Day 10: ISMS-P 인증 기준 및 침해사고 대응

1. ISMS-P 인증 제도의 이해

1.1 ISMS-P란?

ISMS-P: Information Security Management System - Personal information & information security management system

정보보호 및 개인정보보호 관리체계 인증

조직이 주요 정보자산을 보호하기 위해 수립·관리·운영하는 정보보호 관리체계가 인증기준에 적합한지를 한국인터넷진흥원이 평가하여 인증하는 제도

1.2 ISMS-P의 구성

ISMS-P는 두 가지를 통합한 인증:

1. ISMS (Information Security Management System): 정보보호 관리체계
2. PIMS (Personal Information Management System): 개인정보보호 관리체계

1.3 인증 종류

기업은 필요에 따라 선택 가능:

• ISMS: 정보보호 관리체계만 인증 (16개 인증기준)
• ISMS-P: 정보보호 + 개인정보보호 관리체계 인증 (22개 인증기준)

대부분의 기업은 ISMS-P 인증을 받음 (개인정보를 다루는 경우)

1.4 법적 근거

• 정보통신망법 제47조: ISMS-P 인증 의무 규정
• 개인정보보호법: 인증 받은 자에 대한 과징금 감경 등 혜택

2. ISMS-P 인증 의무 대상

2.1 의무 인증 대상 (정보통신망법 시행령 제48조의3)

다음 중 하나에 해당하는 정보통신서비스 제공자는 의무적으로 ISMS-P 인증 취득:

(1) 전년도 말 기준 직전 3개월간 일일평균 이용자 수가 100만명 이상인 자

• 이용자: 회원 가입자, 비회원 포함 서비스 이용자
• 일일평균: 3개월 총 이용자 수 ÷ 일수

(2) 전년도 정보통신서비스 부문 매출액이 100억원 이상인 자

• 정보통신서비스로 인한 매출만 산정

(3) 전년도 말 기준 직전 3개월간 개인정보를 100만명 이상 보유한 자

• 개인정보 보유: DB에 저장·관리되는 개인정보 기준

2.2 의무 인증 시기

해당 요건을 충족한 날로부터 6개월 이내 인증 취득

2.3 자발적 인증

의무 대상이 아니어도 자발적으로 인증 취득 가능:

• 고객 신뢰 확보
• 보안 수준 향상
• 입찰 가점

3. ISMS-P 인증 기준

3.1 인증 기준의 구조

ISMS-P는 5개 영역, 22개 인증기준, 102개 세부 통제항목으로 구성

3.2 1장: 관리체계 수립 및 운영 (4개 인증기준)

1.1 관리체계 기반 마련

1.1.1 경영진의 참여

• 경영진의 정보보호 및 개인정보보호 의지 표명
• 조직의 전략적 방향과 연계

1.1.2 최고책임자의 지정

• CISO, CPO 지정
• 독립적 지위 보장

1.1.3 조직 구성

• 정보보호 조직 구성
• 역할 및 책임 명확화

1.1.4 범위 설정

• 인증 대상 범위 명확히 설정
• 물리적·논리적 범위 정의

1.1.5 정책 수립

• 정보보호 정책
• 개인정보 처리방침
• 세부 시행 절차

1.1.6 자원 할당

• 예산, 인력, 시스템 등 적절한 자원 배분

1.2 위험 관리

1.2.1 정보자산 식별

• 보호대상 정보자산 목록화
• 자산 분류 및 중요도 평가

1.2.2 위험 평가

• 위협, 취약점 분석
• 위험도 산정

1.2.3 보호대책 선정

• 위험 수준에 따른 보호대책 선정
• 비용 대비 효과 고려

1.3 관리체계 운영

1.3.1 보호대책 구현

• 선정한 보호대책 실제 구현
• 관련 절차 수립 및 시행

1.3.2 보호대책 공유

• 임직원 교육 및 인식 제고
• 정보보호 문화 조성

1.3.3 사고 예방 및 대응

• 침해사고 대응 절차 수립
• 모의훈련 실시

1.4 관리체계 점검 및 개선

1.4.1 법적 요구사항 준수 검토

• 관련 법규 준수 여부 점검
• 변경 사항 모니터링

1.4.2 관리체계 점검

• 연 1회 이상 내부 심사
• 운영 현황 점검

1.4.3 지속적 개선

• 점검 결과에 따른 개선
• 경영진 보고

3.3 2장: 보호대책 요구사항 (12개 인증기준)

