정보 보안 실무 08 ISMS 정보 보호 관리 체계 도입과 인증 제도의 이해

정보 보안 실무 08 ISMS 정보 보호 관리 체계 도입과 인증 제도의 이해

미래창조과학부는 기업의 정보보호 역량을 강화하기 위해 정보보호 관리체계(ISMS) 의무 인증 대상을 카드사 등 개인정보를 대량으로 보유한 기업으로 확대하는 방안을 추진합니다. 미래부는 개인정보를 대량으로 보유·관리한 기업에도 ISMS 인증 의무를 부여하기 위해 ‘정보통신망법’을 개정했습니다.

미래부 관계자는 "최근 카드사의 개인정보 유출 사태가 터지면서 기업이 보유한 개인정보의 규모도 ISMS 인증 대상을 선정하는 기준으로 고려하기로 했다"며 "개인정보 대량 보유 기업은 카드사가 대표적"이라고 말했습니다. 또한 ”사실상 사회적으로 ‘개인정보’ 가 상당히 중요시되고 있고, 그 유출에 따른 피해가 기하급수적으로 증대되고 있는 시점이라, 조직에서는 개인정보에 대한 관리에 포인트를 많이 두고 있다.”며 “과거 개인정보는 기업에 입장에서 마케팅 등 사업적 수단으로 활용할 수 있는 중요한 수단이자 활용자산으로

인지가 되었다면, 최근 개인정보는 기업이 보호해야 할 핵심자산 1순위로 인식되고 있다.”고 말했습니다. 마지막으로 “조직에서 서비스를 제공함에 있어 필수적으로 필요한 핵심자산 즉 개인정보를 안전하게 보호하고 관리하기 위해 ‘정보보호 관리체계‘ 도입을 선택함으로써 체계적인 관리 및 지속적인 개선활동이 가능하다는 판단에 따른 것”으로 풀이됩니다.

ISMS는 정보통신망으로 서비스를 제공하는 사업자들이 일정 기준 이상의 기술·관리·물리적 보호체계에 관한 104개 기준을 통과하면 한국인터넷진흥원이 인증하는 제도인데요.

국내 실정에 맞게 정보보호 활동을 하기 위해 적용이 필요한 표준 통제사항을 104개 항목을 도출한 부분입니다. 하지만 104개 통제항목은 기업환경에 맞게 선택적 적용이 가능합니다. 예를 들어, 전산설비를 모두 외부 IDC 등을 아웃소싱을 하고 있다면, 전산실 보호규정에 필요한 통제사항들은 필수적으로 선택하지 않아도 됩니다. 이렇게 조직환경에 적합하게 선택한 통제사항을 적용하고 올바르게 실행하고 개선했을 때 주어지는 ‘인증서’라고 보시면 됩니다.

통신사, IT서비스 업체, 웹사이트 등 정보통신서비스로 연 100억 원 이상의 매출을 올리거나 하루 평균 이용자 수가 100만 명 이상인 사업자는 ISMS 인증을 의무적으로 받아야 합니다. 포털, 쇼핑몰, 은행, 증권사 등은 ISMS 인증 대상자에 포함되지만, 카드사들은 매출 100억 원, 이용자 100만 명 기준을 충족하지 않아 의무 대상자에서 제외되어 있습니다. ISMS 인증의무 대상이 확대되면서, 기업들은 이에 대응하기 위해 분주한 모습인데요. 의무화 대상으로 지정된 기업들은 성급하게 요식행위에 그치는 형태로 인증을 획득하는 것 보다, 의무화로 지정된 것을 기회로 삼아 기업 정보보호 활동을 보다 강화할 수 있도록 노력하는 자세가 필요합니다.

