Cyber Security ≠ 정보 보호
CyberSecurity를 위한 관리체계/통제지침 정비 필요성
일전에
ISO/IEC JTC1 SC27이 Information Security 중심임을 분석한 글에 이어서
이번에는
ISO표준체계 속에서의 ISMS와 CSMS를 살짝 더 들여다보면서
현재시점의 ISO27001&ISO27002가
CyberSecurity영역을 포괄할만한 상태인지 판별해 보겠습니다.
CyberSecurity의 어원은
미국 국방 부문에서 국가의 InfraStructure 보안에 처음 사용하기 시작했지만,
어느새부터인가 자동차의 전자기술측면의 보안을 향해서도 CyberSMS 표현을 쓸만큼 일반화되었습니다.
이 글에서 CSMS는 Cyber Security Management System의 약어로,
(요즈음 한창 "OT보안" 영역으로 지칭하는)
Smart공장이나 IACS(산업자동화제어장치)를 대상으로 하는 보안관리체계를 뜻합니다.
Information Security의 개요와 용어표준은
ISO/IEC 27000:2018 Information security management systems — Overview and vocabulary
에 적시되어 있습니다.
국가표준 KS X ISO/IEC 27000:2018 정보보호관리체계 ─ 개요와 용어
로 동일하게 번역되어 있습니다만, 이 글에서는 ISO원문으로 주요 부분을 보겠습니다.
1. Scope
"This document provides the overview of information security management systems (ISMS)"
4.2.2 Information
4.2.3 Information Security
아무래도 제 눈에는 제목 그대로 정보보호에 한정된 서술로 읽힙니다.
추가로, '관리'와 '관리체계'의 정의도 CSMS를 위해서 살펴봅니다.
4.2.4 Management
4.2.5 Management system
Information Security에서의 27000과 같은 위상으로,
Cyber Security의 개요와 용어표준에는
ISO/IEC TS 27100:2020 Cybersecurity — Overview and concepts
이 해당하는데, 아직 IS(국제표준)까지는 아니고, TS(Technical Specification기술명세)입니다.
먼저, 소개 부분에서 CSMS와 ISMS를 이렇게 분별했습니다.
정보보호가 주로 특정 조직이 통제하는 영역 내부를 주목한다면,
Cyber보안은 특정 조직 관할 범위를 넘어 상호 연결된 디지털 환경인 사이버 공간의 위험에 초점을 맞춥니다.
그러나, Cyber보안 사고는 정보보호 사고에 비해서,
대체로 물리적인 피해로 연결되는 개연성이 높습니다.
물리적인 장치/설비의 오작동으로
물리적인 사고가 살제로 발생하기 때문입니다.
정보의 기밀성/무결성/가용성 피해와는 전혀 다릅니다.
Cyber Security의
본질은 Cyber스러운데, 실제 사고는 Real에서 벌어지는 경우가
정보보호사고로 인한 Real사고 상황보다 잦다는 말씀입니다.
문서의 범위에서도 Cyber Security가 Information Security와 다른 영역임을 분명하게 제시했습니다.
CyberSecurity의 정의는
특정 조직 소유의 정보자산을 보호하는 Informatin Security에 비교해서 매우 광범위하고 공익적입니다.
Information Security는 자기 소유의 정보자산을 보호함이고,
Cyber Security는 그보다는 그 조직/시설의 주변까지 감안합니다.
Information Security를 위한 관리체계로는
ISO/IEC 27001:2022 Information security, cybersecurity and privacy protection — Information security management systems — Requirements 가 위풍당당하게 존재합니다.
ISO27001의 목차 중 주요 부분입니다.
당연하지만, Information Security에만 충성스럽습니다.
이 표준의 Scope 부분입니다.
그런데,
Cyber Security에 직접 대응하는 관리체계 표준이 없습니다.
유사하게 적용 가능해 보이는 관리체계 표준도 없어서,
ISO27001을 확대해석해서 적용하는 상황입니다.
Information Security 부문은 실행지침도 분명합니다.
ISO/IEC 27002:2022 Information security, cybersecurity and privacy protection — Information security controls
이 문서의 Scope입니다.
당연히 ISMS에 한정적으로 적용하는 통제지침임을 적시했습니다.
CSMS에 가장 중요한 Signal(Process Control Data)를 위한 통제조항 중 하나인
5.14 Information Transfer에서 전송을 아래 3가지로 분류했는데,
Electronic transfer
Physical storage media transfer
Verbal transfer
아래는 그중 CSMS에 관련이 갚은 "Electronic Transfer" 부분입니다.
제 눈에는 문서파일 교신(만)을 의식하고 작성된 문장으로 여겨지며,
Smart공장이나 산업제어장치에 관한 분명한 고려는 보이지 않습니다.
다만,
7.12 Cabling Security에서 장비 간 Signal 회선 보호에 적용할만한 통제문은 있습니다.
또,
7. Physical Controls
8. Technological Controls의 대다수 통제가 CSMS에 적용은 가능합니다.
그러나,
ISO27001과 ISO27002는 위에서 제시한 Scope 정의문을 포함한 문서 전체의 맥락에서
Cyber Security를 "국제표준답게" 명시적으로 포괄하지 못했습니다.
