ISMS 인증을 받으려면 어떤 보안솔루션을 구축해야 할까요?

2015년 ｢정보통신망 이용촉진 및 정보보호 등에 관한 법률｣ 개정으로 ISMS 인증 대상이 매출 또는 세입이 1,500억 원 이상인 기업과 기관으로 확대되었습니다. 웬만한 규모의 기업과 기관들은 모두 보안을 소홀히 할 수 없도록 법이 점차 강화되고 있는데요. 여러분이 속한 곳도 지금은 ISMS 인증 대상이 아닐지라도 추후에는 ISMS 인증 대상이 될 가능성이 많습니다.

ISMS 인증을 위해서가 아니더라도 보안을 위해서 지켜야 할 사항은 무엇인지, 어떤 보안시스템을 구축해야 하는지 미리 알아둔다면 향후에 보다 쉽고 안전하게 여러분의 기업과 기관을 지킬 수 있을 것입니다. 이번 포스팅에서는 ISMS에서 요구하는 각 항목에 대해 어떤 보안솔루션을 이용하여 대응할 수 있는지 소개해 드리려고 합니다.

ISMS 통제항목 중에서도 보안솔루션과 밀접한 항목은 ‘물리적 보안, 시스템개발보안, 암호통제, 접근통제, 운영보안’입니다. 다음에서는 해당 항목 위주로 어떤 보안솔루션이 필요한지 알아보겠습니다.

물리적 보안

ISMS 보호대책 ‘7. 물리적 보안’ 항목에는 3개의 세부영역에 9개의 세부통제항목이 있습니다.

특히 전산장비가 설치된 전산실, 데이터 센터의 물리보안 설비에 대해서는 ｢정보통신망 이용촉진 및 정보보호 등에 관한 법률｣ 제46조 및 같은 법 시행령 제37조제2항에 따른 ｢집적정보 통신시설 보호지침(미래창조과학부 고시)｣에서 좀더 자세한 가이드를 제공하고 있습니다.

따라서, 전산실이나 데이터센터를 구축할 경우에는 ISMS의 물리적 보안 통제항목뿐만 아니라 ‘집적정보통신시설보호지침’에서 요구하는 항목까지도 고려하는 것이 좋습니다.

다만 전기, 소방, 조명 등의 설비는 보안부서보다는 건물•시설을 관리하는 부서나 환경•안전부서 등에서 관리하는 것이 보통입니다.

시스템 개발 보안

ISMS 보호대책 ‘8. 시스템 개발 보안’ 항목에는 3개 세부영역에 10개 세부통제항목이 있습니다.

시스템 개발을 위해서는 먼저 보안성 검토를 통해서 해당 시스템에 필요한 보안 요소가 사전에 잘 반영되어 있는지 점검을 하는 것이 중요합니다. 시스템이 개발•구축된 이후에 뒤늦게 수정•개발하게 되면 추가 비용이 많이 소요되니 사전에 충분히 보안 검토가 이루어져야 합니다.

특히, 최근에는 ‘Secure Coding’이라고 하여 안전한 프로그램 개발이 중요시 되고 있으므로, 소스코드취약점점검도구 등을 통해서 보안취약점을 제거하고 시스템을 구현할 필요가 있습니다.

암호통제

ISMS 보호대책 ‘9. 암호통제’ 항목에는 2가지 세부통제항목이 있습니다.

개인정보보호를 위해서는 암호화가 필수이니 DB암호화솔루션 등을 통해서 법에서 요구하는 개인정보는 반드시 암호화하여 저장하는 것이 필요합니다. 암호화에 사용되는 암호키에 대해서도 암호키 관리절차 수립 등을 통해서 안전하게 관리해야 합니다.

접근통제

ISMS 보호대책 ‘10. 접근통제’ 항목에는 4개 세부영역에 14개 세부통제항목이 있습니다.

서버나 응용시스템, DB 등에 대한 접근통제와 ID와 패스워드, 인증서, OTP(One Time Password), 생체인식(지문, 홍체 등)을 통한 사용자 인증을 수행해야 합니다. 그리고 비밀번호는 일정 자리 이상으로 특수문자, 영문자, 숫자를 조합하여 주기적으로 변경시킴으로써 쉽게 추측하지 못하도록 해야 합니다.

특히 개인정보를 다루는 직무자의 PC는 인터넷과 분리하는 망분리를 통해서 외부로 개인정보가 유출되지 못하도록 보안시스템을 구축해야 합니다.

또한 최근에는 스마트폰의 보급화로 모바일기기를 통한 정보유출 위험이 증가하고 있으므로 무선인증, WIPS(Wireless Intrusion Prevention System, 무선방화벽), MDM(Mobile Device Management) 등 모바일기기에 대한 보안에도 유의해야 합니다.