인증 프로세스 개요 및 준비 단계

1. 인증 프로세스 및 인증 심사 주기

인증 프로세스 개요 및 준비 단계

ISMS의 인증 프로세스 및 인증심사 주기에 대해 살펴보겠습니다. 먼저 인증은 총 6단계의 프로세스로 이루어집니다. 인증 준비 단계를 거친 후 ISMS의 구축과 최소 2개월간의 운영 단계를 지나 인증을 신청하고 심사를 받게 됩니다. 심사를 마친 후 결과에서 발견된 결함 사항에 대해 보완조치를 하고 이렇게 수립된 정보보호 관리체계를 지속적으로 관리하는 사후관리 단계를 밟게 됩니다. 인증심사 주기를 살펴보면, 최초 심사 후 1년 주기로 사후 심사를 2번 받은 후 인증서 갱신을 위한 갱신 심사를 받게 됩니다. 여기서 최초심사와 사후심사, 갱신심사에 대한 차이점을 살펴보면 최초심사는 조직이 관리체계를 수립하고 인증을 획득하고자 하는 범위에 대해ISMS에서 요구하는 사항을 충족했는지 체크하고, 현장점검을 보다 꼼꼼히 수행하여 PDCA Cycle 운영이 적절히 이루어지고 있는지를 확인합니다. 이후 인증서를 획득하게 되면, 차후 년도에 사후심사를 받게 되는데요. 사후심사는 인증취득 후에 정보보호 관리체계 PDCA Cycle을 얼마나 준수하고 있는지를 확인합니다. 주로 이행을 잘하고 있는지 여부를 확인한다고 보면 됩니다.

갱신심사는 인증서 유효기간이 만료되는 시기에 이루어지는 것으로, 3년이 되면 갱신심사를 통해 유효기간을 연장합니다. 이때 갱신심사는 최초심사와 같은 강도로 심사가 진행됩니다.

2. 인증 과정

인증 과정을 살펴볼까요? 신청기관이 한국인터넷진흥원, 한국정보통신진흥협회 등의 인증기관에 인증심사를 신청하면 사전심사를 하고 계약을 체결하게 됩니다. 이 후 인증기관은 인증심사팀을 구성하고 신청기관에 대한 인증심사를 하는데, 심사 결과로 결함사항이 도출됩니다. 신청기관은 일정 기간 내에 보완 조치 결과를 보고하고 심사팀에서는 이에 대한 확인을 마치고 결과보고서를 인증기관에 제출합니다. 인증기관은 인증위원회에 심사 결과를 상정하여 심의, 의결 되면 인증 신청기관으로부터 인증서를 발급받게 됩니다.

인증 준비는 어떻게 해야 할까요? 첫 번째 단계에서는 경영진, 추진팀, 그리고 필요에 따라 컨설턴트가 프로젝트팀을 구성하여 정보보호 관리체계 인증을 준비합니다. 프로젝트팀은 인증과 관련된 학습 및 정보수집을 수행하고 이를 바탕으로 기한과 예산을 파악합니다. 앞서 준비한 내용을 바탕으로 경영층은 미팅을 진행하고 ISMS 방법론에 따라 구축 계획을 수립하게 됩니다. 이렇게 수립된 계획을 추진하기 위해 추진팀에서는 추진 Report를 작성하여 보고하고, 다음으로 수행부서나 팀에서 해당 프로젝트를 수행하며 ISMS의 인증을 준비하게 되는데, 인증 준비 단계는 이와 같은 사이클이 반복적으로 진행 됩니다.

ISMS의 인증 범위는 전 조직을 대상으로 수립할 것을 권고하고 있으나 필요에 따라 범위를 지정할 수 있습니다. 특히 의무대상자의 경우 인증범위에 반드시 포함되어야 하는 조직, 자산, 인력 등에 유의하고 필요에 따라 한국인터넷진흥원과 범위선정에 대한 상담을 진행할 수 있습니다. 인증범위를 선정할 때는 사업범위, 조직구조 범위, 물리적 범위, 정보자산 범위, 적용기술 범위 등을 고려하게 되는데요. 하나의 가상의 기업을 예를 들어 설명해보겠습니다. 온라인/오프라인 매장을 통해 여성의류를 판매하는 기업이 있습니다.

이 기업의 사업범위는 온라인과 오프라인을 통해 의류를 판매하는 사업을 행하고 있습니다. 하지만, 기업의 매출구조를 살펴보니, 온라인 매출비중이 80%를 넘어서는 것으로 분석되었습니다. 그렇다면, 이 기업은 사업범위에 따라 온라인 매장을 인증범위로 선정할 수 있게 됩니다. 오프라인 매장을 포함하면 좋지만, 매출 대비 당장 보안에 투자해야 할 부분이 많다면, 단계적인 인증범위 확대가 필요합니다. 동일한 회사를 조직구조 상 범위를 고려한다면, 온라인매장을 운영하기 위해 존재하는 부서가 인증범위에 해당하게 됩니다. 인증범위 내 업무를 수행하는 인원들은 중심으로 정보보호 업무 역할을 정의하고, 그들에 적용되어야 할 통제를 식별할 수 있습니다. 물리적 범위는 해당 인원들이 근무하는 곳, 혹은 온라인 매장을 운영하기 위한 IT인프라가 위치한 장소 등을 포함하여 인증범위로 선정합니다. 온라인 매장 운영을 위해 필요한 물리적인 공간을 모두 포함한다고 보시면 됩니다. 식별된 물리적 범위에 적용해야 할 물리적인 접근통제 등을 고려하게 됩니다. 사전에 정보자산이 식별되어 있다면, 온라인매장 운영을 위해 사용되는 각종

