ISO 27001 인증 — IT 회사만의 것이 아닌, 정보보안의 국제 기준 완전 가이드

“저희는 IT 회사가 아니라서 ISO 27001은 해당이 안 됩니다.” ISO 27001 심사를 나가면 이런 말을 듣는 일이 아직도 많습니다. 하지만 고객 DB를 엑셀로 관리하는 중소 제조업체도, 직원 급여 정보를 클라우드에 보관하는 서비스업체도, 정보보안 사고의 표적이 될 수 있다는 점에서 ISO 27001은 업종을 가리지 않습니다.

인증기관을 운영하면서 느끼는 것은, 정보보안 사고는 해킹보다 내부 관리 부재에서 비롯되는 경우가 훨씬 많다는 점입니다. ISO 27001은 이런 내부 관리 체계를 잡아주는 국제 프레임워크입니다.

ISO 27001이란 무엇인가요?

ISO 27001은 국제표준화기구(ISO)와 국제전기기술위원회(IEC)가 공동으로 제정한 정보보안경영시스템(ISMS) 국제 표준입니다. 디지털 데이터, 종이 문서, 구두 정보까지 조직이 보유한 모든 형태의 정보를 체계적으로 보호하는 관리 체계를 요구합니다.

현재 최신 버전은 ISO/IEC 27001:2022이며, 부속서 A(Annex A)의 통제항목이 14개 도메인 114개에서 4개 테마 93개로 재편된 것이 가장 큰 변화입니다. 다른 ISO 경영시스템과 동일하게 PDCA 사이클을 따르되, 위험평가(Risk Assessment) 가 경영시스템의 중심축이라는 점이 ISO 27001만의 특징입니다.

ISO 27001 인증은 어떤 조직에 필요한가요?

과거에는 SI 업체나 호스팅 회사 위주였지만, 최근에는 인증 대상이 크게 넓어졌습니다.

• 해외 고객사의 보안 요구를 받는 기업: 글로벌 기업과 거래 시 ISO 27001 인증서 제출이 사실상 필수입니다.
• 개인정보를 대량 처리하는 조직: 개인정보보호법 강화로 체계적 보안 관리 필요성이 커졌습니다.
• 공공 입찰 참여 기업: 정보보안 가산점이나 필수 요건으로 ISO 27001을 요구하는 사업이 늘고 있습니다.
• SaaS, 클라우드 서비스 기업: 고객 데이터 위탁 처리 시 보안 체계 증명이 계약 조건에 포함됩니다.

심사하는 측에서 보면, ISO 27001 인증은 “보안 제품을 잔뜩 도입했느냐”가 아니라 자기 수준에 맞는 보안 관리 체계를 갖추고 실제로 실행하는지를 봅니다. 직원 10명짜리 스타트업도 규모에 맞는 체계를 구축할 수 있습니다.

ISO 27001:2022 개정으로 무엇이 바뀌었나요?

ISO 27001:2022의 가장 큰 변화는 부속서 A입니다. 심사를 준비하는 조직에서 가장 많이 혼란을 겪는 부분이기도 합니다.

2013년 버전은 14개 도메인에 114개 항목으로 중복이 있었고, 클라우드나 위협 인텔리전스 같은 현대적 주제가 빠져 있었습니다. 2022년 개정에서 이를 4개 테마로 재편했습니다.

조직적 통제(37개) 가 가장 큰 비중으로, 정보보안 정책, 자산 분류, 접근 권한 관리, 공급망 보안을 포함합니다. 인적 통제(8개) 는 항목 수는 적지만 심사 부적합이 자주 나오는 영역입니다. 물리적 통제(14개) 는 보안 구역, 장비 보호, 클리어 데스크 정책을 다루고, 기술적 통제(34개) 에는 2022년 신규 항목인 위협 인텔리전스, 클라우드 보안, DLP 등이 추가되었습니다.

93개 항목을 모두 적용할 필요는 없습니다. 적용성 보고서(SoA) 를 통해 조직에 맞는 항목을 선택하고, 제외 항목은 사유를 문서화하면 됩니다.

ISO 27001 위험평가는 어떻게 수행하나요?

인증기관을 운영하면서 수백 건의 ISO 27001 심사 결과를 봐 왔는데, 위험평가 관련 부적합이 전체의 30% 이상을 차지합니다. 많은 조직이 위험평가를 “한 번 하고 끝나는 문서 작업”으로 접근하는데, 이것이 가장 큰 실수입니다.

ISO 27001이 요구하는 위험평가 프로세스는 다음과 같습니다.

1단계 — 정보자산 식별: 서버, 데이터베이스, 문서, 인력 등 보호해야 할 자산을 빠짐없이 식별하고, 각 자산의 소유자를 지정합니다. 심사에서 “이 자산의 소유자가 누구입니까?”라는 질문에 답하지 못하면 부적합입니다.

2단계 — 위협 분석: 각 자산에 대해 해킹, 내부자 유출, 자연재해, 장비 고장 등 위협 시나리오를 수립합니다.

3단계 — 취약점 식별: 기술적 취약점(패치 미적용)뿐 아니라 관리적 취약점(교육 부재)과 물리적 취약점(출입 통제 미흡)까지 전 영역을 점검합니다.

4단계 — 위험도 산정: 자산가치, 위협 가능성, 취약점 심각도를 조합하여 위험도를 계산합니다. 정량/정성 방법 모두 가능하며, 수용 가능한 위험 기준을 사전에 설정하는 것이 핵심입니다.