이전 글에서 설명했듯이, ISO27000 4.2.2에서 '정보'를
종이, eMail, 구두대화 등으로 전달되는 '문서/파일'로 한정하듯 한 상태에서
작성된 27001과 27002이기 때문입니다.
ISO27000,27001,27002 등은
전형적인 정보(파일 단위)의 교신을 취급하지 않는 IT/ICS 시설/장비가 있음을 인식하지 않고 작성되어 있음이 분명합니다.
아래처럼 동일한 Information Security 영역에서는 27002를 응용하여
ISO/IEC 27011 : Code of practice for Information security controls based on ISO/IEC 27002 for telecommunications organizations
ISO/IEC 27017 : Code of practice for information security controls based on ISO/IEC 27002 for cloud services
ISO/IEC 27018 : Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors
여러 활용이 가능하지만,
Cyber Security 영역으로 넘어오면 맥을 못 출 수밖에 없습니다.
에너지설비산업분야가 Cyber Security의 보호 대상에 포함됨을 그 누구도 부정하지 못할 것입니다.
(물론 어느 산업분야든지 Information Security는 당연히 중요하게 관리되어야 하고요)
ISO27019가
ISO/IEC 27019:2017 Information technology — Security techniques — Information security controls for the energy utility industry
ISO27002를 에너지설비산업분야에 응용한 표준인데,
아직 CD(위원회검토안)단계이지만, 현재로서는 최신판인
일단, 제목에서부터 Information Security 영역입니다.
그런데, Background and context에서
'CyberSecurity'를
문서 전체에서 유일하게 단 한번 사용합니다.
이 문구는 현재 유효한 2017년판에도 동일하게 있습니다.
0.3 Information security requirements
제목에 이렇게 "Information security"를 표기했는데,
실제 내용에는 젼형적인 Cyber Security의 영역을 포함하고 있습니다. (녹색 밑줄 항목들)
Cyber Security에 관한 Requirements를 별도로 명시하지도 않았습니다.
이 27019는 27000,27001,27002만을 규범적으로 참조하면서
CyberSecurity의 개요와 용어표준을 담은 ISO/IEC TS 27100을 참조하지 않습니다.
Bibliography에도 Other references에도 없습니다.
5.9 Inventory of information and other associated assets
에서는 장비 간 교신되는 'Signal'을
'Data'로 지칭하며 'information'에 포함했는데,
제 소견에는 이 것들이 ISO27000의 information 정의 범위에 완전히 포함되지 않았다고 판단합니다.
즉, 용어 정의 표준에 없는 영역까지 임의로 확장한 듯 보입니다.
8.37 Securing process control data communication에서도
앞서의 'information'을 "process control data"로 지칭합니다.
(그런데, 이 표현으로는 장치에서 계측되어 나오는 data값은 제외됩니다)
위에 나열한 여러 근거로 판단해 볼때에,
저는 현재의 27001,27002가
CyberSecurity를 완전히 포용하지 못했다고 생각합니다.
27001 기반의 CyberSecurity 관리는 무리스럽고,
27002 기반의 CyberSecurity 통제도 흡족해 보이지 않습니다.
따라서,
이 표준들이 CyberSecurity영역을 충족하도록 모두 개정해야 할것 같습니다.
관련된 여러 다른 표준들의 연쇄적인 개정작업 촉발이 부담스럽다면,
CyberSecurity를 위한 관리체계와 실행지침을
아예 새로 제작하는 편이 나을지도 모르겠습니다.
기왕에 27100이 Overview and concepts에 배정되어 있으니,
아직 비어있는 듯한 27101을 CSMS에 할당하면 좋겠군요.
27102에는 CyberSecurity Control을 배정하면 참 좋겠는데,
ISO/IEC 27102:2019 Information security management — Guidelines for cyber-insurance
에 할당되어 있습니다.
ISO에서 표준번호를 어떤 Logic으로 배정하는지 궁금해지네요.
27000 vs 27100 (현재 배정되어 사용중)
27001 vs 27101 (비어있으므로, 사용 가능)
27002 vs 27102 (선점되어, 사용 불가능)
여기부터는
위에 적은 내용과 관련은 있으나,
다른 내용입니다.
지난번 글 (Production(생산물품)을 위한 보안관리 필요성)에서도 피력했지만,
기업(조직)은
자신이 소유한 정보자산의 보호 이외에도,
생산하는 제품이나 Publishing/Supply하는 Service로 인해서 유발되는,
조직 외부를 향하는 피해상황까지 감안할 도의적 의무가 있다고 생각합니다.
시설 자체의 일반적인 사고로 인한 피해까지는
안전에 관한 다른 표준들에서 감당하지만,
보안으로 인한 사고만큼은
모든 경우의 수를 감안해서 종합적인 관리체계로 통제할 필요가 있다고 생각합니다.
ISO27002 정보보호 통제에
'물리적보안' 부분이 포함되어 있음이 당연하고 자연스럽다면,
저의 이런 생각 역시 '일리'는 있다고 봅니다.
환경, 사회적 책임을 감안하는
ESG경영 관점에서도 참 반가운 시도일 텐데요.
