과거에는 기업의 정보보호 관리체계와 그것에 대한 인증을 평가하는 체계가 이원화돼 있었습니다. 그래서 유사한 보안 관리 및 통제임에도 불구하고 기업에서는 별도의 인증심사를 실시할 수밖에 없었죠. 이로 인해 관련한 법령과 소관부서가 각각 분리돼 재정, 인력의 부담이 발생했습니다.
이와 관련해 정부 부서에서는 정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시(시행 2018. 11. 7)를 발표하고, 통합을 추진했습니다.
이번 글에서는 정보보호 관리체계 인증제도의 목적을 포함해 제도를 소개하고, 인증제도의 통합 과정과 통합 후 달라진 부분을 다루겠습니다. 그리고 마지막 부분에서 최근 산업 및 컴플라이언스 동향에 따른 인증심사의 흐름에 관해서 이야기해보겠습니다.
먼저 우리가 ISMS-P라고 부르는 『정보보호 및 개인정보보호 관리체계』 및 인증제도에 대해서 리마인드 해보겠습니다.
ISMS-P(ISMS 포함)의 경우, 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제47조(정보보호 관리체계의 인증)에 근거해 대상이 되는 기업은 인증을 필수로 받아야 하는 법적 준수 사항입니다.
해당 인증 심사는 기업이 중요한 정보에 대해 가장 기본적으로 보호해야 하는 관리 체계를 갖추고, 지속해서 관리하고 있다는 의미입니다. 그리고 물리, 기술적인 보안의 보호 대책 요구사항을 구현하고 개선하고 있다는 가장 기본적인 전제라는 의미죠. 해당 인증 자체가 100% 보안을 담보한다는 의미는 아닙니다.
ISMS-P 인증기준
두 번째로 이런 인증제도의 통합 과정 및 그 영향에 대해서 소개하겠습니다.
정보보안 사고 및 개인정보 유출로 인해 기업의 정보보호에 대한 관리가 필요했는데요. 이에 정보통신망법, 개인정보보호법 등을 통해 기준을 마련해 인증심사를 수행하고 있었습니다. 그런데 이중 심사 및 조직의 관리로 인한 불합리한 점으로 인해 인증에 대한 통합이 꾸준히 이루어져서 개인정보와 정보보호에 대한 인증이 ISMS-P로 통합됐습니다. *정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시(과학기술정보통신부 고시)(제2018-80호)
그동안의 인증제도 통합 이력은 아래와 같습니다.
새로 인증을 받는 기업은 ISMS 또는 ISMS-P 중 위 기준에 맞춰 선택해 인증심사를 준비할 수 있습니다. 아래의 부칙 제4조에 의해 희망하는 경우 19년 5월까지는 기존 인증 기준으로 신청이 가능한데요. 이에 해당하는 기존 인증 기준인 (구)ISMS, (구)PIMS 인증 기업의 경우는 갱신(최초 인증 후 3년 차에 해당) 전까지는 기존 심사 기준으로 유지가 가능합니다. 최대 2번의 사후 심사 기간을 고려하면 이는 2022년 이후에는 없어질 인증 기준이 될 예정입니다.
부칙 제4조
제4조(신청인에 관한 경과조치)
신청인은 희망하는 경우 고시 시행 후 6개월까지 이 고시에 의한 인증기준 대신「정보보호 관리체계 인증 등에 관한 고시」 또는 「개인정보보호 관리체계 인증 등에 관한 고시」의 인증기준으로 인증심사를 받을 수 있으며, 고시 시행 이전의 인증기준으로 인증심사를 받은 자는 인증서의 유효기간까지 기존 인증기준으로 사후심사를 받을 수 있다.
기존 제도와 통합 제도에 대한 영역별 변경 사항은 아래 표를 참조 바랍니다.
통합 후 ISMS-P 인증 심사는 2가지로 구성되어 있습니다.
- ISMS : 기존의 ISMS 의무대상 기업 및 기관으로, 개인정보를 보유하지 않거나 개인정보 흐름의 보호가 불필요한 조직 등에서 인증받을 수 있습니다.
- ISMS-P : 보호하고자 하는 정보서비스가 개인정보의 흐름을 가지고 있어, 개인정보 처리 단계별 보안 강화가 필요한 조직입니다. 만약 기존 PIMS 인증을 유지하고자 하는 기업은 ISMS-P 인증을 받아야 합니다.
