[ISMS] 정보보호 관리체계 필요성 및 인증제도 개요

목차


1. 정보보호 관리체계 필요성 및 인증제도 개요

정보보호 관리체계 인증제도

정보통신 서비스 제공자들이 해당서비스를 안전하게 서비스할 수 있도록 법률로 정한 것

안전한 관리 & 효율적 운영


1. 최근 침해사고 동향


IT발전의 양면성

바이러스, 웜, 해킹, 피싱, 스팸메일, Spyware, DDoS, 랜섬웨어 등 발생

사이버 공격 기법 = 지능화 + 복합화 → 지속적으로 고도화


  1. 일반적인 사이버 공격 - 초보 해커
    • 약간의 금전적 이익
    • 불특정 대상에 대한 공격
    • 호기심
  2. 사이버 공격 - 전문적인 해커
    • 의도된 금전적 이익 추구
    • 불만세력에 의한 공격
  3. 정보 전쟁 - 사이버테러
    • 대규모 경제적/정치적 이익(핵티비즘)
    • 은밀하게 공격(악성코드, 사회공학 기법 등)
    • 사이버 테러


국내 사이버 사고 발생 사례(2013-2016)

기업, 정부 대상의 DDoS 공격, APT 공격이 주로 발생


특징 분석
  1. 지능형 지속공격(APT)으로 기업대상 침해사고 발생(은행, 게임사 등 특정기업 대상으로 뚜렷한 목적을 가지고 해킹)
  2. DDoS 공격 지속 발생, 반면 공격 목적은 변화(금품갈취 → 사회혼란, 정치적 목적(선거 방해))
  3. 공공기관을 사칭한 피싱사이트 증가
  4. 인기 키워드, 사회이슈 등을 악용한 악성코드 유포 기승


최근 악성코드 활용 변화

일부기능 정지, 파괴 → 좀비PC 생산, DDoS 공격, 개인 PC 데이터 절취, 삭제, 공인인증서 탈취 등 → PC 데이터 암호화, 금전요구 랜섬웨어


사이버 공격으로부터의 보호 대상(패러다임의 변화)

기업의 영업 비밀, 회사 주요자산 정보보호 → 개인정보 보호


사이버 공격 피해 사례



2. 정보보호 관리체계의 필요성

기업 침해사고 정보 유출이 기업에 미치는 영향


법률 등 컴플라이언스 측면

  1. 거버넌스 강화 측면
    • 영업비밀 보호법으로부터 보호받기 위한 회사의 보안관리 노력 강구
    • 법인 또는 개인이 위반 행위를 방지하기 위해 해당 업무에 관해 주의와 감독을 게을리하지 않는 경우 양벌 규정에 대한 예외 적용
  2. 개인정보 포함 인터넷 침해사고에 관련된 컴플라이언스 측면
    • 정보통신서비스제공자는 정보통신망법의 의무를 충실히 이행
    • 교육, 의료, 공공 부문 등 개인정보를 취급하는 모든 경우에는 개인정보보호법을 지켜야함
  3. 2013년부터 정보통신망법 시행에 따른 정보보호 관리체계(ISMS) 인증제도 의무화
    • 기존 안전진단 대상 사업자들은 강화된 정보보호 관리체계 인증을 의무적으로 받아야 함
  4. 개인정보보호법 및 정보통신망법 등 정보보호 관련 법률 강화
  5. 사회적으로 정보보호체계 수립 및 이행에 대한 요구 강화
법적 근거 관련 규정
정보통신망 이용촉진 및 정보보호 등에 관한 법률
/ 개인정보보호법
- 정보통신망 이용촉진 및 정보보호등에 관한 법률 시행령
- 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행규칙
- 개인정보의 기술적, 관리적 보호조치 기준
- 개인정보보호법
금융실명거래 및 비밀보장에 관한 법률 - 금융실거래 및 비밀보장에 관한 법률 시행령
- 금융실거래 및 비밀보장에 관한 법률 시행규칙
전자금융거래법 - 전자금융거래법 기행령
- 금감원 전자금융감독규정
- 금감원 전자금융감독규정 시행세칙
의료법 - 의료법 시행령 / 시행규칙
신용정보의 이용 및 보호에 관한 법률 - 신용정보의 이용 및 보호에 관한 법률 시행령
- 신용정보의 이용 및 보호에 관한 법류 시행 규칙
- 금감원 신용정보업 감독규준
- 금감원 개인신용정보 관리보호 모법규준
주민등록법 - 주민등록법 시행령 / 시행규칙


접근경로의 다양화


인증을통한 비 재무적 효과

  1. 정보보호 체계 강화
    • 정보 유출 사고 등을 사전에 예방
    • 정보의 생성, 유통, 저장, 폐기 등의 라이프사이클 전 단계에 대한 체계적인 보호 방안 도출
    • 효율적인 고객정보에 대한 침해사고 대응체계 구축
    • 정보보호 취약점 및 각종 위협 요소에 대한 안정성 확보
  2. 정보보호 점검 및 대응방안 수립
    • 중장기 정보보호 대책 적용 및 관리
    • 객관적인 지표에 의한 목표 및 성과 관리
    • 강화된 정보보호 체계로 인한 일괄적이고 지속적인 보안 관리 활동
    • 정보보호 관리체계를 효율적으로 이행하기 위한 개선 방안 제시
  3. 대외 이미지 제고
    • 국가적 자원의 법적, 제도적 정보보안 요구사항 만족
    • 고객정보에 대한 보안성 강화를 통한 대외적 신뢰도 향상
    • 임직원의 정보보호 인식 향상
    • 정보 유출 등으로 인한 대외 이미지 실추 방지


