📄 2026.01.09 (Day 52) - ISMS 인증 실무 컨설팅
1. 핵심 개념 정리
ISMS 컨설팅 실무 사례
| # | 핵심 개념 | 설명 | 실무/보안 관점 |
|---|---|---|---|
| 1 | 컨설팅 인터뷰 기법 | 고객사 담당자와의 효과적인 질문 및 답변 수집 | 실제 컨설턴트가 사용하는 인터뷰 스킬 |
| 2 | 의사결정권자 파악 | 경영진, CISO, CPO 등 핵심 의사결정자 식별 | 보고 라인과 승인 구조 이해 필수 |
| 3 | 내부 규정 준수 강화 | 위원회 기반 의사결정 체계 구축 | 정보보호 및 개인정보보호 위원회 필수 |
| 4 | 정책 전달 체계 | 이메일 공지 및 사내 게시판 게시 병행 | 전 직원 대상 정기적 공지 필수 |
| 5 | 위험 관리 체계 | 위험 평가 결과 및 보호대책 이행계획서 작성 | CISO 보고 및 승인 절차 명확화 |
ISMS 인증 결함 사항
| # | 핵심 개념 | 설명 | 실무/보안 관점 |
|---|---|---|---|
| 6 | 의사결정권자 부재 | 경영진이 실질적 권한을 가져야 함 | 형식적 운영은 인증 탈락 사유 |
| 7 | 형식적인 운영 | 문서상 절차만 존재하고 실제 이행 없음 | 심사원이 반드시 확인하는 항목 |
| 8 | 안전의 부적절성 | 위원회 연간 계획 미이행 시 지적 | 정책 수립과 실제 조치 불일치 |
| 9 | 조직 간 불균형 | 개인정보보호 조직이 배제된 의사결정 | 정보보호와 개인정보보호 통합 필요 |
| 10 | 내부 규정 미준수 | 위원회 의결을 거치지 않은 변경사항 발생 | 내부 프로세스 준수 증적 필요 |
교육 훈련 체계
| # | 핵심 개념 | 설명 | 실무/보안 관점 |
|---|---|---|---|
| 11 | 교육 계획 수립 | 연간 정보보호 및 개인정보보호 교육 계획서 필수 | 계획 수립 시 대상, 주기, 내용, 방법 명시 |
| 12 | 교육 대상 범위 | 정보자산 취급 구역 출입 경영진 포함 | 외주 인력도 교육 대상에 포함 |
| 13 | 교육 내용 적정성 | 온라인/오프라인 교육 방법 및 수준 명시 | 직무별 차등 교육 가능 |
| 14 | 교육 이행 증적 | 출석부, 설문지 등 교육 이행 자료 필요 | 연간 계획 수립 및 정리대조 필수 |
| 15 | 협의체 활성화 | 실무 협의체를 정기적으로 운영 | 실제 안건 토의 증적 확보 |
2. 실습 내용 정리
실습 9-1: ISMS 컨설팅 인터뷰 시뮬레이션
목표: 실제 컨설팅 현장에서 사용하는 인터뷰 기법 습득
실습 환경:
- 인터뷰 질문 템플릿
- 역할극 (컨설턴트 vs 고객사 담당자)
인터뷰 준비 단계:
- 고객사 조직도 파악
- 담당자 명단 확보
- 인터뷰 질문지 작성
인터뷰 1 - 위원회 운영 현황:
Q: “최 팀장님, 정보보호 및 개인정보보호 거버넌스 문서를 검토하다 보니 위원회, 협의체 구성이 아주 잘 되어 있네요. 그런데 실제 운영 현황을 좀 알고 싶습니다. 최근에 열린 위원회 회의록 좀 볼 수 있을까요?”
A: “네, 물론입니다. 여기 올해 진행된 정보보호위원회 전체 회의록입니다. IT 개발팀장님, 시스템 운영 파트장님들이 모여서 심도 있게 논의했습니다.”
