(통합)보안관리 표준 ISO28000의 범위에 관한 소견
(앞의 통합적 보안관리에 관한 글 중 PT보안에 관련해서,
제가 2년 전에 공개했던 것을 Update합니다)
이제까지 기업에서의 보안 관리 업무는
주로 해당 조직의 내부만을 향하고 있어 왔지요.
자기 소유의 자산들만을 보호의 대상으로 여겼다는 뜻입니다.
ISO27001,
KISA ISMS 1.*.*
모두 다 그렇습니다.
IT보안 부문의 실행지침을 자세하게 보더라도
System구축/Software개발 부문에서 주로 내부를 향하는 Chain만을 다뤄 왔고,
조직 외부를 위한 보안의 대상은 오로지 WebService 의 안전성 정도입니다.
- ISO27002 14: 시스템 도입, 개발, 유지보수
- ISO27002 15: 공급자 관계는 "공급 받는 주체"로서의 권익 보호만 다룹니다.
- KISA기준 2.8: 정보시스템 도입 및 개발 보안
(특히 IT,IoT응용 등 Firmware/Software가 포함되는 제품의 경우)
생산하는 시점부터 보안 관리가 필요한데,
이것이 기업 경영 차원에서 강요되지 않으면,
공식적인 준수 범위에서는 누락되겠지요.
물론, 생산하는 제품을 판매하기 전까지 그 기업의 소유자산임은 당연하나,
그렇다면 전통적인 ISMS 자산분석 범위에 제품이 포함되어야 했습니다.
제품은 판매를 거쳐 구매자의 소유자산이 되므로,
다른 자산들과는 다르게 바라보아야 합니다.
현행 ISO나 KISA의 ISMS 인증 기준으로는
Software개발사에서 판매용 제품 개발시에 Secure Coding을 안하더라도,
결함으로 공식화하지도 못합니다.
설령 그 개발조직이 인증범위에 포함되어 있더라도 말씀입니다.
해당 기업과 잠재고객을 생각하면 아주 허전하지요.
Software,제품/장치 또는 설비 모두에 해당합니다.
IT기술이 응용된 가전제품, 자동차 등 모든 상품에 예외가 없습니다.
따라서,
이 "Production" 영역을 보안관리체계에 공식적으로 포함해야 한다고 봅니다.
ISO가 2012년에 이미 품질/환경/정보보호 등 모든 *MS(관리체계)를 공통된 단일 Framework으로 만들었으니,
기업의 보안 활동에 Production/Outbound를 포함하도록 확장해야 합니다.
어짜피 품질 관리 (ISO(KS) 9001)는 애초부터 Production/Outbound를 향하니까요.
CC인증같은 특수 영역까지 모두 다 녹여넣자는 뜻이 아니고,
최소한, "악성Code은닉 여부 검증" 정도는 (내부사용 시스템에만 할 것이 아니라) 판매 목적 상용제품에도 당연히 적용 해야 한다는 뜻입니다.
약간 지나친 확장일지 모르겠는데,
국가법령 제조물책임법 2조2항의 설계상의 결함, 제조상의 결함에 해당할 가능성이 있고, 다른 법규들도 있으니까요.
외국의 유명회사들이나 삼성전자같은 선도적인 기업은
PSIRT(Product Security Incident Response Team)라는 조직까지 운영하고 있습니다.
IT보안(정보보호)에
설비/장치/시설 등을 감안한 OT보안에 더해서,
"Production/Manufacturing을 위한 보안"을 덧붙이는 노력은
ESG 경영 차원에서도 분명히 의무적이라고 생각합니다.
제품을 하는 보안활동에 관한 국제표준으로는 ISO22384가 있고, 그 표준을 소개하는 Page에 “Product Security”라는 표현이 명확하게 등장합니다.
그런데, 이 ISO22384표준은 ISO27***(정보보호)를 전혀 참조하지 않으면서 ISO28000(공급망보안)은 참조합니다.
필경,
어느 분이 먼저 이런 (생산제품 보안관리의 통합) 개념을 먼저 제시/공개하셨을 듯 한데,
2021년 04월 이전에 공개된 문헌/자료 보신 분 귀띔 주시기 바랍니다
ISO28000의 등장은
저의 눈에는
참 반갑게 보이고
기존 ISO27001의 실체가 이전과는 달리 보입니다.
ISO/IEC SC27에서 이 소식을 어떻게 보는지 문의 중인데,
알게 되는 즉시 이 글 아래에 공유드리겠습니다.