ISO표준 '보안관리'의 중심, SC27 WG1

ISMS = '보안관리' for information area only!

ISO/IEC JTC1 산하의 SCs 중 그 이름에 'Security' word가 유일하게 들어간

SC27 및 WG1을

관리체계(Management System)의 관점에서 살짝 더 살펴보겠습니다.

모든 면에서 완벽할 듯한 ISO도

시점에 따라서는 약간이라도 교정 소지가 보입니다.

이 글을 이해하시려면, 앞서 게시한 글들을 먼저 읽어주셔요

'보안'의 대상 = '자산' (brunch.co.kr)

정보 ≒ 문서File+DB+Traffic +Signal (brunch.co.kr)

'ISMS' vs 'CSMS' (brunch.co.kr)

ISO '보안' 표준 및 위원회 분류 (brunch.co.kr)

---

먼저, SC27 WebSite를 보겠습니다.

SC27의 범위로

"Information security, cybersecurity and privacy protection"

그 중 WG1이

 "Protection of information"부문을 담당한다고 선언합니다.

SC27 Resource Page에 자신들의 전략/목표/조직 등을 제시한 Standing Document 몇 건이 있는데,  그 중 SD11에서

자신들의 Scope를 이렇게 정의했습니다.

위 Scope 중 2,4,6번째 항목이 관리체계에 직접적으로 관련된 항목인데, Yellow형광부분만 번역하면 대략 이렇습니다.

정보 및 ICT 보안 관리; 특히 ISMS 표준, 보안 프로세스, 보안 통제 및 서비스;

보안 구성 요소 등록을 위한 용어, 지침 및 절차를 포함한 보안 관리 지원 문서;

ISMS 분야의 적합성 평가, 인증 및 감사 요구 사항;

"Management of information and ICT security" 문구에 ISMS(정보), PrivateISMS(개인정보), Cyber(산업제어) 영역을 모두 포괄했다고 봄직합니다.

그런데,

정작 SC27의 조직 구성 중 '관리체계'를 담당하는 곳인

WG1의 Title이

"Information security management systems"입니다.

PrivateISMS와 CyberSMS까지 다루는 명칭으로는 부족하지요.

물론, 조직명이 실제 업무 범위를 완전하게 결정하지는 않지만, 아무래도 어색하긴 합니다.

아래는 Standing Document 11에 제시된 WG1의 Scope입니다.

Yellow형광부분에서 보시듯, "Protection of information"을 과제로 선언하고 있고,

아래에 보시듯, "aspects may be distinguished as within scope and responsibility of WG1" 중, 거의 다 Information 관련들이고, 그 외로는 CyberSecurity라는 합성어 하나만 달랑 들어가 있습니다.

또 다른 Standing Document인 SD18의 WG1 부분에도 비슷한 문구입니다.

---

SC27에서 'information'을 어떻게 인식하는지 보겠습니다.

ISO/IEC 27000:2018 Overview and vocabulary에 이렇게 정의/설명되어 있습니다.

위가 단어 정의 부분이고,

Yellow형광부분 중 맨 아래 문장은

"정보는 전령, 전자 통신 또는 구두 전달 등 다양한 수단으로 전달할 수 있다"로 번역됩니다.

SC27에서 칭하는 '정보'가 종이, eMail, 구두대화 등으로 전달된다고 묘사했습니다.

여기까지는

ISMS(정보보호관리체계) 영역 안에서라면, 아무런 문제가 없습니다.

그런데,

(스마트공장, SCADA 등) OT보안에서는

위 정의에서 지칭하는 '정보'는 물론이되,

장비/설비 간의 Signal을 중요하게 관리해야 하는데,

위 정의 문구는

Signal을 의식하지 않았고,

그렇다고 Signal을 Information의 일부로 포함했다고 읽히지도 않습니다.

ISO/IEC 27002:2022 Information security controls 중 자산의 정의 부분입니다.

