ISO 27001과의 비교
30.2.1. ISO 27001 개요
ISO/IEC 27001은 정보보안경영시스템(ISMS, Information Security Management System)에 대한 국제 표준입니다. 국제표준화기구(ISO)와 국제전기기술위원회(IEC)가 공동으로 제정하였으며, 조직이 정보자산을 체계적으로 보호하기 위한 관리체계를 수립, 구현, 운영, 모니터링, 검토, 유지 및 개선하는 요구사항을 정의합니다.
2022년 10월에 발행된 ISO/IEC 27001:2022 버전이 현행 최신 표준입니다. 이전 버전인 2013년판 대비 Annex A 통제항목이 114개에서 93개로 재구성되었으며, 클라우드 서비스, 위협 인텔리전스, 데이터 마스킹 등 현대적 보안 요구사항이 반영되었습니다.
ISO 27001은 산업, 규모, 지역에 관계없이 모든 조직에 적용할 수 있습니다. 특히 금융, 의료, 공공, IT 서비스 분야에서 고객 및 파트너의 신뢰를 확보하기 위해 널리 취득되고 있습니다. 국내에서는 글로벌 비즈니스를 수행하는 기업이 해외 거래처의 요구에 따라 취득하는 사례가 많습니다.
30.2.2. 인증 구조
30.2.2.1. 관리체계 요구사항
ISO 27001의 본문(4~10절)은 관리체계 수립 및 운영에 대한 요구사항을 정의합니다.
| 절 | 제목 | 핵심 내용 |
|---|---|---|
| 4 | 조직의 맥락 | 내부/외부 이슈, 이해관계자 요구사항, 적용 범위 결정 |
| 5 | 리더십 | 경영진의 의지, 정보보안 정책, 역할/책임/권한 |
| 6 | 계획 | 위험 평가, 위험 처리, 정보보안 목표, 변경 계획 |
| 7 | 지원 | 자원, 역량, 인식, 의사소통, 문서화된 정보 |
| 8 | 운영 | 운영 계획 및 통제, 위험 평가/처리 실행 |
| 9 | 성과 평가 | 모니터링/측정, 내부 심사, 경영 검토 |
| 10 | 개선 | 부적합 및 시정조치, 지속적 개선 |
이 구조는 PDCA (Plan-Do-Check-Act) 사이클에 기반하여, 관리체계를 지속적으로 개선하도록 설계되어 있습니다.
30.2.2.2. Annex A 통제항목
ISO/IEC 27001:2022의 Annex A는 93개 통제항목을 4개 테마로 분류합니다.
| 테마 | 통제항목 수 | 주요 내용 |
|---|---|---|
| 조직적 통제 | 37개 | 정보보안 정책, 자산 관리, 접근 통제, 공급자 관계, 사고 관리 |
| 인적 통제 | 8개 | 고용 전/중/후 보안, 보안 인식 교육, 징계 프로세스 |
| 물리적 통제 | 14개 | 물리적 보안 경계, 장비 보안, 케이블링, 보안 영역 |
| 기술적 통제 | 34개 | 인증, 암호화, 악성코드 방지, 네트워크 보안, 보안 코딩 |
2022년 버전에서 신규 추가된 통제항목에는 위협 인텔리전스(A.5.7), 클라우드 서비스 정보보안(A.5.23), 보안 코딩(A.8.28), 데이터 마스킹(A.8.11), 데이터 유출 방지(A.8.12) 등이 포함되어 있습니다.
주목할 점은 A.8.28 "보안 코딩" 통제항목이 2022년 버전에서 신규 추가되었다는 것입니다. 그러나 이 항목은 "보안 코딩 원칙이 소프트웨어 개발에 적용되어야 한다"는 수준의 요구사항이며, 구체적인 코드 수준 검증 기준을 제시하지는 않습니다.
