안녕하세요. 캐치시큐입니다.
최근 저희 캐치시큐가 개인정보보호 업체 최초로 ISO 27001을 비롯한 국제 표준 정보보호 인증 4종을 취득하였습니다. (그것도 외부 컨설팅 없이 자체적으로)
오늘은 저희가 취득한 국제 표준 정보보호인증 그중에서도 클라우드 보안 인증이 무엇인지 이러한 취득을 했을때 어떠한 효과가 있는지를 알아보도록 하겠습니다.
ISO/IEC 27017:2015 의 개요
우선은 27017을 이해하려면 간단히 ISO 27001이 무엇인지를 이해하여야 하는데요. ISO/IEC 27001:2013은 국제 표준화 기구(ISO)와 국제 전자기술위원회(IEC)가 2015년도에 발표한 클라우드 보안 표준으로 전 세계에서 인정받은 표준 기반의 정보보호 관리체계입니다.
이는 조직의 정보보안관리시스템이 국제적인 표준화를 위해 전문적인 체계를 구축하는 것을 목표로 하고 정보보안에 관한 통제 및 이행 지침을 제시하고 있습니다.
최근 클라우드 서비스를 제공하는 사업자의 정보보안 위험성이, 많이 노출이 되고 있는데요. 클라우드 서비스에 대한 특유의 정보보호 위험을 다루기 위한 추가적인 통제사항이 바로 ISO/IEC 27017:2015 입니다.
ISO 27017은 클라우드 서비스 보안 표준이라고 생각하시면 되겠습니다.
ISO 27017에 대한 내용을 간단히만 살펴본다면
정보 보안 관리 시스템 (ISMS)을 시작, 구현 또는 유지 관리하는 사람들을 위한 지원 및 지침인 ISO 27002 표준에서 클라우드 서비스 내에서 공급자의 관계와 이를 이용하는 이용자 그리고 클라우드 서비스 제공자의 관계에서 어떠한 위험이 있고 이러한 위험을 어떻게 관리해야 되는지를 통제 및 구현지침으로 명시하였다고 볼 수 있습니다.
ISO 27017은 아래와 같은 형태의 각 통제항목으로 구성되어 있습니다.
통제 항목 |
정보 보호 정책 |
정보 및 기타 자산에 대한 보안 위험 수준과 일치 |
정보 보호 조직 |
내부 조직 역할과 책임, 모바일 장치와 원격 접근 정책 |
|
인적 보안 |
표준과 절차, 보안 위험 관리 방법, 법적 규제사항 교육 |
|
자산 관리 |
자산의 책임, 정보 분리, 미디어 제어 |
|
접근 통제 |
접근 관리, 사용자 통제, 시스템/소프트웨어 접근 통제 |
|
암호화 |
공급자의 암호 기능 사용 정책, 서비스 사용자 키 관리 |
|
물리적 보안 |
사무실, 시설 등 보안 영역, 케이블, 시스템 등 보안 장비 |
|
서비스 운영 보안 |
문서 운영 절차, 변경 관리, 용량 관리, 백업, 로그 모니터링 |
|
통신 보안 |
네트워크 보안 관리, ACL, 정보 전송 정책 |
|
시스템 개발 및 유지 |
보안 요구사항 적용, 개발 지원 절차, 테스트 데이터 |
|
공급 업체 관계 |
공급 업체 정보보호, 공급 서비스 보안 감사, 공급자 신원확인 |
|
보안 사고 관리 |
보안 사고 책임과 절차, 정보보호 이벤트 보고, 포렌식 |
|
BCM의 정보보호 |
ISO 22301기반 정보보호 지속성 확보, 보안 가용성 확보 |
|
법률 및 규정 |
관할 지역 법률 준수, 라이선스 규정 준수 및 문서화 |
ISO/IEC 27018:2019 의 개요
그렇다면 캐치시큐가 이번에 취득한 ISO/IEC 27018은 무엇일까요?
위에서 알려드린데로 국제 표준화 기구(ISO)와 국제 전자기술위원회(IEC)가 2019년도에 발표한 클라우드 보안 중에서 특별하게 개인식별정보에 대한 보안통제를 다루고 있는 표준이라고 생각하시면 됩니다.
특정 고객이 아닌, 다수의 개인 또는 기업 고객을 대상으로 클라우드 서비스를 제공하는 경우, 클라우드 서비스 사용자나 사용 기업의 개인식별정보에 대한 보안통제를 설명하고 있는 표준이라고 보시면 됩니다.