운영 보안

ISMS 보호대책 ‘11. 운영보안’ 항목에는 6개 세부영역에 22개 세부통제항목이 있습니다.

운영 보안을 위해서라도 먼저 취약점스캐너를 통해서 서버, 네트워크 장비, 응용시스템, DB 등에 대해서 안전하게 구축되어 있는지 확인한 후, 보안취약점을 제거하는 작업이 중요합니다. 보안취약점스캐너 같은 솔루션이 없다면, 정보보호전문업체의 보안취약점진단 전문인력을 통해서 적어도 1년에 1회 이상 주기적으로 취약점 점검 및 제거 작업을 수행하는 것이 좋습니다.

침해사고에 대한 신속한 탐지를 위해서는 ESM(Enterprise Security Management, 통합보안관리시스템), SIEM(Security Information and Event Management, 보안정보이벤트관리)을 구축하여 통합보안관제모니터링을 수행하는 것도 필요합니다. 자체적인 보안관제시스템 구현이 어렵다면 보안관제서비스를 제공하는 업체를 이용하는 것도 하나의 방법입니다.

무엇보다도 운영에서 가장 중요한 점은 정기적인 보안취약점에 대한 점검 및 시정조치 활동을 지속적으로 하는 것입니다. 새로운 시스템들이 구축되고, 신규 보안취약점도 지속적으로 발생되기 때문에 지속적인 점검과 개선활동이 필요합니다.

결언

ISMS 인증을 위해 필요한 보안솔루션을 정리해보겠습니다.

일부 솔루션은 ‘필수’로 분류해야 할지 ‘권고’로 해야 할지 애매하지만, 다수의 보안솔루션이 필요한 것은 사실입니다. ISMS 인증을 위해서는 통제항목에 대한 증적자료가 필요한데요. 이러한 증적자료를 효과적으로 등록 관리할 수 있는 ‘정보보호활동 증적관리 시스템’도 있습니다.

물론 보안솔루션이 없어도 ISMS 인증에 대응할 수 있는 방법은 있을 것입니다. 하지만 이를 위해서는 인원과 시간이 많이 소요됩니다. 따라서 ISMS 인증 대비뿐만 아니라 보안침해사고 예방 및 신속한 대응을 위해서라도 최소한의 적절한 보안솔루션 구축은 필요합니다. 본인이 속한 기업과 기관에서 현재 필요한 보안 요소를 잘 파악하여 그에 맞는 적절한 보안솔루션을 구축하는 것이 좋습니다.

LG CNS는 다수의 기업과 기관에 ISMS 인증 보안컨설팅뿐만 아니라, 네트워크 및 시스템에서부터 물리•융합보안 영역에 이르는 ISMS 관련된 전 영역의 보안솔루션에 대한 선정 및 구축 경험을 가지고 있습니다. 언제라도 여러분들에게 필요한 최적의 보안솔루션을 제안•구축해 드리겠습니다.

글 | LG CNS 보안컨설팅팀

[‘보안, 이렇게 하면 된다’ 연재 현황]

• [1편] ISMS 의무인증 대상 확대! 어떻게 대응해야 할까?
• [2편] ISMS 인증을 위한 보안솔루션 구성 방안
• [3편] ISMS 인증 주요 결함사항 및 대응방안
• [4편] 정보보호 관련 인증 및 평가 제도
• [5편] 스마트폰의 보안 위협과 대응 방안
• [6편] IoT 보안 취약점 사례 소재 및 취약점 진단
• [7편] 스마트폰 앱 서비스 보안의 현재와 미래
• [8편] 중국 개인정보 보호법 제도 동향 및 대응방향
• [9편] 출입 보안을 위한 보안 설계
• [10편] 소프트웨어 개발 보안 – 시큐어 코딩
• [11편] 당신의 출입카드는 안녕하십니까?
• [12편] 통합 보안 관리 동향 및 활용 방안
• [13편] 비대면 실명인증이란 무엇인가?
• [14편] 프로젝트에서 소스 코드 보안 점검하기
• [15편] 차세대 행위 기반 위협 탐지 방식에 관하여
• [16편] 핀테크 보안 위협과 대응 방안
• [17편] 인공지능과 보안
• [18편] ‘보안은 제품이 아니라 절차다!’라는 말의 의미
• [19-1편] 인증의 완성판 생체인증에서 다중 생체인증까지 ①
• [19-2편] 인증의 완성판 생체인증에서 다중 생체인증까지 ②
• [20-1편] 중국 네트워크 안전법 분석 및 대응 방안 ①
• [20-2편] 중국 네트워크 안전법 분석 및 대응 방안 ②
• [21편] 유전자 정보 보안 안전한가?