Q: “(회의록을 넘겨보며) 음, 시스템 구축 운영 부서장님들뿐이군요. 그리고 ‘실무 협의체’가 구성은 되어 있는데 회의록이 하나도 없네요?”
A: “아… 협의체는 사실 메신저나 구두로 소통하고 있어서 별도 기록을 남기지는 못했습니다. 하지만 실무자들끼리는 매일 이야기합니다.”
Q: “회의 안건을 보니 ‘백신 업데이트 현황’ 같은 보고 사항만 있네요. 혹시 내년도 보안 예산 증액이나 개인정보처리 절차 변경에 대해 결정한 내용은 어디 있나요?”
A: “그건… 그게… (그냥 형식적 보고 회의였다는 것이 드러남)”
인터뷰 2 - 정보보호 정책서 개정:
Q: “이번에 개정된 정보보호 및 개인정보보호 정책서를 확인했습니다. 내용이 아주 알차게 업데이트 되었던데요. 그런데 이 정책서, 최종 의결을 받으셨나요?”
A: “저희 CISO님과 CPO님께 직접 보고드리고 최종 승인 받아서 바로 시행했습니다. 두 분 다 아주 꼼꼼히 검토해 주셨습니다.”
Q: “음, 내부 규정을 보니 정책 개정 시에는 정보보호 및 개인정보보호 위원회의 의결을 거쳐야 되어 있지 않나요? 위원회 안건 상정 기록이 안 보이네요.”
A: “아… 위원회 일정을 맞추기가 어려워서 책임자 승인만으로 했습니다. 책임자가 승인하면 괜찮지 않을 거라 생각했거든요.”
인터뷰 3 - 위험 평가 결과:
Q: “올해 수행하신 위험 평가 결과 보고서와 이행계획서를 검토했습니다. 그런데 이행계획서가 최종적으로 CISO님께 보고는 된 건가요?”
A: “실무진 수준에서는 이미 확정된 내용입니다. CISO님께는 구두로 대략적인 방향만 설명해 드렸고, 워낙 바쁘신 분이라 아직 공식적인 보고서 결재는 못 받았습니다. 하지만 실행은 저희가 알아서 잘 하고 있습니다.”
Q: “위험 감소가 필요하다고 나온 50가지 항목 중 5개 항목은 이행계획서에서 아예 빠져 있네요? 특히 ‘법적 의무 사항’인 고유식별정보 암호화 미비 건을 빠뜨리고 그냥 ‘위험 수용’으로 처리하셨더라고요.”
A: “그 부분은 예산 문제도 있고 시스템 구조상 당장 해결이 어려워서… 일단 위험 수용으로 넘겼습니다. 한 2년 뒤쯤 예산 확보해서 하려고요.”
Q: “단순히 설정 하나만 바꾸면 되는 패스워드 복잡도 설정 같은 쉬운 항목들도 1년 뒤 장기 계획으로 보류하셨네요?”
