딜라이트닷넷

ISMS 인증 뭐길래…AWS 인증 획득 의미는?

통신방송 18.01.18 10:01
지난 16일 아마존웹서비스(AWS)는 컴퓨트, 스토리지, DB, 보안 등 28개 서비스를 포함한 자사 서울 리전(Region, 복수의 데이터센터) 인프라 운영에 대한 정보보호관리체계(ISMS) 인증을 획득했다고 밝혔습니다.

ISMS(Information Security Management System)는 용어 그대로 정보통신망의 안정성, 신뢰성 확보를 위해 관리적·기술적·물리적 보호조치를 위한 종합적 관리체계를 뜻합니다. IT 확산과 패러다임 변화, 사이버 침해 증가에 대비하는 조직 전반의 체계적 위험관리를 관리하기 위한 마련한 제도입니다.

2001년 7월 ISMS 인증제도가 도입된 이후, 2015년 12월 정보통신망법 개정을 통해 인증 의무대상이 확대됐습니다. 인증 의무대상자는 스스로 여부를 확인해 알아서 인증을 취득해야 합니다. 

 

현재 인증 의무 대상은 ▲전기통신사업법 상 정보통신망서비스를 제공하는 사업자나 ▲인터넷데이터센터(IDC)를 운영하는 집적정보통신시설 사업자, ▲연간 매출액 또는 세입 등이 1500억원 이상인 사업자 가운데 상급종합병원, 재학생 수 1만명 이상인 학교, ▲정보통신서비스 부문 전년도 매출액이 100억원 이상, 3개월 간의 일일 평균 이용자수 100만명 이상인 쇼핑몰 사업자 등입니다. 만약 해당 사업자가 인증을 취득하지 않을 경우, 정보통신망법 제76조에 근거에 3000만원 이하의 과태료가 부과됩니다.

KT나 SK텔레콤, SK브로드밴드, LG유플러스 등 주요 통신사업자와 매출액 100억원 이상의 서버호스팅·코로케이션 사업자, 인터넷 쇼핑몰, 포털, 게임, 예약, 상급종합병원, 대학교 등이 해당됩니다. 

 

한국인터넷진흥원(KISA)에 따르면, 현재까지 발급된 인증서는 총 754건이며, 유지되고 있는 인증서는 517건에 달합니다. 지난해에는 AWS을 비롯해 서울아산병원(의료정보시스템운영), 미미박스(온라인 쇼핑몰 운영), 케이뱅크(인터넷·스마트뱅킹 서비스) 등 102건의 인증서가 발급됐습니다. 

 

하지만 이번에 인증을 받은 AWS은 ISMS 의무대상자가 아닙니다. 그럼에도 AWS는 지난해 말 ISMS 인증을 획득했습니다. 왜 AWS는 스스로 이를 받았을까요?

 

AWS 측은 “AWS는 보안에 민감한 기업·기관이 다양한 보안, 규정 준수 관련 요구사항을 충족할 수 있도록 강력한 제어, 도구, 프로세스를 통해 혜택을 누릴 수 있게 지원하는 데 중점을 두고 있다. ISO 9001, SOC1, SOC2, SOC3를 포함한 58개 글로벌 보안 인증, 검증, 보증 프로그램, 품질 감사 외에 한국에서 최초로 ISMS 인증 획득 지위를 확보한 글로벌 클라우드 서비스 제공업체가 됐다”고 설명했습니다.

 

또, ISMS 인증 의무대상 기업은 AWS 클라우드 서비스를 이용함에 따라 인프라의 신뢰성을 향상시킬 수 있을 뿐만 아니라, 인증 획득에 소요되는 비용과 시간을 상당히 절감할 수 있다고 밝혔는데요.

실제 최근 AWS가 국내에서 주력하고 있는 분야가 교육, 의료 등 ‘공공’의 성격을 띠고 있는 곳들입니다. 이들은 대부분이 ISMS 인증 대상입니다. 정부의 보안 규정 요구사항에 선제적으로 대응해 ‘안전한 클라우드 환경’을 제공한다는 상징적인 성격이 큰 것입니다.

 

하지만 의무 대상인 기업 혹은 기관이 ISMS 인증을 받은 AWS의 클라우드 서비스를 사용한다고 해서 이들의 인증 획득 의무가 사라지는 것은 아닙니다.

KISA 관계자는 “만약 모든 시스템을 클라우드 환경에서 구동한다고 하더라도 윗단의 애플리케이션, 서비스에 대한 인증이 필요하다”며 “다만 ISMS 인증을 받은 클라우드 서비스를 이용한다면, 물리적인 시스템에 대한 인증 부분은 간소화될 것”이라고 설명했습니다.

 

현재 ISMS는 5단계 12개 인증기준의 ‘정보보호관리과정’과 13분야 92개 인증기준의 ‘정보보호대책’을 합쳐 총 104개 인증기준에 대한 적합성 평가 이후 인증이 수여됩니다.

 

정보보호 관리과정은 ▲정보보호정책수립 및 범위설정 ▲경영진 책임 및 조직구성 ▲위험관리 ▲정보보호대책 구현 ▲사후관리 등의 내용이 포함되며, 정보보호 대책에는 ▲정보보호정책 ▲정보보호 조직 ▲외부자 보안 ▲정보자산 분류 ▲정보보호 교육 ▲인적 보안 ▲물리적 보안 ▲시스템 개발보안 ▲암호통제 ▲접근통제 ▲운영보안 ▲침해사고관리 ▲IT재해복구 등의 기준이 담겨 있습니다.

만약 클라우드 서비스를 사용한다고 했을 때 정보보호대책의 물리적 보안이나 IT재해복구 등의 절차에서 간소화될 수 있을 듯 합니다. 클라우드 환경에라도 시스템에 대한 운영은 직접 하기 때문이죠.

 

통상 ISMS 인증은 신청부터 인증서 수여까지 약 5개월 정도 걸리는 것으로 알려져 있는데 물리적인 시스템 부분에 대한 심사를 약 5~7일 정도 한다고 합니다. IT시스템 혹은 서비스가 운영되는 물리적인 인프라 위치에 직접 방문하지 않아도 되기 때문인데, 기간으로 봤을 때는 약 1주일 정도 앞당길 수 있겠네요.