ISO 27001:2022 인증 전환

주요 업데이트, 위협 인텔리전스, 데이터 보안 및 컴플라이언스의 의미

---

ISO-27001:2022 전환을 위한 고객사 컨설팅 2주 차로 접어들기 전 한 주 내내(1일 출근) 원격근무를 하면서 컨설팅 내용을 정리했다. 그 결과, '문서화'가 가장 중요하다는 것을 이번 인증 심사의 뼈대를 발라내면서 깨달았다.

새로 추가된 항목이 9가지가 있으며, 통폐합되면서 기존 114개 항목에서 93개로 통합되어 줄었다. 여기에 추가된 항목들은 조직 및 기술적 보안에서 민감정보에 대해 조직이 어떻게 관리하고 있으며(기존 인증 지침), 그리고 이 위협정보에 대한 사고가 내외부에서 어떻게 예방하는지에 대한 아래 5.07 항목을 시작으로 11가지 통제항목이 추가되었다.

기존에 DLP(데이터 노출 방지) 솔루션을 사용하고 있더라도, 여기서 수집되는 '위협 지표'를 조직의 자산관리자(보안팀이나 경영조직위)에게 공급(배포)까지 이루어지고 있는지에 대한 증적이나 기록물을 문서화해야 하는 게 5.07 항목의 주안점이다.   

 

Threat Intelligence라는 거창한 문구가 대뜸 추가되어서 2022 버전으로 전환하는데 대략 난감함?

이 '위협 지표'라는 게 반드시 보안솔루션이나 조직의 인프라 보안을 목적으로 구축한 관제시스템(SIEM)에서 수집되는 공격자의 정보(IP, URL, DNS...)만을 일컫는 게 아니다. 이를 테면, 조직이 특정 협업툴을 사용한다고 해보자. 이 조직에서 사용하는 공급업체의 커뮤니티나 메일수신을 통해 조직의 관리자에게 외부에서의 사이버 공격에 대한 특정 정보를 보내주면, 이것 또한 '위협 지표'에 해당된다.

하지만, 정보통신이나 민감정보를 취급하는 업체를 제외하곤 외부나 내부의 위협 요소에 대해 미리 정책적으로 공급업체의 툴을 통해 예방하는 경우는 드물 것이다. 또한 사고가 터졌을 때 어떻게 대응하는지에 대한 프로세스를 수립해서 절차서나 지침서를 미리 마련한 경우는 더더욱 드물 것이다.

ISO-27001:2022 가 이 부분에 대해서 클라우드나 비즈니스 연속성(재난 복구, BCP) 그리고 민감정보 파기 및 마스킹 처리 등 개인정보 및 민감정보에 대해서 초점을 맞추고 개정된 인증 표준이라고 생각하면 된다.

더욱이 회사가 유럽의 고객사를 두고 여기에 타기팅을 한 수출업체라면 유럽의 GDPR이라는 일반 정보 보호 법규 가이드라인을 토대로 ISO-27001의 인증심사에 준하는 문서화를 수행해야 한다.

좀 더 넓은 범위에서 이 인증과 빅데이터 산업 간의 관계를 살펴보면, 한국의 보통 무수한 기업들이 현재 규모를 떠나서 창립 이후 고객으로부터라던지 제품을 양산하고 출하 그리고 소비되면서 수집되는 무수한 데이터들이 지금까지 개인정보나 민감정보 보호 관점(Framework)에서 들여다보지 않았다.

하지만 당사자의 동의와 무관하게 지금까지 자체적으로 수집된 원본(Raw) 데이터들이 따로 파기가 되지 않았더라면, 기업들은 이러한 데이터들을 통해서 어떤 가시적이고 유의미한 결과를 도출할 수 있도록 사용할 수가 있다. 그와 더불어, 데이터 분석가 혹은 데이터 과학자들은 이제는 자기도 모르게 수집해서 분석할 수 있는 권한을 함부로 남용할 수가 없는 시대가 지금 AI와 함께 밥 먹고 살 수 있는 시대인 것이다.

그럼으로써 또한 공공의 목적으로 개인 민감 정보를 사용하겠다는 명분만이 필요한 게 아니라, 그 데이터를 사용함으로써 어떤 결과가 초래할지도 모른다는 책임 또한 요구되는 게 앞으로의 디지털 데이터 산업이다. 그 데이터가 비단 힘이 없는 서민들로부터 수집되어서 어떤 공익을 유치했다 하더라도, 이제는 엄연히 이것을 법적인 잣대로 따져서 데이터 소유와 남용에 대한 엄격한 처벌이 가해질 수 있다.

일반 변호사나 기술 전문직이 또는 문외한의 전문가들이 혼자서 할 수 없는 영역이기에 데이터 보호와 관련한 사이버 보안 전문가가 자신의 전문영역을 더욱 확장시킬 수 있고, 앞으로 공공영역뿐만 아니라 기업에서 수요가 많아질 수밖에 없다. 왜냐하면, 인증받아야 과징금 안 먹고 장사할 수 있으니깐.