결함 사항 분석:
-
위원회 인적 구성 개편 필요
- 의사결정권을 확보하기 위해 경영진, 임원, CISO, CPO 등 실질적인 권한이 있는 임원을 반드시 포함
- CISO와 CPO가 공동 의장을 맡도록 조정
-
통합 거버넌스 구성
- 정보보호 조직, 시스템 구축 운영 부서 뿐만 아니라 개인정보보호 조직이 위원회에 참여하도록 운영 방침 구성
-
실질적 의결 체계 마련
- 회의 시 현황 보고 외에 ‘정보보호 계획 승인’, ‘보안 예산 확정’ 등의 안건을 상정
- 반드시 결과(의결 내용)가 포함된 회의록 보관
-
협의체 활성화
- 실무 협의체를 분기별 1회 등 정기적으로 개최
- 위원회에 상정할 안건을 사전에 검토하는 실질적 역할 수행
실습 9-2: 정보보호 교육 계획 수립
목표: ISMS-P 인증 기준에 맞는 연간 교육 계획서 작성
교육 대상 파악:
- 전 직원: 정보보호 및 개인정보보호 기본 교육
- IT 부서: 기술적 보호조치 교육
- 개발자: 시큐어 코딩 교육
- 관리자: 위험 관리 및 법적 요구사항
- 외주 업체: 제3자 보안 교육
교육 계획서 작성:
1) 전직원 대상 (온라인)
- 교육명: 정보보호 및 개인정보보호 기본 교육
- 주기: 연 1회 (1월)
- 내용: ISMS-P 개요, 비밀번호 관리, 이메일 보안, 개인정보 수집/이용/제공/파기
- 방법: 온라인 교육 (1시간)
- 이수율 목표: 100%
2) IT 부서 대상 (집합)
- 교육명: 기술적 보호조치 심화 교육
- 주기: 반기 1회 (3월, 9월)
- 내용: 접근통제, 암호화, 로그 관리, 취약점 점검
- 방법: 오프라인 강의 (4시간)
- 이수율 목표: 100%
3) 개발자 대상 (집합)
- 교육명: 시큐어 코딩
- 주기: 반기 1회 (4월, 10월)
- 내용: OWASP Top 10, SQL Injection 방어, XSS 방어, 입력값 검증
- 방법: 실습 포함 오프라인 (8시간)
- 이수율 목표: 100%
4) 관리자 대상 (집합)
- 교육명: 정보보호 관리체계 및 법규
- 주기: 연 1회 (6월)
- 내용: ISMS-P 인증 기준, 개인정보보호법, 위험 관리, 사고 대응
- 방법: 오프라인 강의 (2시간)
- 이수율 목표: 100%
5) 외주 업체 대상 (온라인)
- 교육명: 제3자 보안 교육
- 주기: 계약 시 1회 + 연 1회
- 내용: 보안 서약, 개인정보 취급 제한, 사고 보고 절차
- 방법: 온라인 교육 (30분)
- 이수율 목표: 100%
교육 이수 관리:
- 출석부 (서명), 온라인 이수 증적, 설문지 (교육 만족도), 이수율 집계 (월별)
- 미이수자 명단 관리 및 추가 교육 일정 수립 (보충 교육)
개선 방안:
-
연간 교육 계획 수립 의무화: 매년 1월 정보보호 및 개인정보보호 교육 계획서 수립, 교육 목표/대상/주기/내용/방법 명확히 정의
-
교육 내용 및 직무별 교육 체계 강화: 전 직원 공통 교육 외에도 CISO, CPO, 개인정보 처리 담당자, IT 운영자 등 대상 직무별 심화 교육 계획 수립
-
교육 수준 차등 적용으로 교육 효과 제고
3. DB 보안 점검 실습
실습 9-3: MySQL 계정 및 권한 관리
목표: DB 계정 관리 취약점 발견 및 개선 방안 도출
계정 조회 결과:
- OPERATOR: host=192.168.10.32 (특정 IP만 허용)
- APP_USER: host=% (모든 IP 허용) ← 취약
- BATCH_USER: host=% (모든 IP 허용) ← 취약
- REPORT_USER: host=% (모든 IP 허용) ← 취약
- test: host=% (모든 IP 허용) ← 취약
Temp/Bak 테이블 조회 결과:
- members_temp: 152,340행 (2024-02-10 생성, 11개월 방치)
- members_bak_202401: 151,982행 (2024-01-05 생성)
- orders_temp_migration: 84,211행 (2023-11-18 생성)
- login_bak: 98,543행 (2023-09-02 생성)
발견된 문제점:
-
host=’%’ 사용 (모든 IP 허용)
- APP_USER, BATCH_USER, REPORT_USER 계정이 모든 IP에서 접속 가능
-
temp/bak 테이블 장기 방치
- members_temp: 15만 행 (2024년 2월 생성, 11개월 방치)
- 개인정보 포함 가능성 높음
-
test 계정 존재
- 개발/테스트용 계정이 운영 DB에 남아있음
개선 방안:
-
RBAC 기반 권한 관리 체계 적용
- 개인정보 테이블 접근 권한 제한
- Least Privilege 원칙 적용 (REPORT_USER는 통계 데이터만 SELECT 허용)
- 불필요한 권한 제거 및 정기적 권한 검토
-
DB 계정 관리 절차 개선
- 공유형 계정을 개인 실명 계정으로 전환
- host=’%’ 허용 최소화 -> IP 기반 제한 또는 bastion 접근 구성
- 인증 정책 강화 (계정 만료 정책, MFA 적용 가능 여부 검토)
- 접속 로그 및 권한 로그 관리 강화
-
임시/백업 테이블 관리 및 파기 절차 수립
- temp/bak 테이블에 포함된 개인정보는 업무 수행 목적 종료 시 즉시 삭제 또는 비식별화 처리
- 주기적 DB 스캔을 통한 불필요 테이블 식별 절차 운영
- 개인정보 파기 기준, 증적 관리 필요
-
운영과 개발 환경 분리
- 운영 DB를 별도 서버에 운영하거나 컨테이너/VM 기반 격리 분리 적용
- 단기적으로는 DB 접근 통제 솔루션 또는 WAF/DB 방화벽 적용 검토
4. 외주 용역 관리
외주 인력 보안 관리
발견 사항:
- B 업체 개발자의 계약이 종료되었음에도 외부자 계정 3개가 시스템상 ‘활성’ 상태로 존재
- 계약 종료 시점에 계정 삭제 관련 절차가 실제 시스템상에서 완전하게 이행되지 않음
- 외부 인력에 대한 접근권한 관리가 담당자 전달에 의존하고 있어 체계적인 통제 및 확인 절차 미흡
인터뷰 사례:
Q: “지난달에 계약이 종료된 B 업체 개발자분들, 시스템 계정은 모두 정리되었나요?”
A: “계약 종료일 맞춰서 개발 서버 접속은 안 되게 조치하고 담당자에게 전달했습니다. 아마 잘 처리됐을 겁니다.”
Q: “실제 서버 로그와 계정 목록을 대조해보니, 외부자 계정 3개가 여전히 ‘활성’ 상태로 존재합니다. 권한 삭제가 누락된 것 같습니다. 계약 종료 때 보안 서약서 징구나 자산 반납 확인서 같은 내부 절차는 이행했었나요?”
A: “워낙 바쁘게 철수하다 보니 서약서는 놓친 것 같습니다. 하지만 위탁 계약서에 이미 비밀유지 조항이 있으니 괜찮지 않을까요?”
개선 방안:
-
외부 인력 계정 및 접근권한 관리 강화
- 외주 인력 계약 종료 시 계정 삭제 및 접근권한 회수를 즉시 수행하고 결과를 점검 기록하는 절차 수립
- 계약 종료일 기준으로 계정 상태를 재확인하는 이중 확인 절차 (담당자 + 보안 담당자) 운영
-
외주 인력 종료 절차 표준화
- 계약 종료 시 보안 서약서 징구, 자산 반납 확인 전 접근권한 회수를 표준화
- 신청/승인/처리/확인 단계별 기록을 남겨 책임 추적성 확보
5. 계정 관리 실무 사례
사용자 계정 등록 절차 미흡
추가 발견 사항:
- 사용 기간 제한 없이 활성화된 계정 존재
- 6개월 이상 미사용된 장기 미접속 계정이 점검 및 정리되지 않고 유지
개선 계획:
-
