ISMS-P 심사를 위해 반드시 취약점 진단을 수행해야 한다?

모의해킹 컨설턴트로 업무를 하다보면 기업이 자체적으로 취약점을 진단하기 위해 취약점 진단을 요청하는 경우도 있지만 몇몇 기업은 ISMS-P 인증을 받기 위해 취약점 진단을 요청하는 경우가 많다.

ISMS-P 인증에서 취약점 점검 여부는 중요하게 판단되기 때문에 기업은 사내 보안담당자를 통해 운용하는 서버, DB, 웹 사이트, 모바일 앱 등에 대한 취약점 점검 진행을 요청하게 된다.

이는 ISMS-P 인증 기준 2.11.2.취약점 점검 및 조치에 포함되어 있는 항목으로 관련 세부 내용을 [표 1]에서 확인할 수 있다.

항목	2.11.2.취약점 점검 및 조치
인증기준	정보시스템의 취약점이 노출되어 있는지를 확인하기 위하여 정기적으로 취약점 점검을 수행하고 발견된 취약점에 대해서는 신속하게 조치하여야 한다. 또한 최신 보안취약점의 발생 여부를 지속적으로 파악하고 정보시스템에 미치는 영향을 분석하여 조치하여야 한다.
주요 확인 사항	정보시스템 취약점 점검 절차를 수립하고 정기적으로 점검을 수행하고 있는가? (가상자산사업자) 정보시스템 취약점 점검 절차를 수립하고 정기적으로 점검을 수행하고 있는가? 대외서비스: 반기 1회 이상 내부시스템: 연1회 이상 발견된 취약점에 대한 조치를 수행하고 그 결과를 책임자에게 보고하고 있는가? 최신 보안취약점 발생 여부를 지속적으로 파악하고 정보시스템에 미치는 영향을 분석하여 조치하고 있는가? 취약점 점검 이력을 기록관리하여 전년도에 도출된 취약점이 재발생하는 등의 문제점에 대해 보호대책을 마련하고 있는가?
관련법규	개인정보 보호법 제29조(안전조치의무) 개인정보의 안전성 확보조치 기준 제4조(내부 관리계획의 수립·시행 및 점검), 제6조 (접근통제)

 

즉, ISMS-P 인증을 위해서는 취약점 진단을 반드시 수행해야하며, 보안 담당자가 취약점 진단 경험이 있을 경우 조금 더 원활하게 ISMS-P 인증 과정을 진행할 수 있을 것이다.(취약점에 대해 잘 모르면 시스템 취약성 판단이 어려움)

아래는 ISMS-P 취약점 점검 파트에 대한 세부적인 설명이다.

2.1 취약점 점검 절차 수립 및 정기적 수행

정보시스템 취약점 점검 절차를 수립하고, 정기적으로 점검을 수행하여야 한다.

• 취약점 점검 절차에 포함되어야 할 사항
  • 취약점 점검 대상(예: 서버, 네트워크 장비 등)
  • 취약점 점검 주기(법적 요구사항, 중요도 등 고려)
  • 취약점 점검 담당자 및 책임자 지정
  • 취약점 점검 절차 및 방법 등
  • 중요도에 따른 조치 기준
  • 취약점 점검 결과 보고 절차
  • 미조치 취약점에 대한 보안성 검토 등
  • 기타 보안사고 예방 및 복구를 위하여 필요한 사항 등
• 취약점 점검 대상
  • 라우터, 스위치 등 네트워크시스템 구성 및 설정 취약점
  • 서버 OS  보안 설정 취약점
  • 방화벽 등 보안시스템 취약점
  • 애플리케이션 취약점
  • 웹서비스 취약점
  • 스마트기기 및 모바일 서비스(모바일 앱 등) 취약점 등
• 취약점 점검 시 회사의 규모 및 보유하고 있는 정보의 중요도에 따라 모의침투테스트를 수행하는 것을 고려
• 개인정보처리자는 개인정보의 유출, 도난 방지 등을 위한 취약점 점검에 관한 사항을 내부 관리계획에 포함하여 수립·시행 필요(개인정보의 안전성 확보조치 기준 제4조제1항제10호)

2.2 발견된 취약점 조치 및 보고

발견된 취약점에 대한 조치를 수행하고, 그 결과를 책임자에게 보고하여야 한다.

• 취약점 점검 시 이력관리가 될 수 있도록 점검일시, 점검대상, 점검방법, 점검내용 및 결과, 발견사항, 조치사항 등이 포함된 보고서 작성
• 취약점별로 대응조치 완료 후 이행점검 등을 통하여 완료 여부 확인
• 불가피하게 조치할 수 없는 취약점에 대해서는 그 사유를 명확하게 확인하고, 이에 따른 위험성, 보완 대책 등을 책임자에게 보고

2.3 최신 취약점 모니터링 및 영향도 분석

최신 보안취약점 발생 여부를 지속적으로 파악하고, 정보시스템에 미치는 영향을 분석하여 조치하여야 한다.

• 정기적인 보안취약점 점검 외에도 지속적으로 최신 보안취약점 파악
• 최신 보안취약점이 발견된 경우 해당 보안취약점이 정보시스템에 미치는 영향을 분석하여 필요시 대응 조치

2.4 취약점 점검 이력 관리 및 재발 방지

취약점 점검 이력을 기록관리하여 전년도에 도출된 취약점이 재발생하는 등의 문제점에 대한 보호대책을 마련하여야 한다.

• 취약점 점검 이력에 대한 기록관리
• 취약점 점검 시 지난 취약점 점검결과와 비교 분석하여 취약점 재발 여부 확인
• 유사한 취약점이 재발되고 있는 경우 근본원인 분석 및 재발방지 대책 마련

 

3. 증거 자료

취약점 점검이 완료되고 나면 인증 심사를 위해 이에 대한 증거 자료가 필요할 것이다.

이는 모의해킹 업체로부터 받은 취약점 점검 결과보고서 와 함께 취약점 점검 계획서, 취약점 점검 이력 및 조치계획서, 취약점 조치완료 보고서 등을 준비해야 한다.

 

4. 결함 사례

아래와 같은 사례의 경우 결함이 존재하여 ISMS-P 인증 과정에서 미흡 판정을 받을 우려가 존재하므로 유의해야 한다.

• 내부 규정에 연 1회 이상 주요 시스템에 대한 기술적 취약점 점검을 하도록 정하고 있으나, 주요 시스템 중 일부가 취약점 점검 대상에서 누락된 경우
• 취약점 점검에서 발견된 취약점에 대한 보완조치를 이행하지 않았거나, 단기간 내에 조치할 수 없는 취약점에 대한 타당성 검토 및 승인 이력이 없는 경우

 

# 일부 출처 : IT위키 - https://itwiki.kr/w/ISMS-P_%EC%9D%B8%EC%A6%9D_%EA%B8%B0%EC%A4%80_2.11.2.%EC%B7%A8%EC%95%BD%EC%A0%90_%EC%A0%90%EA%B2%80_%EB%B0%8F_%EC%A1%B0%EC%B9%98