30.2.3. 심사 방식
ISO 27001 인증 심사는 국제공인 인증심사기관(CB, Certification Body)이 수행합니다. 심사 과정은 다음과 같습니다.
30.2.3.1. 인증 심사 단계
| 단계 | 명칭 | 내용 | 소요 기간 |
|---|---|---|---|
| 준비 | 인증 준비 | 관리체계 수립, 위험 평가, 통제항목 적용, 문서 작성 | 6~12개월 |
| 1단계 | Stage 1 심사 | 문서 심사 — 관리체계 문서의 적합성 확인 | 1~2일 |
| 2단계 | Stage 2 심사 | 현장 심사 — 관리체계의 실제 운영 효과성 확인 | 3~10일 |
| 유지 | 사후 심사 | 연 1회 현장 심사, 관리체계 지속 운영 확인 | 1~3일 |
| 갱신 | 갱신 심사 | 3년마다 전체 재심사, 인증서 갱신 | 3~5일 |
30.2.3.2. 심사 초점
ISO 27001 심사에서 확인하는 핵심 사항은 다음과 같습니다.
- 정보보안 정책이 경영진의 승인을 받아 문서화되어 있는가
- 자산 목록이 식별되고 위험 평가가 수행되었는가
- 위험 처리 계획에 따라 Annex A 통제항목이 적용되었는가
- 적용성 보고서(SoA, Statement of Applicability)가 작성되었는가
- 내부 심사와 경영 검토가 정기적으로 수행되었는가
- 보안 사고 대응 절차가 수립되고 테스트되었는가
심사의 초점은 "정책과 프로세스의 존재 여부 및 운영 효과성"에 있습니다. 소스코드를 직접 열어보거나, 빌드 파이프라인을 실행하거나, 테스트 커버리지를 측정하는 활동은 심사 범위에 포함되지 않습니다.
30.2.4. TQS와의 비교 분석
다음 표는 ISO 27001과 TQS를 핵심 비교 축에 따라 정리한 것입니다.
| 비교 축 | ISO 27001 | TQS |
|---|---|---|
| 검증 대상 | 정보보안 관리체계 (정책, 프로세스, 조직) | 소스코드, 빌드 설정, CI/CD 파이프라인 |
| 검증 수준 | 정책/프로세스 수준 ("정책이 수립되어 있는가") | 코드 수준 ("코드에 구현되어 있는가") |
| 보안 검증 방식 | 통제항목 적용 여부를 문서와 인터뷰로 확인 | 보안 설정을 코드와 설정 파일에서 직접 확인 |
| 암호화 검증 | "암호화 정책이 수립되어 있는가" | "BCrypt 해시를 사용하고, TLS 1.2 이상이 설정되어 있는가" |
| 접근 통제 검증 | "접근 통제 정책이 문서화되어 있는가" | "Spring Security에 RBAC (Role-Based Access Control)가 구현되어 있는가" |
| 보안 코딩 검증 | "보안 코딩 원칙이 적용되어야 한다" (A.8.28) | "SQL 파라미터 바인딩 사용, v-html 미사용, 입력값 Bean Validation 적용" |
| 심사 방법 | 서류 심사 + 현장 심사 (수동) | 자동화 도구(ESLint, Spotless, OWASP) + 코드 리뷰 |
| 심사 주기 | 연 1회 사후심사, 3년 갱신심사 | 커밋마다 CI/CD 자동 검증, 메이저 버전 재심사 |
| 인증 비용 | 수천만 원 (심사 비용 + 컨설팅 비용) | 무료 (자체 내부 인증) |
| 인증 기관 | 국제공인 인증심사기관(CB) | 티에니피아 기술표준위원회 |
| 법적 효력 | 국제적으로 인정, 계약 요구 가능 | 사내 자체 인증 (법적 효력 없음) |
30.2.4.1. 검증 깊이의 차이
ISO 27001은 "암호화 정책을 수립하고 적용해야 한다"고 요구합니다. 이 요구사항을 충족하려면 암호화 정책 문서를 작성하고, 해당 정책이 조직 내에서 운영되고 있음을 증명하면 됩니다.
