Day 21: ISO 27002 정보보호 통제 가이드라인

1. ISO 27002의 개요

1.1 ISO 27002란?

정식 명칭: ISO/IEC 27002:2022 Information security, cybersecurity and privacy protection — Information security controls

ISO 27002: ISO 27001의 Annex A 통제항목에 대한 상세한 구현 가이드라인을 제공하는 국제 표준

성격:

  • ISO 27001은 “무엇을” 해야 하는지 규정 (Requirements)
  • ISO 27002는 “어떻게” 구현하는지 안내 (Code of Practice, Guidelines)

1.2 ISO 27001 vs ISO 27002

구분 ISO 27001 ISO 27002
성격 인증 표준 (Requirements) 가이드라인 (Guidelines)
목적 ISMS 요구사항 규정 보안 통제 구현 방법 안내
인증 여부 인증 가능 인증 불가 (참고 자료)
통제항목 93개 (Annex A) 93개 (상세 설명)
사용 방법 인증 기준 구현 가이드

관계:

  • ISO 27001 Annex A : “암호화 사용 (A.8.24)”
  • ISO 27002 : “암호화를 어떻게 구현할지 상세 설명”

1.3 제정 배경 및 연혁

  • 2005년: ISO/IEC 27002:2005 발행 (당시 ISO 17799)
  • 2013년: ISO/IEC 27002:2013 개정
  • 2022년: ISO/IEC 27002:2022 최신 개정
    • ISO 27001:2022와 동시 개정
    • 통제항목 재구성 (114개 → 93개)

1.4 ISO 27002의 활용

(1) ISO 27001 인증 준비

  • Annex A 통제항목 구현 시 참고 자료

(2) 정보보호 체계 구축

  • 인증 없이도 정보보호 모범 사례 학습

(3) 보안 컨설팅

  • 고객에게 구체적인 구현 방안 제시

(4) 보안 감사

  • 통제 구현 수준 평가 기준

2. ISO 27002의 구조

2.1 4개 영역 (Attributes)

ISO 27002:2022는 통제항목을 4가지 속성으로 분류:

  1. Organizational controls (조직적 통제) - 37개
  2. People controls (인적 통제) - 8개
  3. Physical controls (물리적 통제) - 14개
  4. Technological controls (기술적 통제) - 34개

93개 통제

2.2 각 통제항목의 구성

각 통제항목은 다음 정보를 포함:

(1) Control (통제)

통제의 목적요구사항

(2) Purpose (목적)

왜 이 통제가 필요한가

(3) Guidance (가이던스)

어떻게 구현할 것인가 (구체적 방법)

(4) Other information (기타 정보)

관련 정보 (선택 사항)

3. 조직적 통제 (Organizational Controls) - 37개

3.1 주요 통제항목 상세

A.5.1 정보보호 정책 (Information security policies)

목적: 조직의 정보보호 방향과 원칙을 제시

가이던스:

  1. 정보보호 정책 수립

    • 최고경영자 승인
    • 조직의 목표 및 전략과 정렬
    • 법적·규제적 요구사항 반영

  2. 정책 내용:

    • 정보보호 목적
    • 정보보호 원칙
    • 역할 및 책임
    • 위반 시 조치

  3. 정책 배포 및 의사소통:

    • 전 직원에게 전달
    • 정기적으로 검토·개정

구현 예시:

  • 정보보호 정책 문서 작성
  • 임원 승인
  • 인트라넷 게시
  • 신규 입사자 교육 시 전달

A.5.7 위협 인텔리전스 (Threat intelligence)

목적: 위협 정보를 수집·분석하여 보안 강화

가이던스:

  1. 위협 정보 수집:

    • 보안 뉴스, 블로그
    • 보안 업체 리포트
    • 정부 기관 (KISA, CERT 등)

  2. 위협 정보 분석:

    • 조직에 미치는 영향 평가
    • 우선순위 결정

  3. 대응 조치:

    • 보안 패치
    • 보안 설정 강화
    • 모니터링 강화

구현 예시:

  • KISA 보안 공지 구독
  • CVE (Common Vulnerabilities and Exposures) 모니터링
  • 주간 보안 동향 보고서 작성

A.5.10 정보 및 기타 관련 자산의 허용 가능한 사용

목적: 정보자산의 올바른 사용 규칙 수립

가이던스:

  1. 허용 가능한 사용 정책 (AUP: Acceptable Use Policy) 수립:

    • 업무용 PC 사용 규칙
    • 이메일 사용 규칙
    • 인터넷 사용 규칙
    • 모바일 기기 사용 규칙

  2. 금지 사항:

    • 업무 외 사용
    • 불법 소프트웨어 설치
    • 개인 파일 저장
    • 부적절한 웹사이트 접속

  3. 서약:

    • 전 직원 AUP 서약

구현 예시 [정보자산 사용 정책]:

  1. 회사 PC는 업무 목적으로만 사용
  2. 개인 소프트웨어 설치 금지
  3. 불법 복제 소프트웨어 사용 금지
  4. 업무 외 웹사이트 접속 제한

A.5.23 클라우드 서비스 사용 시 정보보호 (2022년 신규)

목적: 클라우드 서비스 사용 시 정보보호 확보

가이던스:

  1. 클라우드 서비스 선정:

    • 보안 인증 확인 (ISO 27001, SOC 2 등)
    • SLA (Service Level Agreement) 검토
    • 데이터 위치 확인

  2. 책임 분담 모델 이해:

    • IaaS : 고객이 OS 이상 책임
    • PaaS : 고객이 애플리케이션 책임
    • SaaS : 대부분 제공자 책임

  3. 데이터 보호:

    • 암호화 (저장, 전송)
    • 접근 통제
    • 백업

  4. 계약 사항:

    • 데이터 소유권
    • 데이터 반환 절차
    • 계약 종료 시 데이터 삭제

구현 예시:

  • AWS, Azure, GCP 사용 시 보안 설정 점검
  • CSP (Cloud Service Provider) 보안 인증 확인
  • 클라우드 보안 정책 수립

4. 인적 통제 (People Controls) - 8개

4.1 주요 통제항목 상세

A.6.1 선별 심사 (Screening)

목적: 채용 시 신원 확인으로 리스크 감소

가이던스:

  1. 배경 조사:

    • 학력 확인
    • 경력 확인
    • 범죄 경력 조회 (법적 허용 범위 내)
    • 신용 조회 (금융권 등)

  2. 민감한 직무:

    • 보안 관련 직무
    • 개인정보 취급 직무
    • → 더 엄격한 심사

  3. 개인정보 보호:

    • 본인 동의
    • 법적 근거

구현 예시:

  • 채용 시 최종 학력 증명서 제출
  • 경력증명서 확인
  • 보안 담당자는 범죄 경력 조회

A.6.3 정보보호 인식, 교육 및 훈련

목적: 임직원의 정보보호 역량 강화

가이던스:

  1. 정보보호 인식 제고:

    • 포스터, 이메일, 메신저
    • 정보보호의 중요성 전달

  2. 정보보호 교육:

    • 연 1회 이상 필수 교육
    • 온라인 또는 오프라인
    • 내용: 정보보호 정책, 개인정보 보호, 피싱 예방 등

  3. 신규 입사자 교육:

    • 입사 즉시 교육

  4. 역할별 교육:

    • 개발자: 시큐어 코딩
    • 관리자: 시스템 보안 설정
    • 개인정보취급자: 개인정보 보호

구현 예시:

  • 연 1회 온라인 정보보호 교육 (1시간)
  • 신규 입사자 OT에 정보보호 교육 포함
  • 분기 1회 보안 뉴스레터 발송

A.6.8 정보보호 이벤트 보고

목적: 보안 사고 조기 발견 및 대응

가이던스:

  1. 보고 채널 수립:

    • 이메일, 전화, 사내 시스템

  2. 보고 대상:

    • 의심스러운 이메일 (피싱)
    • 악성코드 감염
    • 비정상적 시스템 동작
    • 개인정보 유출 의심

  3. 보고 장려:

    • 신속 보고 문화 조성
    • 보고자 보호

  4. 대응:

    • 보고 접수 즉시 조사
    • 필요 시 대응팀 소집

구현 예시 [보안 사고 발견 시]:

  1. 즉시 보안팀에 연락 (내선 1234)
  2. 이메일 : security@company.com
  3. 의심스러운 이메일은 절대 클릭 금지

5. 물리적 통제 (Physical Controls) - 14개

5.1 주요 통제항목 상세

A.7.1 물리적 보안 경계 (Physical security perimeters)

목적: 물리적 보안 구역 설정 및 보호

가이던스:

  1. 보안 구역 설정:

    • 일반 구역 : 사무실
    • 제한 구역 : 전산실, 서버실
    • 통제 구역 : 중요 데이터 보관실

  2. 보안 경계:

    • 울타리, 벽, 문
    • 보안 구역 표시

  3. 출입 통제:

    • 출입카드, 생체인증
    • 방문자 관리

구현 예시:

  • 전산실: 출입카드 + 지문인증
  • 일반 직원 출입 금지
  • 방문자는 담당자 동행 필수

A.7.4 물리적 보안 모니터링 (2022년 신규)

목적: 물리적 침입 탐지 및 기록

가이던스:

  1. CCTV 설치:

    • 주요 출입구
    • 복도
    • 전산실

  2. 녹화 보관:

    • 최소 30일 이상

  3. 실시간 모니터링:

    • 경비실에서 모니터링

  4. 알람 시스템:

    • 침입 시 알람

구현 예시:

  • 전산실 출입구 CCTV 24시간 녹화
  • 경비실에서 실시간 모니터링
  • 녹화 파일 90일 보관

A.7.7 클리어 데스크 및 클리어 스크린 (Clear desk and clear screen)

목적: 책상 및 화면 정리로 정보 유출 방지

가이던스:

  1. 클리어 데스크 (Clear Desk):

    • 퇴근 시 책상 위 문서 정리
    • 서류는 잠금 서랍에 보관
    • 개인정보 문서는 특히 주의

  2. 클리어 스크린 (Clear Screen):

    • 자리 이탈 시 화면 잠금 (Windows: Win+L)
    • 자동 화면 잠금 설정 (5분)

  3. 정책 수립 및 교육:

    • 클리어 데스크 정책
    • 위반 시 경고

구현 예시 [클리어 데스크 정책]:

  1. 퇴근 시 책상 위 모든 문서 정리
  2. 중요 문서는 잠금 캐비닛에 보관
  3. 자리 이탈 시 화면 잠금 (Win+L)
  4. PC 5분 미사용 시 자동 잠금

A.7.10 저장 매체 (Storage media)

목적: 저장 매체의 안전한 관리

가이던스:

  1. 저장 매체 관리:

    • USB, 외장 하드, CD/DVD 등
    • 반입·반출 통제

  2. 암호화:

    • 저장 매체에 저장된 중요 정보 암호화

  3. 폐기:

    • 저장 매체 폐기 시 완전 삭제 또는 물리적 파괴

  4. 승인된 저장 매체만 사용:

    • 보안 USB만 사용
    • 일반 USB 차단

구현 예시:

  • 회사 지급 보안 USB만 사용
  • 개인 USB 사용 금지 (DLP로 차단)
  • 폐기 시 하드디스크 물리적 파쇄

6. 기술적 통제 (Technological Controls) - 34개

6.1 주요 통제항목 상세

A.8.2 특권적 접근 권한 (Privileged access rights)

목적: 관리자 권한의 안전한 관리

가이던스:

  1. 특권 계정 최소화:

    • 필요한 인원에게만 부여

  2. 별도 계정:

    • 일반 업무용 계정 vs 관리자 계정 분리

  3. 접근 통제:

    • 관리자 계정 사용 시 2차 인증
    • 사용 기록 로그

  4. 정기 검토:

    • 분기 1회 관리자 권한 검토
    • 불필요 시 회수

구현 예시 [관리자 권한 관리]:

  • 일반 업무 : user_hong 계정
  • 시스템 관리 : admin_hong 계정 (별도)
  • admin 계정 사용 시 OTP 인증 필수
  • 모든 admin 작업 로그 기록

A.8.3 정보 접근 제한 (Information access restriction)

목적: 정보 및 시스템에 대한 접근 제한

가이던스:

  1. 접근 통제 정책:

    • 역할 기반 접근 통제 (RBAC)
    • 최소 권한 원칙

  2. 접근 권한 부여:

    • 업무 필요성에 따라 부여
    • 승인 절차

  3. 접근 권한 검토:

    • 정기적 검토 (분기 1회)
    • 퇴사자 즉시 삭제

  4. 네트워크 분리:

    • DMZ, 내부망, 개발망 분리

구현 예시:

  • 영업팀 : CRM 시스템만 접근
  • 개발팀 : 개발 서버만 접근
  • 인사팀 : 인사 DB만 접근

A.8.5 안전한 인증 (Secure authentication)

목적: 안전한 사용자 인증

가이던스:

  1. 강력한 비밀번호:

    • 최소 8자 이상
    • 영문 대소문자 + 숫자 + 특수문자
    • 주기적 변경 (90일)

  2. 다중 인증 (MFA: Multi-Factor Authentication):

    • 비밀번호 + OTP
    • 비밀번호 + 생체인증

  3. 계정 잠금:

    • 로그인 5회 실패 시 계정 잠금

  4. 세션 관리:

    • 일정 시간 미사용 시 자동 로그아웃
    • 동시 로그인 제한

구현 예시 [비밀번호 정책]:

  • 최소 10자 이상
  • 영문 대소문자 + 숫자 + 특수문자 조합
  • 90일마다 변경
  • 이전 3개 비밀번호 재사용 금지
  • 5회 로그인 실패 시 30분 잠금

A.8.8 보안 로그 관리 (Management of technical vulnerabilities)

목적: 로그 기록 및 모니터링

가이던스:

  1. 로그 기록 대상:

    • 로그인/로그아웃
    • 권한 변경
    • 중요 파일 접근
    • 시스템 설정 변경

  2. 로그 보존:

    • 최소 6개월 이상
    • 중요 시스템은 1년 이상

  3. 로그 무결성:

    • 위·변조 방지
    • 별도 로그 서버에 저장

  4. 로그 모니터링:

    • 이상 징후 탐지
    • 정기 검토 (월 1회)

구현 예시:

  • 모든 서버 로그를 SIEM (Security Information and Event Management)으로 전송
  • 로그 1년 보관
  • 주간 보안 로그 리뷰

A.8.24 암호화 사용 (Use of cryptography)

목적: 정보의 기밀성, 무결성 보호

가이던스:

  1. 암호화 정책 수립:

    • 암호화 대상 정의
    • 암호화 알고리즘 선정

  2. 암호화 대상:

    • 개인정보 DB
    • 중요 파일
    • 전송 구간 (HTTPS, VPN)
    • 백업 파일

  3. 암호화 알고리즘:

    • 대칭키 : AES-256
    • 비대칭키 : RSA-2048 이상
    • 해시 : SHA-256 이상

  4. 키 관리:

    • 암호키 안전한 보관
    • 정기적 키 변경
    • HSM (Hardware Security Module) 사용

구현 예시 [암호화 정책]:

  • 개인정보 DB : AES-256 암호화
  • 비밀번호 : SHA-256 해시
  • 웹 통신 : TLS 1.3
  • 파일 전송 : SFTP
  • 백업 : 암호화 후 백업

7. 보안 컨설팅 관점의 시사점

7.1 ISO 27002 활용 방법

(1) ISO 27001 인증 준비 시

  1. Annex A 통제항목 선정
  2. ISO 27002 참조하여 구현 방법 학습
  3. 조직에 맞게 커스터마이징

(2) 보안 체계 구축 시

  1. ISO 27002를 모범 사례로 활용
  2. 필요한 통제 선정
  3. 단계적 구현

(3) 보안 감사 시

  1. ISO 27002 기준으로 현황 평가
  2. 미흡한 부분 개선 권고

7.2 통제 구현 우선순위

모든 93개 통제를 한 번에 구현하기 어려우므로 우선순위 설정:

High Priority (우선 구현)

  • A.5.1 정보보호 정책
  • A.6.3 정보보호 교육
  • A.8.2 특권 접근 권한
  • A.8.3 정보 접근 제한
  • A.8.5 안전한 인증
  • A.8.24 암호화 사용

Medium Priority (다음 단계)

  • A.5.7 위협 인텔리전스
  • A.7.1 물리적 보안 경계
  • A.7.7 클리어 데스크
  • A.8.8 로그 관리

Low Priority (여유 있을 때)

  • 기타 통제

7.3 컨설팅 시 ISO 27002 제안

클라이언트 상황: “정보보호를 강화하고 싶은데 뭘 해야 할지 모르겠어요”

컨설턴트 제안:

  1. 현황 진단 : ISO 27002 기준으로 갭 분석
  2. 우선순위 : 리스크가 높은 통제부터 구현
  3. 로드맵 : 6개월 ~ 1년 단계적 구현 계획
  4. 인증 목표 : 장기적으로 ISO 27001 인증 준비

8. 실무 사례

사례 1: 스타트업 정보보호 체계 구축

상황: C스타트업 (직원 50명, 핀테크)

요구사항:

  • 투자 유치를 위해 정보보호 강화 필요
  • ISO 27001 인증까지는 부담

컨설팅 접근:

  1. ISO 27002 기반 갭 분석

  2. 핵심 통제 15개 선정:

    • 정보보호 정책
    • 역할 및 책임
    • 위험 평가
    • 접근 통제
    • 암호화
    • 로그 관리
    • 물리적 보안
    • 교육
    • 사고 대응
    • 백업

  3. 3개월 구현:

    • 1개월 : 정책·절차 수립
    • 2개월 : 기술적 통제 구현
    • 3개월 : 교육 및 점검

결과:

  • 정보보호 수준 크게 향상
  • 투자 유치 성공
  • 향후 ISO 27001 인증 준비 기반 마련

사례 2: 제조업 클라우드 전환

상황: D제조업 (직원 200명) 온프레미스 → AWS 클라우드 전환

ISO 27002 A.5.23 클라우드 보안 적용:

  1. AWS 보안 인증 확인

    • ISO 27001, SOC 2 인증 확인

  2. 책임 분담 모델 이해

    • AWS : 인프라 보안
    • D사 : 애플리케이션, 데이터 보안

  3. 보안 설정:

    • S3 버킷 암호화
    • IAM 정책 설정 (최소 권한)
    • VPC 네트워크 분리
    • CloudTrail 로그 활성화

  4. 데이터 백업:

    • 일일 백업
    • 다른 리전에 백업 복제

결과:

  • 안전한 클라우드 전환
  • 운영 비용 30% 절감

사례 3: 금융권 특권 계정 관리 강화

상황: E은행, 내부자에 의한 개인정보 유출 사고 발생

ISO 27002 A.8.2 특권 접근 권한 강화:

  1. 관리자 계정 분리:

    • 일반 업무용 vs 관리자용 계정 분리

  2. 2차 인증:

    • 관리자 계정 사용 시 OTP 필수

  3. PAM (Privileged Access Management) 도입:

    • 관리자 계정 통합 관리
    • 세션 녹화
    • 실시간 모니터링

  4. 정기 검토:

    • 월 1회 관리자 권한 검토

결과:

  • 내부자 위협 대폭 감소
  • 관리자 계정 오남용 방지

9. ISO 27002:2022 신규 통제항목

9.1 2022년 신규 추가된 11개 통제

번호 통제항목 설명
A.5.7 위협 인텔리전스 위협 정보 수집·분석
A.5.23 클라우드 서비스 사용 시 정보보호 클라우드 보안
A.5.30 사업 연속성을 위한 ICT 준비성 BCP/DR
A.7.4 물리적 보안 모니터링 CCTV 등
A.8.9 구성 관리 시스템 설정 관리
A.8.10 정보 삭제 안전한 데이터 삭제
A.8.11 데이터 마스킹 민감 데이터 마스킹
A.8.12 데이터 유출 방지 DLP
A.8.16 모니터링 활동 보안 모니터링
A.8.23 웹 필터링 유해 사이트 차단
A.8.28 안전한 코딩 시큐어 코딩