계약 종료에 따른 외주 용역 관리 감독 사항을 명시하되 계약서에 법령에서 요구하는 관리 감독 사항을 명시
-
인프라 운영 위탁 업체와 계약 시 개인정보 처리 위탁하는 업체와 계약에서 법령에서 요구하는 관리 감독 사항을 명시
6. 배운 점 및 인사이트
새로 알게 된 점
- 실제 컨설팅 현장의 인터뷰 기법: SK쉴더스 컨설턴트의 실제 질문 방식을 보며, 형식적 답변을 파고드는 스킬을 배움
- 결함 사항의 패턴: 위원회 형식적 운영, 내부 규정 미준수, 정책 전달 체계 부재가 가장 흔한 지적 사항
- 교육 계획의 중요성: 단순히 교육을 하는 것이 아니라, 연간 계획서 수립과 이수율 관리가 인증의 핵심
- DB 보안의 실무 이슈: host=’%’ 허용, temp/bak 테이블 방치, 불필요 계정 존재가 실제 발견되는 취약점
- 외주 인력 관리 구조: 계약 종료 시 계정 삭제, 접근권한 회수, 보안 서약이 체계적으로 이루어져야 함
이전 학습과의 연결고리
- ISMS-P 102개 통제 항목: 오늘 배운 결함 사항들이 1.1.3(조직 구성), 2.2(인적 보안), 2.5(인증 및 권한) 위반
- DNA Lab 프로젝트: DB 계정 관리 취약점이 DNA Lab의 “불충분한 접근 제어"와 동일한 맥락
- 보고서 작성: 인터뷰 결과를 문서화하여 결함 사항 및 개선 방안으로 정리하는 과정이 컨설팅 보고서 작성과 연결
실무 적용 아이디어
SOC 분석가 관점:
- 로그 분석 시 host=’%’ 계정의 비정상 접속 탐지 중요
- temp/bak 테이블에서 대량 데이터 조회 시 개인정보 유출 의심
- 6개월 이상 미접속 계정 활성화 시 알림 생성
컨설턴트 준비:
- 인터뷰 질문 리스트 작성 연습 (형식적 답변을 파고드는 후속 질문 포함)
- 결함 사항 발견 -> 개선 방안 도출 프로세스 숙지
- DB 계정 점검 쿼리를 자동화 스크립트로 만들어 효율화
7. Quick Reference
ISMS 결함 사항 Top 5
-
위원회 형식적 운영
- 의사결정권자 부재
- 안건 없이 현황 보고만
-
내부 규정 미준수
- 위원회 의결 없이 정책 개정
- 서면 의결 또는 임시 회의 미이행
-
정책 전달 체계 부재
- 개정된 내용을 공지 안하고 공용 폴더만 보관
-
교육 계획 미수립
- 연간 교육 계획서 없음
- 이수율 관리 안 함
-
DB 계정 관리 부실
- host=’%’ 허용
- temp/bak 테이블 장기 방치
- 퇴사자/계약 종료 계정 미삭제
컨설팅 인터뷰 핵심 질문
위원회 관련:
- “회의록 좀 볼 수 있을까요?”
- “의결 사항은 무엇인가요?”
정책 관련:
- “위원회 의결을 거쳤나요?”
- “전 직원에게 어떻게 공지했나요?”
교육 관련:
- “연간 계획서가 있나요?”
- “이수율은 어떻게 관리하나요?”
DB 관련:
- “host=’%’ 계정이 왜 필요한가요?”
- “temp/bak 테이블은 언제 삭제하나요?”
Today’s Insight:
오늘은 실제 SK쉴더스 루키즈 실습에 나온 컨설턴트의 인터뷰 사례를 통해 ISMS 컨설팅의 현장감을 체험했다. “회의록 좀 볼 수 있을까요?“라는 간단한 질문으로 형식적 운영을 파악하고, “위원회 의결을 거쳤나요?“로 내부 규정 미준수를 발견하는 기법이 인상적이었다. 특히 DB 계정 점검에서 host=’%’ 허용, temp/bak 테이블 방치, 퇴사자 계정 미삭제 등 실무에서 흔히 발견되는 취약점을 직접 SQL 쿼리로 확인했다. DNA Lab에서 배운 “불충분한 접근 제어"가 실제 ISMS 인증에서 어떻게 지적되는지 명확히 이해했다. 컨설턴트는 단순히 문제를 찾는 것이 아니라, 고객사가 스스로 깨닫게 만드는 질문 기술이 핵심이었다.