Tech 블로그이지만 클라우드를 보면서, 이제 IT를 보면서, Compliance는 보지 않을 수 없습니다. ISMS-P 전체를 다시 보고, 새로운 주제가 되고 있는 가상자산서비스 (e.g. 암호화폐) 측면을 한번 보도록 하겠습니다.
국내 많은 기업이 클라우드 기반으로 서비스를 구축하여 제공하고 있고, 따라서 ISMS-P 인증 시 AWS 환경이 인증 범위에 포함되는 사례가 늘고 있습니다. ISMS-P 인증은 보안 사고를 방지하기 위해 운용되는 제도라는 것은 알려져 있지만, 실제 체계, 대상, 현황 등에 대해서는 많이 보도되지 않았습니다. 이러한 ISMS-P 내용을 보면서 보안의 Compliance 적용 측면을 다시 생각해보고, 신규 산업인 가상자산사업에서 다수의 가상자산사업자가 클라우드 환경에서 서비스를 제공하고 있는데, ISMS-P가 어떻게 적용되고 있는지 알아보겠습니다.
ISMS, ISMS-P에 대해서 많이 들어보겠지만, 우선 어디서 해야하는가를 보겠습니다. ISMS 의무 대상자가 ISP, IDC, 병원 및 학교, 정보통신서비스 제공자에 해당되는 것은 정보통신망법 제47조 제2항 및 시행령(안) 제49조에 명시되어 있습니다. 그리고, ISMS-P는 필수가 아닌 선택입니다.
매출 100억 미만의 IDC와 금융기관은 의무 대상자에서 제외가 되고, 병원과 학교는 2016년부터 의무대상자로 적용되기 시작했습니다. 특히, 병원은 대해서는, 금융기관들은 사이버 공격의 예방과 방어에 총력을 펼치고 있어서, 공격자들은 보다 쉽게 해킹할 수 있는 의료 기관을 타깃으로 랜섬웨어 등의 공격을 시도하는 추세를 감안한 것이지요.
병원은 물론 홈페이지 예약을 통해 중요한 정보가 오고 가지만, 특히 의료정보시스템 – EMR (Electronic Medical Record: 전자의무기록-진료, 진료지원, 원무 등 병원 업무 전반을 포괄하는 시스템), OCS (Order Communication System: 처방전달시스템 – 환자의 진료정보를 보관한 데이터베이스와 환자를 진단한 처방내역을 통신망을 통해 각 해당 진료부서로 전달해주는 시스템)가 인증범위에 포함됩니다.
ISMS-P 인증체계는 정책, 인증, 심사기관으로 구성되었습니다.
정책 기관은 인증 협의회를 운영하는 일종의 상위 기관으로, 관련 법과 제도를 개선하고, 인증기관과 심사기관을 지정합니다.
인증기관은 인증서를 발급하는 기관입니다. 인증서를 발급하기 위해서 35인 이하로 구성된 인증 위원회를 운영하며, 한국인터넷진흥원 (이하 KISA)과 금융보안원이 인증기관에 해당됩니다. 금융보안원은 금융 분야만 심사를 하고 인증서를 발급하는 반면, KISA는 일반 기업, 금융 분야도 심사하며, 심사원을 양성하고, 자격을 관리하며, 심사원 배정 등을 수행합니다.
심사기관은, 즉 ISMS-P 인증 심사 수행은 인증기관 (KISA와 금융보안원)과 심사 위탁 기관 4곳이 가능합니다.
간략하게 ISMS-P 인증 기준을 보면, 관리체계 수립 및 운영 (4단계, 16개), 보호대책 요구사항 (12단계, 64개), 개인정보 처리단계별 요구사항 (5단계, 22개)로 구성되었습니다. 인증 기준에 대한 자세한 내용은 KISA (https://isms.kisa.or.kr) 의 “정보보호 및 개인정보보호 관리체계 (ISMS-P) 정보보호 및 인증제도 안내서"를 참고하시고요.
처음받는 ISMS-P 심사를 최초 심사, 최초 심사에서 인증이 발급되면, 3년마다 갱신 대상이 되어 갱신 심사를 받습니다. 그 사이 매년 또는 연 1회 이상 사후 심사를 받을 수 있습니다.
