보보호를 위한 필수과제가 되고 있다. 그렇다면 기업 입장에서는 개인정보보호에 있어 어떤 부분에 중점을 두고 인증을 취득해야 할까? 이에 본지는 고려사이버대학교 박대하 교수와의 인터뷰를 통해 ISO/IEC 27001 국제표준화 동향에 대해 알아보고자 한다.

Q. 2013년 ISO/IEC 27001 국제표준과 관련해 주목해야 할 점이 있다면?

ISO/IEC 27001은 정보보호경영시스템(ISMS)의 구축 및 운영에 필요한 요구사항을 명시한 국제표준이며, ISO/IEC 27002는 정보보호 통제에 대한 실무 지침을 제공하는 표준입니다.

ISO/IEC 27001에 따라 ISMS를 인증 받고자 하는 조직은 ISO/IEC 27001에서 요구하는 모든 조건을 만족시켜야 하죠. 그 내용으로는 조직의 상황 이해, 경영진의 지도력, ISMS에 대한 계획, 지원, 운영, 성과 평가, 개선 등이 포함되어 있습니다.

특히 2013년에 개정된 ISO/IEC 27001은 품질경영시스템(ISO 9001), 환경경영시스템(ISO 14001) 등 타 경영시스템과 공통된 문서구조와 용어를 적용한 점이 가장 주목할 부분입니다. 조직에서 다양한 경영시스템을 일관성 있게 관리할 수 있도록 도와주기 위한 것이죠.

ISO/IEC 27002는 ISMS를 구현하는 과정에서 대부분의 조직에서 주로 발생하는 정보보호 위험을 처리하기 위한 통제대책을 열거하고 있습니다. 이번 2013년 개정판에서는 암호화를 별도의 통제분야로 두고 운영보안과 통신보안을 분리하고 있습니다. 최근 외주용역이나 클라우드 서비스 등으로 보안이슈가 되고 있는 공급자 관계를 통제분야로 신설하는 등의 큰 변화가 있었습니다.

Q. 개인정보보호 이슈와 관련해 국제표준에서 반영된 부분과 적용 추세는?

ISO/IEC 27001과 ISO/IEC 27002는 개인정보보호에 중점을 두고 개발된 표준은 아니지만 ISO/IEC 27002에서는 준거성(compliance) 통제목적을 달성하기 위해 프라이버시와 개인정보보호를 위한 법규와 규제를 따르도록 통제항목으로 명시하고 있습니다. ISO/IEC 29100으로 제공하는 프라이버시 프레임워크에 따라 개인정보를 보호하기 위한 적절한 기술적 및 조직적인 대책을 구현하도록 요구하고 있습니다.

현재 ISO/IEC JTC1/SC27(정보보호기술위원회)에서는 국내에서 이미 제도화되어 있는 개인정보보호 관리체계(PIMS) 또는 개인정보보호 인증제(PIPL)의 인증기준에 대응하는 개인정보보호 통제의 실무지침을 국제표준인 ISO/IEC 29151로 제정 중입니다.

순천향대 염흥열 교수가 에디터로 참여하는 등 국내 제도를 국제표준에 적극적으로 반영하고 있습니다. 이 표준의 내용을 ISO/IEC 27002와 함께 개인정보보호 분야의 통제대책으로 사용하면, ISO/IEC 27001의 인증을 받을 수 있도록 연계하는 방식이 ISO/IEC 27009라는 별도의 국제표준으로 개발 중입니다.

그 외에도 위험관리 단계에서 개인정보 영향평가(PIA)를 수행하기 위한 방법론을 ISO/IEC 29134로 표준화하고 있어서 개인정보보호를 위한 국제적인 기준을 수립하려는 노력이 계속되고 있습니다.

▲ 고려사이버대학교 박대하 교수

Q. 개인정보보호관련 인증 취득 시 기업들이 유념해야 할 사항은?

국제표준은 일반적으로 조직의 규모나 산업 분야에서의 포지션 또는 국가의 지리적 위치에 상관없이 공통적으로 적용될 수 있는 내용으로 구성됩니다. 따라서 ISO/IEC 27001과 같은 국제표준을 기반으로 개인정보보호관련 인증을 취득하고자 하는 기업은 단순히 표준에서 명시하는 문구에 의존할 것이 아니라 해당 기업의 특성이나 국가 법제도를 고려한 해석과 이에 따른 맞춤형 대책 수립이 요구됩니다.

예를 들어, 주민등록번호와 같은 고유식별정보의 암호화는 국제표준에서 필수적으로 요구하는 사항은 아니지만 국내 개인정보보호법에서는 의무사항이므로 국내 개인정보보호관련 인증뿐만 아니라 국제표준에 따른 인증을 취득할 때도 반드시 준수해야 하는 사항이 됩니다.

Q. 향후 ISO 국제표준에서 개인정보보호와 관련해 어떤 논의가 진행되고 있나.

ISO/IEC JTC1/SC27은 개인정보보호를 전담하는 작업그룹(WG5)을 두고 아이디 관리를 위한 프레임워크(ISO/IEC 24760), 생체인증 프레임워크(ISO/IEC 17922), 프라이버시 참조 프레임워크(ISO/IEC 29101) 등의 다양한 개인정보보호관련 기술을 표준화하고 있습니다.

최근에는 클라우드 서비스 환경에서 개인정보보호 통제를 위한 실무 지침을 ISO/IEC 27018로 개발 중에 있습니다, 또한, 개인 신원을 식별 및 확인하기 위한 지침을 제공하는 ISO/IEC 29003과 개인정보관리의 성숙도를 평가하기 위한 상위 수준의 지침으로 ISO/IEC 29190 개발에 착수하여 표준화를 진행하고 있습니다.

[김경애 기자(boan3@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)