세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
국제표준 WG1, 2018년 사이버보험 본격 ‘시동’
  |  입력 : 2017-12-29 11:35
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
ISO/IEC JTC 1/SC 27/WG1(ISMS)의 2017년 성과와 2018년 향후 전망

[보안뉴스= 오경희 한국 WG1 대표] 한국은 과학기술정보통신부 국립전파연구원에서 구성·운영 중인 정보보안 전문위원회를 통해 ISO/IEC JTC 1/SC 27(IT Security techniques) 국제표준화 활동을 수행하고 있다. JTC 1/SC 27 산하에는 5개의 작업반(WG)이 있으며, 이 중 WG1(Working Group 1)은 정보보안 경영시스템(Information security management systems, 이하 ISMS)에 관련된 표준을 개발하기 위한 작업반이다.

[이미지 = iclickart]


1. ISO/IEC JTC 1/SC 27/WG1 표준화 업무 개요
WG1에서는 흔히 ISO/IEC 27000 패밀리라고 부르는 정보보안 경영시스템 관련 표준을 개발한다. ISMS란 조직의 중요 정보를 안전하게 관리하기 위해 사람, 프로세스, IT 시스템에 위험관리 프로세스를 적용하는 체계적 접근 방법이다. 조직의 정보보호 관리체계를 체계적으로 수립‧운영하고 있다는 것을 국제적으로 인정받고자 하는 수요가 전 세계적으로 확산추세에 있다. 실제 2017년 ISO 조사결과에 따르면, 2016년 12월 31일자로 3만 3,290개 기관이 ISO/IEC 27001 인증을 받고 있으며, 국내에는 364개 인증서가 발행돼 있다.

27000 패밀리 표준은 3개의 군으로 나누어진다. 첫 번째 ‘지침’ 군에는 공통 용어를 다루는 27000, 통제 실무지침을 제공하는 27002, ISMS 구현을 위한 27003, 정보보안 수준파악을 위한 척도와 측정에 관한 27004, 정보보안 위험관리에 관한 27005, 사이버 보험을 다루는 27102가 포함된다.

두 번째 ‘인정, 인증 및 감사’ 군에는 인증기관의 인정에 대한 지침인 27006, 감사자를 위한 지침 27007, 정보보안 통제 평가를 위한 27008, 정보보안경영 전문가 자격 요구사항 27021이 있다.

세 번째로 ‘분야별 적용’ 군이 있다. 여기에는 27001의 분야별 적용 요구사항인 27009가 포함되며, 분야 간 및 조직 간 소통을 위한 27010, 통신 분야 보안을 위한 27011, 27001과 20000-1(서비스 관리 시스템 요구사항)의 통합 구현을 위한 27013, 정보보안 거버넌스를 위한 27014, 클라우드 보안을 위한 27017, 에너지 유틸리티 분야를 위한 27019, 사이버 보안 표준인 27103이 포함된다.

2. 2017년 한국 WG1 활동
한국 WG1 대표는 TCA서비스의 오경희 대표가 맡고 있으며, 한국 SC 27 대표위원인 박태완 대표, 중앙대학교 김정덕 교수, 고려 사이버대학의 박대하 교수가 WG1에서 활동하고 있다. 오경희 대표는 2014년부터 개발된 ISO/IEC 27021 정보보안경영 전문가 자격요건 표준을 제안해 2017년 10월 베를린 회의에서 결정된 ISO/IEC 27021 표준 발행 승인까지 주도적 역할을 했다. 이를 통해 이 표준에 2016년 국내에서 개발한 국가직무능력표준인 정보보호관리‧운영 직무의 요건을 반영시켰다. 이 27021 표준은 향후 정보보안경영 전문가의 인증에 활용될 예정이다.

박태완 대표는 분야별 27001 인증을 위한 메타 표준인 27009의 에디터로서, 현재 진행중인 ISO/IEC 27009의 조기 개정작업에도 계속 참여하고 있다. 기존의 ISMS 인증은 27002 통제 지침을 이용하여 27001의 요건을 만족하는지를 확인하는 형태로 진행되었으나, 이제는 27009에서 제시한 요건에 따라 기존 개발된 분야별 통제 지침을 이용해 ISMS 인증을 부여할 수 있게 된다. 이미 27011, 27017, 27019를 이용한 인증 표준의 예를 SD(Standing document)로 발행하였으며, PKI, 공급망, 복권, 식품 안전 등의 분야에서 27009에 따른 인증 요구가 나타나고 있어 향후 분야별 ISMS 인증 활성화가 기대되고 있다.

3. 2018년 한국 WG1 전망
한국은 27009(박태완), 27011(오경희), 27014(김정덕), 27021(오경희) 등의 표준 개발 및 클라우드 Study Period(박대하) 등에 에디터 및 라포처로 참여하는 등 능동적으로 활동하고 있으나 WG1에서는 많은 수의 표준이 개발되고 있어 개발 표준 수 대비 참여 인력의 부족으로 어려움이 있다.

2018년에는 이미 언급한 분야별 표준 개발 중에서도 2017년 개시된 사이버 보안 분야의 표준이 본격적으로 진행될 것으로 예상된다. 이미 사이버 보험에 관한 표준인 27102가 개시되었으며, 사이버 보안 분야에 관련된 기존 표준들을 조사하는 기술보고서인 27103이 2018년에 발행될 전망이다. 또한 이 분야에 어떤 표준을 개발할 필요가 있는지에 대한 연구가 진행되고 있다. 이에 따라 사이버 보안 관련 전문가들의 많은 참여가 요구된다.

앞으로도 한국은 정보보안 환경 변화에 대응하면서 국립전파연구원의 전문위원회 등을 통한 체계적 대응으로 국제표준화를 선도해 나갈 뿐만 아니라 선진 정보보안 기술을 국내 국내 산·학·연에 전파하기 위해 더욱 노력할 것이다.
[글_오경희 한국 WG1 대표/TCA서비스 대표(khoh@tcaservices.kr)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
국내 정보보호 분야 주요 사건·이슈 가운데 정보보호산업에 가장 큰 영향을 미친 것은 무엇이라고 생각하시나요?
2001년 정보보호 규정 포함된 정보통신망법 개정
2003년 1.25 인터넷 대란
2009년 7.7 디도스 대란
2011년 개인정보보호법 제정
2013년 3.20 및 6.25 사이버테러
2014년 카드3사 개인정보 유출사고
2014년 한수원 해킹 사건
2017년 블록체인/암호화폐의 등장
기타(댓글로)