정보보호 관리체계 수립 필요성

  1. 거버넌스 강화 측면
    • 거시적 관점에서 정보보호전략 체계를 마련하고 적절한 기술과 인력을 유지
    • 보안 중복투자를 피하고 효율적 인력과 프로세스를 운영
    • 경영 효율화와 강화된 정보보호 요건을 모두 충족
  2. 준거성(Compliance) 측면
    • 개인정보 법규제의 강화에 맞춘 보안관리 노력 필요
  3. 보안관리증적(Evidence) 측면
    • 정보보호를 위한 노력을 법적으로 인정 받기 위해 법적 준거성 활동의 증적을 확보하기 위해서는 보안관리 업무프로세스 정립이 필수

3. 정보보호 관리체계 인증제도 이해

새로운 위협과 보안 수준의 갭이 커지기 때문에 구축 후 지속적인 관리가 필수

법적 근거

정보통신망 이용촉진 및 정보보호 등에 관한 법률 제 47조(정보보호 관리체계의 인증)

미래창조과학부장관은 정보통신망의 안정성, 신뢰성 확보를 위하여 관리적, 기술적, 물리적 보호조치를 포함한 종합적 관리체계(이하 “정보보호 관리체계”라 한다.)를 수립, 운영하고 있는 자에 대하여 제4항에 따른 기준에 적합한지에 관하여 인증을 할 수 있다.

전기통신사업법 제2조제8호에 따른 전기통신사업자와 전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자로서 다음 각 호의 어느 하나에 해당하는 자는 제1항에 따른 인증을 받아야 한다.

  1. 전기통신사업법 제6조제1항에 따른 허가를 받은 자로서 대통령령으로 정하는 바에 따라 정보통신서비스를 제공하는 자
  2. 집적정보통신시설 사업자
  3. 연간 매출액 또는 세입 등이 1,500억 원 이상이거나 정보통신서비스 부문 전년도 매출액이 100억 원 이상 또는 3개월간의 일일 평균이용자 수 100만 명 이상으로서, 대통령령으로 정하는 기준에 해당하는 자

미래창조과학부장관은 제2항에 따라 인증을 받아야 하는 자가 미래창조과학부령으로 정하는 바에 따라 국제표준 정보보호 인증을 받거나 정보보호 조치를 취한 경우에는 제1항에 따른 인증 심사의 일부를 생략할 수 있다. 이 경우 인증 심사의 세부 생략 범위에 대해서는 미래창조과학부장관이 정하여 고시한다.

관련 규정


인증 대상

  1. 기업자율신청
    • 기업이 정보보호 관리체계를 구축, 운영하고 인증 취득을 희망할 경우, 자율적인 신청을 통하여 인증심사 가능
  2. ISMS 인증 의무대상자
    • 기업 스스로 의무대상 여부를 판단하여 ISMS를 구축하고 인증을 취득하는 것이 원칙(정보통신망법 제47조 제2항)
    • 정보통신망서비스 제공자(ISP), 집적정보통신시설사업자(IDC), 연간 매출액 또는 세입 등이 1,500억 원 이상, 정보통신서비스 부문 전년도 매출액이 100억 원 이상, 3개월간의 일일 평균 이용자수 100만 명 이상 > 대통령령으로 정하는 기준에 해당하는 자 (의무대상자가 인증 취득하지 않을 경우 3000만원 미만의 과태료)


인증 체계

  1. 미래부
    • 법제도 개선 및 정책 결정
    • 인증기관 지정 및 관리
  2. 인증위원회
    • 인증심사결과 심의, 의결
  3. 인증심사원
    • 인증심사 수행
  4. KISA(인증기관)
    • 인증제도 운영
    • 인증위원회 운영
    • 인증심사원 양성 및 관리


인증 심사의 종류

  1. 최초심사 : 정보보호 관리체계 인증 취득을 위한 심사(범위 변경 등 중요한 변경사항 발생 시에도 최초 심사)
  2. 사후관리 : 정보보호 관리체계를 지속적으로 유지하고 있는지에 대한 심사(연 1회 이상)
  3. 갱신심사 : 유효기간(3년), 만료일 이전에 유효기간 연장을 목적으로 하는 심사

각 심사 사이에는 1년의 간격을 두고 진행


인증 심사 기준

  1. 정보보호 관리과정
    • 정보보호 정책 수립 및 범위 설정, 경영진 책임 및 조직 구성, 위험 관리, 정보보호 대책 구현, 사후 관리 (5단계 12개 인증기준)
  2. 정보보호 대책
    • 정보보호정책, 정보보호 조직, 외부자 보안, 정보자산 분류, 정보보호 교육, 인적 보안, 물리적 보안, 시스템 개발보안, 암호 통제, 접근 통제, 운영 보안, 침해사고 관리, IT 재해 복구 (13분야 92개 인증기준)
분야 인증기준 수 주요확인사항 수
정보보호 관리과정 12 28
정보보호 대책 92 225
소계 104 253
총 104개 인증기준에 대한 적합성 평가