위에서 명시한 바와 같이 기존 ISMS 104개, PIMS 86개의 인증 기준이 있었으나, 102개 인증기준(관리체계 16개, 정보보호 대책 64개, 개인정보 처리 22개)으로 통합해 유사중복 요소가 간소화됐습니다. ISMS와 PIMS를 모두 받는 기업의 경우, 중복을 포함해 190개의 항목에서 102개로, ISMS만 받는 기업의 경우 104개에서 80개로 감소하는 효과가 발생했습니다.
또한 20년 5월 정부 정책 보도에서 ISMS-P 통합 본격 시행(19년 5월) 1년 후 통합 인증 기업 59개 기준 기업당 평균 1천만 원 절감됐다고 보도했습니다.
관련 정책 보도 : https://www.korea.kr/news/pressReleaseView.do?newsId=156389043
마지막으로 산업 및 컴플라이언스 동향과 인증심사의 흐름에 대해서 이야기하고자 합니다.
아래 표와 같이 몇 가지 구분에 따른 동향과 이에 영향을 받는 심사 기준에 대해서 정리할 수 있습니다.
이러한 동향에 맞춰 다양화된 환경에서 분야별 보안 관리체계에 대한 인증도 다양화되고 있는데요. 그중 몇 가지 콘텐츠를 살펴보겠습니다.
첫 번째, 클라우드 서비스 및 인프라 환경입니다.
클라우드의 경우, 클라우드 서비스 사용자 입장과 공급자 입장에서 볼 수 있습니다.
먼저, 공급자의 입장에서는 『클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률』 제23조 제2항에 따라 클라우드 서비스 인증을 받는 클라우드 보안 인증제를 통해 신뢰성을 검증받을 수 있습니다.
대부분의 기관이나 기업 같은 사용자 입장에서는 클라우드 보안 인증을 받은 업체의 클라우드 서비스를 이용하도록 주의해야 합니다. 그리고 안정적인 서비스와 해당 사업에 적용된 법률의 조건을 만족하는지 사전에 검토해야 합니다.
사용자 입장에서 클라우드 인프라 도입 시 보안에 관련된 부분은 자사 기존 블로그에서 관련 자료를 참조 바랍니다.
☞ 기업 필수템 ‘DX’ 클라우드 보안 운영 사례에 주목! (2021.11.12)
☞ 금융클라우드 구축부터 금감원 보고서까지, LG CNS에 맡기세요 (2021.8.18)
☞ 클라우드 속 고객 데이터, LG CNS가 철통 경계한다 (2021.2.18)
☞ 클라우드 도입 전 꼭 알아야 할 ‘클라우드 보안 ②’ (2020.6.9)
☞ 클라우드 도입 전 꼭 알아야 할 ‘클라우드 보안 ①’ (2020.6.2)
☞ 클라우드 보안 체계 수립 및 보안 모니터링 방안 (2019.11.14)
☞클라우드 보안 사고 사례 및 보안 관리 책임 (2019.11.11)
두 번째로 코로나19로 인한 재택근무의 증가에 따른 보안 취약점 관리입니다.
ISMS 심사 시 나오는 결함으로는 접근통제 영역과 함께 최근에는 EOS에 따른 보안 취약점, 최신 컴플라이언스를 반영하지 않은 부분, 망 분리 의무 대상이나 적용이 미흡한 경우, 망 연계에 대한 보호조치 미흡 등이 있습니다.
특히, 코로나로 가능한 모든 영역의 업무가 재택근무로 급격히 전환됐으며, 원격접속을 위한 VPN 장비의 취약점을 노린 공격도 증가했습니다.
해커, 국내 대기업 계속 노리나? 다크웹서 내부 네트워크 침투용 VPN 계정 판매
https://www.boannews.com/media/view.asp?idx=95263
ISMS 인증 심사에서도 안전하지 않은 원격접속에 대한 결함이 도출될 수 있습니다.
재택근무를 위한 기본 체계 수립이나 솔루션 도입을 통한 구축은 했으나, 접근 가능 대상에 대한 설정이 누락된 것인데요. 또한 2 Factor 인증이 적용되지 않는 등 중요한 정책 설정 미흡 등이 지적되고 있습니다.
이에 따라 재택근무 환경에서 기업은 알려진 VPN 취약점에 대한 최신 패치를 수행하고(2.10.8 패치 관리), 원격접속 시 안전한 보안 환경 설정(2.6.6 원격접근 통제), 이중 인증 강화, 주기적인 패스워드 변경(2.5.3 사용자 인증) 등을 강화해야 합니다. 그리고 협력사를 포함해 지속적인 임직원 보안 교육을 수행해야 합니다.