심사단계에서 중결함 사항이 발견되면, 심사가 중단될 수 있습니다. 중단되면 40일 이내 결함을 조치하거나, 만약 40일 이내 조치가 불가하다면 최대 60일 연장이 가능합니다. 즉, 총 100일 안에 조치 완료와 확인이 진행되어야 합니다.
현재 ISMS-P 인증 심사에서는 어떤 결함들이 많이 나오고 있을까요? 공공 데이터 포털 (https://www.data.go.kr)에서 연도 별로 결함 현황을 볼 수 있습니다.
다음은 2022년 결함현황 입니다. 만약, ISMS-P 인증 또는 갱신과 관련되어 있다면 결함이 많이 나오는 통제항목들을 참고해서 다시 확인해보면 좋을 것 같습니다.
앞에 기술한 바와 같이, ISMS-P는 중요한 정보자산을 취급하는 서비스들이 적절한 수준의 보안 체계를 가지며, 운용되고 있는지 심사하는 것인데, 최근 가상자산 서비스들은 중요한 정보자산을 취급하는 대표적인 업종이 되고 있습니다. 지속적인 관리가 중요한 영역이기 때문에 KISA에서는 국내 가상자산 사업자들을 대상으로 특별점검 계획을 발표한 사례도 있었습니다.
KISA, 가상자산사업자 대상 ISMS 특별 점검 추진 (https://www.digitaltoday.co.kr/news/articleView.html?idxno=460824)
(가상자산사업자는 금융위원회 산하 금융정보분석원 홈페이지의 “공지사항” – “가상자산사업자 신고 현황”을 참고하시기 바랍니다.)
지금까지의 ISMS/ISMS-P 인증 심사 환경, 조건과는 다르게, 국내 주요 가상화폐 거래소 대부분이 AWS의 클라우드 서비스를 이용하고 있는 것으로 알려져 있으며, 가상자산 사업자들이 준수해야 하는 두 법안의 충돌이 있었습니다. 가상자산사업자는 특정금융정보법 (이하 특금법) 대상이 되는데, 특금법에서 가상자산사업자는 금융정보분석원 (Financial Intelligence Unit, FIU 또는 KoFIU)에 신고 요건을 갖추고 신고해야 가상자산 서비스 운영이 가능합니다. 그런데, FIU의 가상자산사업자 신고요건 중 하나가 ISMS 인증입니다. 반면, ISMS 인증은 최소 2개월 이상 영업 후 ISMS 인증 신청이 가능하고요. 즉, 두 Compliance의 조건이 충돌하게 된 것이죠.
따라서, 과학기술정보통신부와 KISA에서는 이러한 이슈를 해결하기 위해서 “가상자산사업자 대상 정보보호 관리체계 (ISMS) 예비인증”을 만들었습니다.
가상자산사업자는 사업장 시험 운영을 하면서 예비 인증을 받고, 예비 인증 취득 후 최소 2개월 이상 운영을 한 후, 예비 인증 취득 후 3개월 내 FIU에 신고해야합니다. 신고결과 FIU에서 인정하면, 그 다음 단계인 본인증을 신청할 수 있고 6개월 내 ISMS 본인증을 취득해야 ISMS 인증 과정이 끝나게 되는 것이죠.
예비인증에서는 전체 ISMS 세부점검항목 – 290개 중 196개를 확인합니다. 이를 테면, 실 환경에서만 확인이 가능한 항목을 제외하고 점검하겠지요. 그리고, 본인증에서는 예비인증의 점검을 다시 확인하고, 실 운영 현황을 점검하게 됩니다. 과정이 좀 복잡하네요. ^^;;
현재 (2023년 6월 기준), 일부 가상자산사업자가 예비인증 중이거나, 예비인증을 완료한 상태이고 본인증을 완료한 사례는 아직 없는 것으로 알려져 있습니다.
예비인증의 점검항목은 “한국인터넷진흥원 (https://isms.kisa.or.kr/) – 가상자산사업자 대상 정보보호 관리체계 예비인증 신청양식”의 첨부파일을 참고하시기 바랍니다.
다음 ISMS-P 주제에서는 AWS와 관련된 것을 찾아볼까 합니다.