5단계 — 위험 처리 계획: 수용 기준 초과 위험에 대해 감소, 회피, 전가(보험), 수용 중 전략을 선택하고 Annex A 통제항목과 매핑합니다.

이 과정을 최소 연 1회 반복해야 합니다. 사후심사에서 “작년과 동일한 위험평가 결과”가 나오면 심사원은 당연히 의문을 제기합니다.

ISO 27001 인증 준비, 어디서부터 시작해야 할지 막막하시면 → 무료 상담 신청하기 (현재 상황에 맞는 최적의 방법을 안내해 드립니다)

ISO 27001과 ISMS-P, 어떤 것을 선택해야 하나요?

한국에서 정보보안 인증을 준비할 때 반드시 비교하게 되는 것이 KISA(한국인터넷진흥원)에서 운영하는 ISMS-P입니다. 두 인증은 목적은 비슷하지만 적용 범위와 법적 성격이 다릅니다.

ISMS-P가 의무인 경우: 정보통신서비스 매출 100억 원 이상, ISP, IDC, 병원, 학교 등 법적 의무 대상은 ISMS-P를 먼저 취득해야 합니다. 해외 거래가 있다면 ISO 27001을 추가 취득하는 것이 일반적입니다.

ISO 27001이 적합한 경우: 법적 의무 대상이 아니면서 해외 파트너에게 보안 체계를 증명해야 하는 기업에 효율적입니다.

두 인증 모두 필요한 경우: 통제항목의 70% 이상이 겹치므로, 한쪽을 먼저 구축하면 나머지 추가 작업량이 크지 않습니다. 개인정보보호위원회(PIPC)에서도 ISO 27001 인증 조직의 개인정보 보호 역량을 긍정적으로 평가하는 추세입니다.

실무에서 자주 발생하는 인증 심사 사례는?

작년에 심사했던 중견 IT 서비스 기업의 사례입니다. 컨설팅 업체의 도움으로 정보보안 정책서, 위험평가 보고서, 적용성 보고서(SoA) 모두 교과서적으로 작성되어 있었습니다.

그런데 2단계 현장심사에서 문제가 드러났습니다. 접근 통제 정책에는 “퇴직자 계정은 당일 비활성화”로 명시되어 있었지만, 3개월 전 퇴직한 직원의 VPN 계정이 살아 있었습니다. 해당 계정으로 퇴직 이후에도 접속 기록이 남아 있었습니다.

보안 인식 교육도 문제였습니다. 연 2회 실시 규정에 전체 직원 120명 중 40명만 교육 출석 서명이 되어 있었습니다. 결과적으로 접근 통제 미이행과 교육 기록 미비로 중부적합 2건을 받았습니다.

심사하는 측에서 보면, 이런 패턴은 “컨설팅 의존” 문제에서 비롯됩니다. 컨설턴트가 문서를 만들어 주되, 조직 내부에서 이해하고 실행하는 체계가 없으면 심사에서 반드시 드러납니다. 대표가 종합 관리자로서 보안 체계의 실행 상황을 주기적으로 점검하는 것이 핵심입니다.

ISO 27001 인증 심사 전 무엇을 점검해야 하나요?

심사원으로 활동하면서 ISO 27001 심사 전 이것만 점검하면 중부적합 위험을 크게 줄일 수 있다고 생각하는 항목들입니다.

1. 퇴직자/전환배치자 계정 정리: 인사 변동이 있을 때마다 IT 부서에 자동 통보되는 프로세스가 작동하는지 확인하세요. 단순히 규정에 적어 놓는 것으로는 부족합니다.

2. 위험평가 결과의 최신성: 작년에 만든 위험평가 보고서를 올해도 그대로 쓰고 있다면 문제입니다. 조직 변화, 신규 시스템 도입, 보안 사고 발생 등이 반영되어야 합니다.

3. 보안 교육 출석 기록: 전 직원 대상 교육을 실시했다면, 전 직원의 출석 기록이 있어야 합니다. 불참자 명단과 보충 교육 계획까지 문서화하는 것이 좋습니다.

4. 적용성 보고서(SoA) 정합성: SoA에서 “적용”으로 표시한 통제항목이 실제로 운영되고 있는지, “제외”로 표시한 항목의 사유가 타당한지 한 번 더 확인하세요.

5. 경영진 검토 기록: ISO 27001에서 경영진 검토(Management Review)는 필수 요구사항입니다. 보안 목표 달성 현황, 위험평가 결과, 내부심사 결과 등이 경영진에게 보고되고 의사결정이 이루어졌다는 기록이 필요합니다.

정리하면 — ISO 27001 인증의 핵심은?

ISO 27001 인증은 보안 솔루션을 많이 도입하는 것이 아니라, 조직의 정보보안 관리 체계가 계획 → 실행 → 점검 → 개선 사이클로 돌아가고 있음을 증명하는 것입니다.

• ISO 27001:2022에서 Annex A는 4개 테마 93개 통제항목으로 재편되었습니다.
• 위험평가는 일회성 문서가 아니라, 매년 갱신하며 실행 결과를 기록해야 합니다.
• ISMS-P와는 목적은 비슷하지만, 글로벌 인정 여부와 법적 성격이 다릅니다.
• 문서가 완벽해도 현장 실행이 없으면 인증은 불가능합니다.
• 기록이 신뢰의 핵심 — “했다”가 아니라 “했다는 증거”가 있어야 합니다.

ISO 27001 인증 준비, 어디서부터 시작해야 할지 막막하시면 → 무료 상담 신청하기 (현재 상황에 맞는 최적의 방법을 안내해 드립니다)