2.1 정책, 조직, 자산 관리

2.1.1 정책의 유지관리

• 정책 정기 검토 및 개정

2.1.2 조직의 유지관리

• 조직 변경 시 역할·책임 재정의

2.1.3 정보자산 관리

• 자산 변경 시 목록 업데이트
• 자산 폐기 절차

2.2 인적 보안

2.2.1 주요 직무자 지정 및 관리

• 보안 업무 담당자 지정
• 권한 부여 및 관리

2.2.2 인식 제고 및 교육

• 연 1회 이상 정보보호 교육
• 신규 입사자 교육

2.2.3 퇴직 및 직무 변경 관리

• 퇴직 시 계정 삭제, 자료 반납
• 직무 변경 시 권한 조정

2.3 외부자 보안

2.3.1 외부자 계약 시 보안

• 보안 서약서 징구
• 계약서에 보안 조항 포함

2.3.2 외부자 보안 이행 관리

• 외부자 접근 통제
• 작업 감독

2.4 물리적 보안

2.4.1 보호구역 지정

• 전산실, 개인정보 보관 장소 보호구역 지정
• 출입 통제

2.4.2 물리적 접근 통제

• 출입 통제 시스템
• 출입 기록 관리

2.4.3 사무실 및 업무환경 보안

• Clear Desk, Clear Screen 정책
• CCTV 설치 (필요 시)

2.5 시스템 및 서비스 운영 보안

2.5.1 시스템 개발 보안

• 보안 요구사항 정의
• 소스코드 보안 점검

2.5.2 시스템 및 서비스 운영

• 운영 절차 수립
• 변경 관리

2.5.3 시스템 및 서비스 보안 설정

• 불필요한 서비스 제거
• 보안 패치

2.5.4 악성코드 통제

• 백신 프로그램 설치
• 실시간 감시

2.6 접근 통제

2.6.1 사용자 계정 관리

• 개인별 계정 부여
• 공용 계정 금지

2.6.2 사용자 접근 관리

• 최소 권한 부여
• 권한 정기 검토

2.6.3 정보시스템 접근

• 접근 통제 시스템
• 인증 수단 (비밀번호, 인증서 등)

2.6.4 네트워크 접근

• 네트워크 구간 분리
• 방화벽 설정

2.6.5 인터넷 접속 통제

• 인터넷 구간과 내부 구간 분리
• 프록시 서버 등 활용

2.7 암호화 적용

2.7.1 암호 정책 수립

• 암호화 대상, 알고리즘 정의

2.7.2 암호키 관리

• 암호키 생성, 보관, 폐기 절차
• 암호키 접근 통제

2.7.3 암호 적용

• 개인정보 암호화
• 통신 구간 암호화

2.8 정보시스템 도입 및 개발 보안

2.8.1 보안 요구사항 정의

• 시스템 도입 시 보안 요구사항 반영

2.8.2 보안 시험

• 개발 완료 후 보안 취약점 점검

2.9 시스템 및 서비스 운영 관리

2.9.1 성능 및 장애 관리

• 시스템 성능 모니터링
• 장애 대응 절차

2.9.2 백업 및 복구 관리

• 정기 백업
• 복구 절차 및 주기적 복구 테스트

2.9.3 로그 및 접속 기록 관리

• 로그 기록 및 보관
• 로그 점검 (월 1회 이상)

2.10 시스템 및 서비스 보안 관리

2.10.1 취약점 점검 및 조치

• 정기 취약점 진단
• 조치 및 이행

2.10.2 보안 사고 예방 및 대응

• 보안 사고 대응 절차
• 모의훈련

2.11 업무 연속성 관리

2.11.1 업무 연속성 계획 수립

• BCP (Business Continuity Plan) 수립

2.11.2 업무 연속성 시험 및 개선

• 정기 시험 및 훈련

2.12 재해 복구

2.12.1 재해·재난 대비 안전조치

• 재해 대비 시설 및 설비
• DRP (Disaster Recovery Plan)

3.4 3장: 개인정보 처리 단계별 요구사항 (6개 인증기준)