위에서 언급한 ISO/IEC 27017과 같이 ISO27002의 보안통제 항목의 목차에 따라 개인식별정보에 대한 보안통제항목을 정의하고 있으며, 추가로 ISO/IEC 29100 프라이버시 프레임워크에서 정의하고 있는 11가지 원칙 별 클라우드 개인식별정보 보안통제 항목을 설명하고 있습니다.
통제 항목 |
동의와 선택 |
데이터 액세스, 수정, 제거 요구 준수 위한 도구 제공 |
합법성 및 사용목적 |
고유 목적 외 고객 데이터 사용 금지, 고객의 명시 동의 필요 |
|
수집 제한 |
개인정보 수집 목적 명확화, 목적 외 수집 제한 |
|
데이터 최소화 |
지정된 기간 내 파기 및 임시 파일 삭제 점검 |
|
사용 및 공개 제한 |
법적 의무 시 사전 고객에 내용, 대상, 시간 고지 의무 |
|
정확성과 품질 |
개인정보 수집/통제 정확성, 사용 품질 확보 |
|
개방성, 투명성 |
서비스 계약 체결 전 업체의 신원 및 PII 처리 위치 공개 |
|
개인 참여와 접근 |
개인 자신의 데이터 액세스 권한 주장 시 제공 등 규정 준수 |
|
책임 |
PII 무단 액세스, 손실, 초래 시 관련 고객에게 즉시 고지 |
|
정보 보호 |
기밀 유지 의무, 하드 카피 작성 제한, 암호화 포함 접근 제한 |
|
개인정보 보호규정 |
PII의 반품, 양도 또는 삭제 정책 보유, 고객에 정책 정보 제공 |
인증 취득한 기업의 기대효과
이렇게 국제적 수준의 인증을 받게 되면 어떠한 효과가 있을까요?
클라우드 서비스는 비용의 효과성과 이동성의 장점으로 인하여 전 세계적으로 수요가 급증하고 있는데요.
이러한 클라우드 사업자가 우리는 클라우드에 대한 정보보안을 충분히 안전하게 구축하고 운영하고 있다고 스스로 선언(self-declaration)하는 것은 아무래도 외부의 클라우드 서비스 고객 입장에서는 신뢰도가 떨어질 수 밖에 없겠죠.
그래서 위와 같은 국제 정보보안 인증취득을 통해 서비스 보안에 대한 신뢰성을 확보했다고 볼 수 있을 것입니다.
이렇게 저희 캐치시큐는 ISO/IEC 27001, 27701, 27017, 27018, 같은 국제 정보보호 인증을 취득하면서 서비스의 신뢰성을 한층 높였다고 볼 수 있을 것입니다.
또한, ISO 27001에 기반한 정보보안관리체계를 운영하고 있는 조직을 갖추고 클라우드 관련 하여 ISO 27017 국제 표준의 요구사항을 추가로 반영한다면, 전세계 어느 곳에서도 일관된 인정을 받을 수 있는 통합된 시스템의 운영을 갖추었다고 할 수 있고 ISO27018을 통해서 개인정보의 안정성도 인정받았다고 할 수 있을 것입니다.
이러한 인증은 법적인 어려가지 문제에 있어서도 고객의 혹은 회사의 정보를 보호를 하였다는 노력이 반영될 수 있습니다. 즉, 사업 운영에 장애가 되는 법적 소송이나 분쟁, 그리고 브랜드에 대한 타격으로부터도 보호 받을 수 있는 안전한 수단이 될 수 있습니다.
그리고, 클라우드 서비스 제공자 관점에서도 객관적이고 공정한 클라우드 보안인증을 통해 이용자의 신뢰도 향상 및 제공자의 정보보호 수준 향상에 기여하였다고 할 수 있겠습니다.
오늘은 이렇게 ISO 27001을 비롯하여 ISO 27701, 27017, 27018등의 개요와 취득했던 배경과 이를 통해 얻을 수 있는 기대효과에 대해 알아보았습니다.
저희 캐치시큐는 늘 그랬듯이 문제를 해결해 나아가고 기존의 방식에 머무르지 않고 국내 뿐 아니라 국제적으로 인증받을 수 있는 신뢰할 수 있는 서비스 제공을 위해 보다 더 노력하도록 하겠습니다.
감사합니다.
AI서비스의 개인정보보호가 궁긍하시다면 이글도 읽어보세요.
※ 다양한 개인정보보호 사항은 캐치시큐 네이버 블로그에서도 확인하실 수 있습니다. (바로가기)