특징:

  • 클라우드 보안 강화
  • 데이터 보호 강화
  • 원격근무 환경 고려

9.2 A.8.12 데이터 유출 방지 (DLP)

목적: 민감 데이터의 무단 유출 방지

가이던스:

  1. DLP 솔루션 도입:

    • 네트워크 DLP : 이메일, 웹 업로드 등
    • 엔드포인트 DLP : USB, 프린터 등

  2. 정책 설정:

    • 개인정보 유출 차단
    • 기밀 문서 외부 전송 차단

  3. 탐지 규칙:

    • 주민등록번호 패턴
    • 신용카드 번호 패턴
    • “대외비” 문서

  4. 대응:

    • 차단 또는 경고
    • 보안팀 알림

구현 예시:

  • 이메일에 주민등록번호 포함 시 발송 차단
  • USB로 “대외비” 문서 복사 시 차단

9.3 A.8.28 안전한 코딩 (Secure coding)

목적: 보안 취약점 없는 코드 작성

가이던스:

  1. 시큐어 코딩 가이드:

    • OWASP Top 10 대응
    • SQL Injection 방지
    • XSS 방지
    • CSRF 방지

  2. 코드 리뷰:

    • 동료 리뷰
    • 보안 관점 리뷰

  3. 자동화 도구:

    • SAST (Static Application Security Testing)
    • DAST (Dynamic Application Security Testing)

  4. 개발자 교육:

    • 시큐어 코딩 교육

구현 예시 [SQL Injection 방지]:

  • 나쁜 예 (SQL Injection 취약) :

    • query = “SELECT * FROM users WHERE id = ‘” + user_id + “’”

  • 좋은 예 (Prepared Statement 사용) :

    • query = “SELECT * FROM users WHERE id = ?”
    • cursor.execute(query, (user_id,))

10. 체크리스트

조직적 통제

  • 정보보호 정책을 수립했는가?
  • 위협 인텔리전스를 수집·분석하는가?
  • 정보자산 사용 정책(AUP)이 있는가?
  • 클라우드 사용 시 보안을 고려하는가?

인적 통제

  • 채용 시 배경 조사를 하는가?
  • 정보보호 교육을 연 1회 이상 실시하는가?
  • 보안 사고 보고 채널이 있는가?

물리적 통제

  • 물리적 보안 경계가 설정되어 있는가?
  • CCTV로 모니터링하는가?
  • 클리어 데스크 정책이 있는가?
  • 저장 매체를 안전하게 관리하는가?

기술적 통제

  • 관리자 권한을 엄격히 관리하는가?
  • 역할 기반 접근 통제를 하는가?
  • 다중 인증(MFA)을 사용하는가?
  • 로그를 기록하고 모니터링하는가?
  • 암호화를 사용하는가?
  • DLP를 구현했는가?
  • 시큐어 코딩을 하는가?

학습 정리

오늘 학습한 핵심 내용:

  • ISO 27002는 ISO 27001 Annex A 통제항목의 구현 가이드라인
  • ISO 27001 = “무엇을”, ISO 27002 = “어떻게”
  • 93개 통제 : 조직적 37, 인적 8, 물리적 14, 기술적 34
  • 각 통제항목은 목적, 가이던스, 기타 정보 포함
  • 2022년 개정 : 클라우드, 원격근무, 데이터 보호 강화
  • 신규 통제 11개 : 위협 인텔리전스, 클라우드 보안, DLP, 시큐어 코딩 등
  • 보안 컨설팅 시 ISO 27002를 모범 사례로 활용
  • 우선순위를 정해 단계적 구현
  • ISO 27001 인증 없이도 정보보호 체계 구축에 활용 가능

다음 학습 주제

Day 22: ISO 27701 개인정보 관리 시스템