3.1 개인정보 수집 시 보호조치

3.1.1 개인정보 수집 제한

• 최소 수집 원칙
• 필수·선택 정보 구분

3.1.2 개인정보 수집 시 동의

• 명시적 동의
• 민감정보 별도 동의

3.1.3 만 14세 미만 아동 개인정보 수집 제한

• 법정대리인 동의

3.2 개인정보 보유 및 이용 시 보호조치

3.2.1 개인정보 현황 관리

• 개인정보 처리 현황 파악
• 개인정보 흐름도 작성

3.2.2 개인정보 품질 보장

• 정확성, 완전성 확보

3.2.3 개인정보 표시 제한

• 최소 정보만 표시
• 마스킹 처리

3.3 개인정보 제공 시 보호조치

3.3.1 개인정보 제공 제한

• 동의 없는 제공 금지

3.3.2 개인정보 목적 외 이용 제한

• 수집 목적 외 이용 금지

3.3.3 개인정보 위탁 관리

• 위탁 계약 체결
• 수탁자 관리·감독

3.4 개인정보 파기 시 보호조치

3.4.1 개인정보 파기

• 보유 기간 경과 시 즉시 파기
• 복구 불가능한 방법으로 파기

3.4.2 처리 목적 달성 후 보유 시 조치

• 법령에 따라 보존하는 경우 분리 보관

3.5 정보주체 권리 보호

3.5.1 개인정보 처리방침 공개

• 홈페이지 첫 화면 공개

3.5.2 정보주체 권리 보장

• 열람, 정정·삭제, 처리정지 절차 마련

3.5.3 개인정보 유출 등 통지

• 유출 시 정보주체 통지
• 한국인터넷진흥원 신고

3.6 개인정보 안전성 확보

3.6.1 접근 권한 관리

• 개인정보 접근 권한 최소화
• 권한 정기 검토

3.6.2 접근 통제

• 개인정보 시스템 접근 통제

3.6.3 개인정보 암호화

• 고유식별정보, 비밀번호 암호화

3.6.4 접속 기록 보관 및 점검

• 6개월 이상 보관
• 월 1회 이상 점검

4. ISMS-P 인증 절차

4.1 인증 절차 개요

4.2 1단계: 사전 준비 (3~6개월)

준비 항목

1. 갭 분석 (Gap Analysis)

   • 현재 수준 vs 인증 기준 비교
   • 부족한 부분 파악

2. 관리체계 구축

   • 정책, 절차, 지침 수립
   • 조직 구성

3. 보호대책 구현

   • 기술적·관리적·물리적 조치

4. 내부 심사

   • 자체 점검
   • 미흡 사항 개선

5. 증적 자료 준비

   • 정책 문서
   • 교육 이력
   • 점검 기록 등

4.3 2단계: 인증 신청

신청 기관

• 한국인터넷진흥원 (KISA)
• 온라인 신청: https://isms.kisa.or.kr

제출 서류

• 인증 신청서
• 사업자등록증
• 관리체계 문서 (정책, 절차 등)
• 기타 증적 자료

4.4 3단계: 서면 심사 (약 2주)

심사원이 제출한 서류를 검토:

• 관리체계 문서 적정성
• 증적 자료 충분성

결과:

• 적합 → 현장 심사 진행
• 부적합 → 보완 후 재검토

4.5 4단계: 현장 심사 (3~5일)

심사원이 실제 현장 방문하여 심사:

심사 방법

1. 인터뷰: 담당자, 경영진 면담
2. 문서 검토: 정책, 절차, 기록
3. 현장 확인: 전산실, 사무실 등
4. 시스템 점검: 보안 설정, 로그 등

심사 항목

• 102개 통제항목 모두 점검
• 샘플링 방식으로 증적 확인

4.6 5단계: 시정 조치 (필요 시)

현장 심사에서 발견된 부적합 사항에 대해 시정 조치:

• 경미한 사항: 30일 이내 시정
• 중대한 사항: 90일 이내 시정

4.7 6단계: 인증위원회 심의

한국인터넷진흥원 인증위원회에서 최종 심의:

• 심사 결과 검토
• 인증 여부 결정

4.8 7단계: 인증서 발급

인증 결정 시 인증서 발급

인증 유효 기간

• 3년

사후 관리

• 매년 사후 관리 심사 실시 (간소화된 심사)

5. 침해사고 대응 (정보통신망법 제48조)

5.1 침해사고의 신고 (법 제48조)

신고 의무

정보통신서비스 제공자는 대통령령으로 정하는 침해사고가 발생한 경우 한국인터넷진흥원에 신고

신고 대상 침해사고 (시행령 제48조)

1. 해킹, 컴퓨터바이러스, 논리폭탄, 메일폭탄, 서비스 거부 또는 고출력 전자기파 등의 방법으로 정보통신망 또는 이와 관련된 정보시스템을 공격하는 행위로 인한 사고
2. 1만명 이상의 정보주체에 관한 개인정보 유출 사고
3. 그 밖에 정보통신서비스 제공에 중대한 영향을 미치는 사고

신고 시한

침해사고를 인지한 때로부터 지체 없이 신고

5.2 침해사고 대응 절차

5.3 한국인터넷진흥원의 지원

침해사고 신고 시 KISA의 지원:

• 침해사고 원인 분석 지원
• 대응 방안 자문
• 디지털 포렌식 지원
• 유사 사고 정보 공유

5.4 침해사고 대응 체계 구축

사전 준비

1. 침해사고 대응팀 구성
2. 대응 절차 문서화
3. 비상 연락망 구축
4. 정기 훈련 실시

사고 발생 시

1. 즉시 대응팀 소집
2. 피해 확산 방지
3. 증거 보전
4. 신고 및 통지

6. 보안 컨설팅 관점의 시사점

6.1 ISMS-P 인증 준비 컨설팅

클라이언트의 ISMS-P 인증 준비 지원:

1단계: 현황 진단 (Gap Analysis)

• 현재 보안 수준 평가
• 인증 기준 대비 부족한 부분 파악

2단계: 로드맵 수립

• 인증 일정 계획
• 우선순위 결정

3단계: 관리체계 구축 지원

• 정책, 절차, 지침 작성
• 조직 구성 자문

4단계: 보호대책 구현 지원

• 기술적 보호대책 설계·구현
• 관리적·물리적 조치 지원

5단계: 내부 심사 및 모의 심사

• 인증 전 사전 점검
• 미흡 사항 개선

6단계: 인증 심사 대응 지원

• 심사 대응 전략 수립
• 증적 자료 준비 지원

6.2 ISMS-P 유지 관리 컨설팅

인증 후 지속적인 관리 지원:

• 연간 사후 관리 심사 대응
• 3년 후 갱신 심사 대응
• 정기적인 내부 심사 지원
• 관리체계 지속적 개선

6.3 침해사고 대응 체계 구축

클라이언트의 침해사고 대응 역량 강화:

1. 침해사고 대응 절차 수립
2. 대응팀 구성 및 역할 정의
3. 정기 모의훈련 실시
4. 포렌식 도구 및 역량 확보

7. 실무 사례

사례 1: 중견 전자상거래 기업 ISMS-P 인증

상황:

• 일일 이용자: 120만명
• 매출: 150억원
• ISMS-P 인증 의무 대상

컨설팅 절차:

1. 6개월간 인증 준비
2. Gap Analysis → 약 30% 미흡
3. 정책 20개, 절차 40개 신규 작성
4. 기술적 조치: 암호화, 접근통제, 로그 관리 강화
5. 내부 심사 → 20건 개선
6. 인증 신청 → 현장 심사
7. 시정 조치 5건 → 30일 내 완료
8. 인증 획득

사례 2: 스타트업 자발적 ISMS 인증

상황:

• 이용자: 50만명 (의무 대상 아님)
• 대형 고객사 요구로 자발적 인증 추진

컨설팅 조언:

• ISMS-P 대신 ISMS만 인증 (개인정보 처리 최소)
• 비용 및 시간 절감
• 3개월 만에 인증 획득

사례 3: 침해사고 발생 및 대응

상황: ISMS-P 인증 기업에서 랜섬웨어 감염

대응:

1. 즉시 감염 시스템 격리
2. KISA에 침해사고 신고
3. KISA 지원으로 원인 분석
4. 백업으로 복구
5. 재발 방지 대책 수립
6. 사후 관리 심사 시 보고

결과:

• 인증 유지 (적절한 대응으로 인정)

8. 체크리스트

ISMS-P 인증 준비

• 인증 의무 대상에 해당하는가?
• Gap Analysis를 수행했는가?
• 관리체계 문서(정책, 절차)가 수립되어 있는가?
• CISO, CPO가 지정되어 있는가?
• 위험 평가를 수행했는가?
• 보호대책이 구현되어 있는가?
• 교육을 연 1회 이상 실시하는가?
• 내부 심사를 연 1회 이상 실시하는가?
• 증적 자료가 충분히 준비되어 있는가?

침해사고 대응 준비

• 침해사고 대응 절차가 수립되어 있는가?
• 대응팀이 구성되어 있는가?
• 비상 연락망이 구축되어 있는가?
• 정기적인 모의훈련을 실시하는가?
• 백업 체계가 구축되어 있는가?

학습 정리

오늘 학습한 핵심 내용:

• ISMS-P는 정보보호 + 개인정보보호 관리체계 인증
• 5개 영역, 22개 인증기준, 102개 통제항목
• 의무 대상: 일일 100만명 이상 또는 매출 100억 이상 또는 개인정보 100만명 이상
• 인증 절차: 사전 준비(3~6개월) → 신청 → 서면 심사 → 현장 심사 → 인증
• 인증 유효 기간: 3년, 매년 사후 관리 심사
• 침해사고 발생 시 KISA에 신고 의무
• 보안 컨설팅에서 ISMS-P 인증 준비 및 유지 관리 지원이 핵심 업무

다음 학습 주제

Day 11: 아동·영상정보·가명정보 특칙