정보자산을 파악하고, 해당 자산에 대한 올바른 보호대책을 세울 수 있도록 범위 식별 시 자산을 고려해야 합니다. 또한 온라인 매장 운영을 위한 적용된 기술의 범위를 고려하여 범위를 식별되어야 적용된 기술에 대한 안전성을 확보할 수 있게 됩니다. 이렇게 범위가 정의되면, 범위 내 존재하는 자산을 보다 명확하게 식별해 내야 합니다. 보호해야 할 대상을 명확하게 하기 위함인데요. 정보자산이 종이냐, PC내 존재하는 파일형태냐 등의 형태를 구분하고, 그 자산을 생산했거나, 책임을 맞고 있는 소유자가 누구인지, 관리는

누가하고 있는지를 고려해야 합니다. 정보자산 각각에 대한 소유자를 지정하지 않으면, 책임성 있는 역할을 배정하기가 어렵습니다. 더불어 정보자산의 특징을 명확하게 해야 적절한 보호대책을 수립하는데 도움을 줄 수 있습니다.

ISMS 구축 및 운영

1. ISMS 구축 절차

ISMS 구축 및 운영

ISMS 구축을 위한 절차는 정보보호 정책 수립 및 범위설정 등 5개 단계 과정을 거쳐 지속적으로 유지·관리되어야 합니다.

가장 먼저 조직 전반에 걸쳐 상위 수준의 정보보호 정책을 수립하고, ISMS 범위를 설정합니다. 정보보호 정책의 수립은 조직이 수행하는 모든 정보보호 활동의 근거를 포함할 수 있도록 정보보호정책을 수립하고, 동 정책은 국가나 관련 산업에서 정하는 정보보호 관련 법, 규제를 만족하여야 합니다. 최상위 수준의 정보보호 정책 수립은 먼저 최고경영자 등 경영진의 정보보호에 대한 의지 및 방향을 하고, 조직의 정보보호 목적, 범위, 책임을 져야 합니다. 그리고, 조직이 수행하는 관리적, 기술적, 물리적 정보보호 활동의 근거를

포함해야 합니다. 또한 정보보호 상위 정책을 시행하기 위한 세부적인 수행주체, 방법, 절차 등은 정보보호 지침, 절차, 매뉴얼 등의 형식으로 수립하여야 합니다. 마지막으로 기업에서 제공중인 사업(서비스)에서 조직이 준수해야 하는 정보보호 관련 법적 요구사항을 분석하고 정보보호정책에 이를 반영해야 합니다.

ISMS범위 설정의 경우 정보보호 관리체계 범위에는 사업과 관련된 임직원,

정보시스템, 정보, 시설 등 유 ∙ 무형의 핵심자산이 누락 없이 포함되어야 하며, 이를 명확히 정의하고 설명하여야 합니다.

그 다음, 정보보호를 수행하기 위한 조직 내 각 부분의 책임을 설정하고, 경영진이 참여할 수 있도록 보고 및 의사결정체계를 구축합니다. 정보보호정책의 제 ∙ 개정 승인 및 공표, 위험관리, 내부감사 등과 같은 중요한 사안에 대한 경영진의 의사결정 참여는 중요한 부분입니다. 따라서 이러한 의사결정에 대해 경영진의 책임과 역할을 정보보호 정책에 명시해야 합니다. 경영진의 참여는 직접 또는 권한 위임을 통해 가능하고, 그에 따른 보고체계를 갖추어야 합니다. 조직 구성적인 측면에서 최고경영자는 조직의 규모,

업무 중요도 분석을 통해 정보보호 관리체계의 지속적인 운영이 가능하도록 정보보호 최고책임자, 실무조직 등 정보보호 조직을 구성하고 정보보호 관리체계 운영 활동을 수행하는데 필요한 예산 및 인력을 확보해야 합니다.