세 번째로 금융권의 특징을 반영한 ISMS-P 인증 항목입니다.
적용 대상은 전자금융거래법, 신용정보법 적용 대상이 되는 금융회사 및 전자금융업자인데요. ISMS와 PIMS가 통합되는 시점에 금융권에 적합한 인증 점검항목 개발의 필요가 대두됐습니다. 그래서 이를 금융보안원에서 개발해 금융권 심사 시 적용하고 있습니다.
기존 ISMS-P의 인증기준 102개는 동일하며, 금융권 세부점검항목이 325개에서 관련 법령과 지침을 고려해 384개로 추가 확대되었습니다. (아래 표)
세부점검항목 관련 적용 법규 및 지침
금융권 세부점검항목 예시 (보호대책 요구사항)
마지막으로 가상화폐 사고에 따른 ISMS-P 인증의 동향을 알아보겠습니다.
재테크의 한 방법으로 가상화폐에 투자하시는 분들도 계실 듯한데요. 몇 년 전부터 가상화폐 거래소의 잇따른 보안사고로 인한 피해의 규모가 커지고 있습니다. 이런 상황에서 특정 금융거래정보의 보고 및 이용 등에 관한 법률(특정금융정보법)이 개정됐죠. 이에 가상자산사업자가 갖춰야 할 최소한의 세 가지 조건(은행을 통한 실명 확인 계좌의 확보, ISMS 통과, 특정 조건에 해당하는 거래에 대한 보고)이 의무화됐습니다.
이에 KISA에서는 20년 11월 가상자산사업자용 세부점검항목을 공지했고, 설명회를 진행했습니다.
특정금융정보법의 시행(21년 9월 25일)을 앞두고 많은 가상자산사업자가 ISMS 인증 심사를 신청했고, 심사를 했지만 열악한 정보보호 환경(인력, 비용, 구조 등)으로 인증심사 기준을 충족시키지 못하는 경우가 발생했습니다. 그로 인해 인증이 보류된 사업자도 발생했죠.
ISMS 인증을 마쳤으나, 나머지 조건을 만족시키지 못한 사업자는 원화마켓은 거래할 수 없고, 코인마켓만 운영할 수 있는데요. 그래서 4개 사업자를 제외하고, 나머지 거래소는 원화마켓 운영을 중지하거나 폐업할 예정입니다.
21년 9월 17일 기준 ISMS 인증을 마치고 신고 기준을 모두 사업자는 4개(업비트, 빗썸, 코인원, 코빗)로 확인돼 나머지 거래소의 잇따른 폐업이 예상됩니다.
코인 거래하시는 분이 계신다면, 보안담당자가 아닌 이용자로서 금융위원회의 유의사항 안내를 확인하시기 바랍니다.
https://www.fsc.go.kr/no040101?cnId=902
위에서 정보보호 및 개인정보보호 관리체계 인증의 기본 목적에 관해서 기술한 바와 같이 ISMS-P 인증 심사는 기업이 개개인의 정보를 안전하게 관리하고 있다는 가장 기본이 되는 체계를 공식적인 기관에 의해서 인증받는 것입니다. 그렇기에 모든 보안 관리 체계의 Zero Base로 삼아야 합니다. 하지만 인증 기관은 인증 후 기본적으로 지속적인 관리 및 새로운 침해 유형에 대한 예방 체계를 끊임없이 발전시켜야 하는데요. 그렇기 때문에 관리 체계 인증만으로 100% 안전한 보안을 보장할 수 있다는 생각은 위험하다고 볼 수 있습니다.
다양한 산업별 특성과 IT 트렌드를 반영한 보안체계에 대한 인증심사도 클라우드 인증, ISMS-P 인증 통합, 산업별 특성을 반영한 세부점검항목 개발 등 다양하게 발전하고 있습니다. 이에 따라 정보보안, 개인정보 보안을 우선으로 노력하고자 하는 기업도 보안 인증제도를 활용해 사전에 관리체계를 수립해야 합니다. 또한, 보호조치 통제를 통해 지속해서 취약한 부분을 관리하고, 개선하고자 하는 노력을 기울여야 합니다.
글 ㅣ LG CNS 사이버시큐리티팀