3.1.2 외에, 이 표준문서의 통제조항 그 어느 부분에서도

5.09 Inventory of information and other associated assets

5.10 Acceptable use of information and other associated assets

5.12 Classification of information

5.13 Labelling of information

5.14 Information transfer

장치/설비 간의 교신 등 Signal에 관한 문구는 없습니다.

---

SC27에서 관할하는 표준들 전체 목록은 WebSite를 참조하시고,

아래는

WG1에서 관할하는 표준(TR/TS포함)들 중 SD11에 나열된 것들입니다.

ISO/IEC 27000 : Overview and vocabulary

ISO/IEC 27001 : Information security management systems – Requirements

ISO/IEC 27002 : Information security controls

ISO/IEC 27003 : Information security management system - Guidance

ISO/IEC 27004 : Information security management - Monitoring, measurement, analysis and evaluation

ISO/IEC 27005 : Information security risk management

ISO/IEC 27006-1 : Requirements for bodies providing audit and certification of information security management systems — Part 1: General

ISO/IEC 27007 : Guidelines for information security management systems auditing

ISO/IEC TR 27008 : Guidelines for the assessment of information security controls

ISO/IEC 27009 : Sector-specific application of ISO/IEC 27001 – Requirements

ISO/IEC 27010 : Information security management for inter-sector and inter organisational communications

ISO/IEC 27011 : Code of practice for Information security controls based on ISO/IEC 27002 for telecommunications organizations

ISO/IEC 27013 : Guidelines on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1

ISO/IEC 27014 : Governance of information security

ISO/IEC TR 27016 : Information security management – organisationalO rganisational economics

ISO/IEC 27017 : Code of practice for information security controls based on ISO/IEC 27002 for cloud services

ISO/IEC 27019 : Information security controls for the energy utility industry

ISO/IEC 27021 : Competence requirements for information security management systems professionals

ISO/IEC TS 27022 : Guidance on information security management system processes

ISO/IEC TR 27023 : Mapping the revised editions of ISO/IEC 27001 and ISO/IEC 27002

ISO/IEC TR 27024 : Use of ISO/IEC 27001 family of standards in Governmental/Regulatory requirements

PWI 27028 : Guidance on ISO/IEC 27002 attributes

PWI 27029 : ISO/IEC 27002 and ISO and IEC standards

ISO/IEC TS 27100 : Cybersecurity – Overview and concepts

ISO/IEC 27102 : Guidelines for cyber-insurance

ISO/IEC TR 27103 : Cyber security and ISO and IEC standards

ISO/IEC TR 27109 : Cyber education and training

ISO/IEC TS 27110 : Cybersecurity framework development guidelines

위 목록에서 보시듯,

SC27WG1은 스스로 제시한 Scope는 Information에 갇혀있는데,

실제로는 Cyber 영역까지 확장하며 많은 표준문서들을 만들어내고 있습니다.

제 눈에는,

(PDCA에 비유해서)

P 없이 D를 하고 있는 격으로 보입니다.

---

Information이라는 작은 모자를 머리에 쓰고 있으니,

관할 표준 문서들의 제목과 내용에 제약이 가해집니다.

ISO/IEC 27002:2022는 Information security, cybersecurity and privacy protection — Information security controls

ISO/IEC 27005:2022는  Information security, cybersecurity and privacy protection — Guidance on managing information security risks

불과 몇 개월 전에 제작된 표준인데,

이름에서처럼 실제 내용도 Information 영역에 갇혀있어서,

CyberSecurity영역까지의 내용을 담지 못했고, 적용도 어렵습니다.

27005:2022에 이벤트 기반 접근 및 위험 시나리오 개념이 도입되었으나,

제목부터 여전히 "information security risks"만 향하는 Guide입니다.

SC27이 Publish중인 229개의 표준들에서,

각 제목 앞에 붙어있는 일종의 분류Tag를 모두 추출한 것이 아래의 목록입니다. (2023년 03월 15일 시점)

CyberSecurity

Information security

Information security management

Information security, cybersecurity and privacy protection

Information technology

IT Security and Privacy

IT security techniques

Privacy protection

(목록의 순서는 단지 영자순입니다)

분류Tag들이 정돈되지 않은 느낌이지요.