TQS는 "비밀번호는 BCrypt로 해시해야 한다", "TLS 1.2 이상을 사용해야 한다", "MD5, SHA-1, DES, RC4는 사용하지 않는다"와 같이 구체적인 기술 규격을 정의하고, 실제 코드에서 이를 확인합니다. PasswordEncoder Bean 설정, server.ssl 설정 파일, 의존성 목록을 직접 검사합니다.
30.2.4.2. 피드백 속도의 차이
ISO 27001은 연 1회 사후심사를 통해 관리체계 운영 상태를 확인합니다. 심사와 심사 사이에 정책 위반이 발생하더라도 다음 심사까지 발견되지 않을 수 있습니다.
TQS는 CI/CD 파이프라인에 통합되어 있으므로, 보안 정책에 위배되는 코드가 커밋되면 즉시 빌드가 실패하고 개발자에게 알림이 전송됩니다. 문제를 인지하고 수정하는 데 수분에서 수시간이면 충분합니다.
30.2.5. 상호 보완 포인트
ISO 27001과 TQS는 서로 다른 계층에서 보안을 검증하므로, 함께 적용할 때 시너지 효과가 극대화됩니다.
30.2.5.1. 보완 구조
ISO 27001이 "보안 정책 수립"과 "관리체계 운영"을 담당하고, TQS가 "정책의 기술적 구현 검증"을 담당하는 2계층 구조를 형성합니다.
| 계층 | 담당 인증 | 역할 | 예시 |
|---|---|---|---|
| 정책 계층 | ISO 27001 | 보안 정책 수립 및 조직 운영 | "데이터 암호화 정책을 수립한다" |
| 구현 계층 | TQS | 정책의 코드 수준 구현 검증 | "BCrypt로 해시하고, AES-256으로 암호화한다" |
30.2.5.2. 시너지 효과
두 인증을 함께 적용하면 다음과 같은 효과를 기대할 수 있습니다.
- 정책-구현 간극 해소: ISO 27001이 요구하는 보안 정책이 실제 코드에 구현되어 있음을 TQS가 증명합니다. "정책은 있으나 구현은 없는" 상황을 방지합니다.
- 심사 효율 향상: ISO 27001 심사 시 TQS 인증 결과를 보조 증거로 활용할 수 있습니다. 보안 코딩(A.8.28), 보안 테스트, 변경 관리 관련 통제항목의 이행 증거로 TQS 리포트를 제출할 수 있습니다.
- 실시간 모니터링: ISO 27001의 사후심사 주기(연 1회) 사이에도 TQS의 CI/CD 기반 자동화 검증이 보안 준수 상태를 지속적으로 모니터링합니다.
- 구체적 개선 지표: ISO 27001은 "지속적 개선"을 요구하지만 구체적인 측정 지표를 정의하지 않습니다. TQS는 테스트 커버리지, 보안 취약점 수, Lighthouse 점수 등 정량적 지표를 제공하여 개선 활동을 측정할 수 있게 합니다.
30.2.5.3. 적용 시나리오
ISO 27001과 TQS를 함께 적용하는 것은 다음과 같은 조직에 적합합니다.
- 글로벌 비즈니스를 수행하며, 해외 고객이 ISO 27001 인증을 요구하는 조직
- 정보보안 관리체계를 운영하면서, 실제 코드 품질까지 보증하고자 하는 조직
- ISO 27001 인증을 이미 보유하고 있으며, 보안 코딩 실천을 강화하고자 하는 조직
ISO 27001은 "보안을 어떻게 관리하는가"에 답하고, TQS는 "보안을 어떻게 구현했는가"에 답합니다. 두 인증은 서로 다른 질문에 답하는 것이므로, 동시에 적용하는 것이 가장 효과적입니다.