다음으로 조직문화와 정보자산에 적절한 위험관리 전략과 계획을 수립하고 대응이 필요한 위험과 우선순위를 결정합니다. 또한 위험을 수용 가능한 수준으로 감소시키기 위해 필요한 정보보호 대책을 선택하고 구현할 계획을 수립합니다. 위험관리 방법 및 계획 수립은 관리적, 기술적, 물리적, 법적 분야 등 정보보호 전 영역에 위험관리 방법을 선정하고 이에 대한 전문성을 보장하기 위해 수행인원, 기간, 대상, 방법 등을 구체적으로 포함한 위험관리계획을 사전에 수립하여야 합니다. 앞서 수립한 위험관리 방법 및 계획에 따라 정보보호 전 영역에 대한 위험 식별 및 평가를 연 1회 이상 수행하고 그 결과에 따라 조직에서 수용 가능한 위험수준을 설정하고 관리해야 합니다.

그런 다음 정보보호 대책을 선택하고 구현할 계획을 수립하는데 이 계획에 따라 다음 단계에서 정보보호 대책을 효과적으로 구현하고 필요한 교육과 훈련을 진행하게 됩니다. 경영진은 정보보호대책이 이행계획에 따라 빠짐없이 효과적으로 이행되었는지 여부를 검토 및 확인하여 위험수준이 감소되었음을 보장해야 한다. '정보보호 대책명세서＇의 작성도 필요로 하는데, 이는 통제항목 선정여부, 운영 현황, 관련문서, 기록, 통제항목 미선정 사유 등을 포함해야 한다. 정책 신규 제정 및 개정이나 정보시스템 신규 도입 및 개선

등의 사항으로 정보보호 활동 업무에 영향이 발생하는 경우, 유관 부서 및 담당자에게 해당 내용을 공유하고 교육을 수행해야 합니다.

마지막은 사후관리 단계로 ISMS를 운영하는 과정에서 상시적인 모니터링과 정기적인 내부감사를 수행하게 되는데 이 결과에 기초하여 ISMS를 재검토하고 관리체계를 개선하게 됩니다.

ISMS의 구축 시 고려 사항을 살펴보면, ISMS운영과 관련된 부서의 내부인력과 경영자, 그리고 전문 컨설턴트인 외부 인력을 적절히 조합하여 ISMS수행조직을 구성하고 ISMS 정보보호 관리체계를 구축합니다. 또한 ISMS 구축 단계에서 상위 정보보호 규정을 수립할 경우 해당 기록을 유지하고 침입차단시스템과 침입탐지시스템 등의 최소한의 보안장비를 도입하는 것 또한 고려해야 할 사항입니다.

마지막으로 보호구역을 설정한 후 해당 구역에 통제권한을 할당하는 것 역시 고려되어야 합니다.

미래창조과학부 고시에서 정의한 ISMS 인증심사 기준인 정보보호 관리 과정과 정보보호 대책에 대해 알아보겠습니다. ISMS는정보보호에 관련된 위험을 통제하기 위해 정보보호 대책을 구현하고 관리하는 체계를 말하는데요. 정보보호 관리 과정은 정보보호

정책 수립 및 범위설정, 경영진 책임 및 조직 구성, 위험관리, 정보보호 대책 구현, 사후관리의 5단계로 이루어져 있으며 순환 주기의 형태를 가지고 있습니다. 이렇게 관리과정은 5단계 12개 통제사항으로 구성되어있고, 정보보호 대책은 정보보호에 관련된 위험을 통제하기 위한 13개 분야, 92개 통제사항을 제시하고 있습니다.

2. ISMS 운영 원칙과 범위

이번에는 ISMS 운영 원칙과 범위에 대해 살펴보겠습니다. 미래창조과학부 고시에 따르면 ISMS 인증 신청을 하기 위해서는 최소 2개월의 운영 기간이 필요하지만, 6개월 이상, 1년 정도의 운영 후 신청하는 것을 권장하고 있습니다. 이는 ISMS를 운영하고 구현의 효과성을 판단하기 위해 각종 정책과 절차가 안정적으로 적용될 수 있도록 하기 위해 서입니다.

인증에 필요한 기본적인 문서로는 정보보호 정책서, 위험분석, 평가 보고서, 정보보호 계획서, 정보보호 대책 명세서, 정보보호 관리체계 내부감사 결과 보고서, 주요 정보통신설비의 목록과 시스템 구성도, 정보보호 관리체계와 관련 있는 주요 문서 목록이 있습니다.

인증 신청 및 심사 단계

1. 인증 신청

인증신청 및 심사 단계

인증신청 및 심사 단계에서 먼저 인증신청에 대해서 살펴보겠습니다. 인증신청 시에는 신청공문의 제출을 통해 인증을 신청하게 되는데, 관련 근거를 제시하고 인증을 신청한다는 내용을 기재한 후 정보보호 관리체계 인증신청서, 정보보호 관리체계 명세서, 그리고 사업자등록증을 제출해야 합니다.