SC27은 “정보기술 보안기법”에서 출발하여 Cyber보안과 개인정보보호의 영역까지 그 관할범위를 확장해 왔기 때문입니다.

문서의 제목에 CyberSecurity가 붙은 것을 보자면,

Published상태인 것은 현재시점에 몇 개 되지 않고,

ISO/IEC 27400:2022    Cybersecurity — IoT security and privacy — Guidelines

ISO/IEC TR 5895:2022  Cybersecurity — Multi-party coordinated vulnerability disclosure and handling

ISO/IEC 27036-1:2021  Cybersecurity — Supplier relationships — Part 1: Overview and concepts

ISO/IEC 27036-2:2022  Cybersecurity — Supplier relationships — Part 2: Requirements

한참 개발 중인 것들이 여럿 있는데, 그 중에는

ISO/IEC FDIS 27036-3  Cybersecurity   — Supplier relationships — Part 3: Guidelines for hardware, software, and   services supply chain security

ISO/IEC CD TR   6114  Cybersecurity – Security considerations throughout the product life cycle

공급망관리나 제품의 보안에 관한 것들이 포함되어 있습니다.

---

이 아래부터는, 위의 소견에 오류가 없다는 전제이며,

편의상 조건(if-then)명시부분을 생략했습니다.

---

스마트공장, SCADA같은 영역에서는

아무래도 Information보다는 Signal이 주인공입니다.

SC27은 Signal이 보호의 대상임을 인정해야

CyberSecurity라는 코끼리를 자신의 냉장고에 온전히 들일수 있습니다.

2023년 03월 17일 현재 시점까지는,

SC27 관할 표준에서 Signal은

Primary Asset도, Supporting Asset도 아닙니다.

Information에 Signal을 포함하거나,

Asset 범위 어딘가에 Signal을 포함해야 합니다.

현재의 ISMS는 Signal을 식별하거나 보호하는 개념이 결여되어 있으므로,

CyberSMS 영역을 포괄하지 못합니다.

시도하면, 어색해집니다.

---

어렸을 때 잘 맞았던 옷이 성장하면서 작아져 못 입게 되면, 버리고 새 옷을 입어야 하듯이,

SC27은 "Information이라는 구속복"을 현시대에 적합한 단어로 교체하거나, 아예 떼어버려야 합니다.

WG1 이름도 다시 궁리할만하고요.

"OT영역의 보안"에

"정보보호"를 위한 통제인 27002:2022는 충분하지 않습니다.

OT보안을 위한, Type A이면서 Harmonized Structure인 관리체계가 필요합니다.

또는,

OT/산업제어 영역이 보안의 가시권에 들어온 시대이므로,

Information과 Signal을 함께 보호하고,

생산하는 제품의 보안성까지 통합하는 보안관리체계가 필요합니다.

현재 시점까지

ISO표준의 세계에서,

SC27 WG1이 보안관리의 중심인 듯은 하지만,

그렇다고 보안관리 영역의 전체까지는 아닙니다.

---

ISO 표준 제작은

전 세계의 수많은 전문가 분들이 자원하시는 봉사 작업입니다.

매일, 매시각

2만 수천여 개의 표준 문서들이

비동기/개별/상호참조되면서

실시간 편집되고 있습니다. 

당연히 소소한 오류들 잔존이 가능합니다.

위에 제가 지목한 내용이 정확하다 할지라도,

ISO 표준 문서들은

그분들의 선한 공헌으로 만들어지는

고마운 (중간) 산출물입니다.

이 글은

(ISO~JTC1~SC27~WG1 국내/외국을 막론하고)

그 어떤 조직이나 개인을 대상으로 폄훼하는 의도가 아니고,

PDCA Cycle 원칙에 입각한 개선 필요성을 제시하는

조심스러운 소견일 뿐입니다.