인증 준비를 통해 ISMS를 구축하고 운영한 후 인증을 획득하기 위해서는 ISMS 인증을 신청해야 합니다. 이 때 정보보호 관리체계 인증신청서, 정보보호 관리체계 명세서, 그리고 사업자등록증 또는 고유번호증을 제출해야 합니다.

ISMS 인증 신청서에는 신청인에 대한 정보를 명시하고 처음으로 인증을 신청하는 경우 최초심사 항목을 선택하면 됩니다.

정보보호 관리체계의 범위는 정보통신서비스를 기준으로 해당 서비스에 포함되거나 관련 있는 자산, 조직 등을 모두 포함해야 합니다.

종업원의 수는 범위 내 내부 및 외주 인력의 합산 수를 기재하시면 됩니다. 해당 내용 기재를 마치면 신청인의 성명과 서명 칸이 나오는데, 이 부분에는 인증 신청기관의 대표이사가 서명하게 됩니다.

신청 공문에 첨부해야 할 두 번째 서류는 ISMS 명세서입니다. ISMS 인증 명세서에는 범위, 정보통신 설비 목록과 시스템 구성도, 정보보호 관리체계 운영현황과 자산식별 기준, 취약점 점검 등에 관한 내용, 주요 문서목록, 타 인증취득 내용을 간략하게 서술하게 됩니다. 지금 설명 드리는 신청서는 홈페이지 isms.kisa.or.kr 의 자료실에서 다운받으실 수 있습니다.

2. 인증 심사

심사위원은 인증신청기관의 문서를 심사하게 되므로 인증신청기관은 정보보호 정책, 지침, 절차, 매뉴얼 등 ISMS 운영을 위해 필요한 문서 및 ISMS 인증 범위서와 정보보호 대책 명세서, 그리고 위험분석보고서, 내부감사 결과 보고서, 교육계획서 등 각종 보고서, 정보보호 계획서, 끝으로 각종 관리대장 등 이행증적 자료 등을 심사 준비 문서로 준비해야 합니다.

인증 심사위원은 심사기준 104개 항목에 대해 서면 및 기술심사를 수행하고 결함 보고서를 작성합니다. 이때, 문제 항목에 중결함과 결함 부분을 체크하게 되는데 중결함이란 심사기준을 만족하지 못하여 ISMS에 중대한 영향을 미치는 사항을, 결함은 심사기준을 만족하지는 못하지만, 보완 기간 내 개선이 가능한 사항을 말합니다.

인증 심사를 마치면 보완 조치를 해야 합니다. 신청기관은 30일 이내 보완조치가 필요한 결함사항에 대해 보완을 실시하고 이에 대한 내역서를 작성하게 됩니다. 또한 내역서에는 보완내용에 대한 증적 자료가 포함되어야 합니다. 보완내역서는 완료된 사항만을

기재해야 하며, 예정사항에 대한 기재는 피해야 합니다. 증적 자료는 문서의 일부, 물리적 장소의 사진, PC 화면 캡처 등이 가능합니다.

검토에 의해 보완조치 내역서에 따른 보완조치가 완료되었다고 인정된 경우 인증위원회를 개최하여 심의안건으로 보고합니다.

그리고 인증위원회에서 위원이 과반수 이상 출석하고, 2/3 이상 찬성을 할 경우 인증서를 발급하게 됩니다.

사후 관리 단계

1. 사후 관리 주요 점검 사항

사후관리 단계

사후관리를 위한 주요 점검 사항에 대해 살펴보겠습니다. 최초에 인증서를 교부 받은 후에도 사후 심사와 갱신심사를 위하여 지속적인 관리가 필요합니다. ISMS 운영 과정에서 결함사항이 발생했는지에 대한 기록이 필요하고, 인증서 사용이나 홍보에 있어서 인증 범위를 적절히 활용하고 있는지를 점검합니다. 그리고 지난 심사에서 결함 발견되었다면 이에 맞는 조치 계획서를 작성하고 계획 내용이 보완되고 반영되었는지 점검하고, 위험평가의 고위험 영역, 일반적으로 발생하는 미흡사항 등에 대한 점검이 필요합니다.  

2. 단계 별 신청 기관 역할

지금까지 ISMS의 구축과 인증을 위한 절차에 대해 알아보았습니다. 그럼 각 단계에서 인증신청기간과 인증기관이 수행하는 역할을 확인해 보세요.