ISO 27001이라고도 쓰긴 하지만, 정보 보안 관리 요구 사항에 대한 국제 표준의 공식 약어는 ISO/IEC 27001입니다. ISO와 IEC(International Electrotechnical Commission)가 공동으로 이 표준을 발표했기 때문입니다. 숫자는 ISO 및 IEC의 정보 기술에 관한 공동 기술 위원회(ISO/IEC JTC 1)의 정보 보안, 사이버 보안 및 개인 정보 보호에 관한 소위원회 27의 책임 하에 공개되었음을 나타냅니다.
ISO/IEC 27001은 관련 인증 기관 ISO(International Organization for Standardization) 및 IEC(International Electrotechnical Commission)에서 개발한, 국제적으로 인정받은 정보 보안 표준입니다 ISO 27001은 ISO 27001:2013을 포함해 여러 차례 개정되었으며 최신 버전은 ISO/IEC 27001:2022입니다.
ISO 27001은 정보 보안 관리 시스템(ISMS)의 '수립, 구축, 유지 관리 및 지속적인 개선'에 대한 요구 사항을 포함하는 관련 지침과 프레임워크를 제공합니다. ISO 27001은 93개의 리스크 관리 제어 수단으로 구성되어 있으며, 모두 정보 보안 솔루션이 ISO 27001 표준을 준수해야 하는 것은 아닙니다. 그러나 ISO 27001 컴플라이언스는 기업의 리스크 수준을 파악하고 93개의 제어 수단 중 정보 자산에 대한 리스크를 방어하는 데 가장 적합한 것이 무엇인지 결정하는 데 도움을 줄 수 있습니다.
ISO 27001 및 데이터 보안
ISO 27001에서는 지적 재산을 비롯한 기업의 민감한 데이터를 보호하는 정책과 절차를 포괄하는 ISO 27001 ISMS 프레임워크를 구축하도록 요구합니다. 이 프레임워크는 정보 보안 제어에 필요한 프로세스, 인력, 기술, 절차를 기반으로 시스템과 디바이스를 보호하고, 데이터의 오용, 노출, 중단, 수정 또는 파기로 이어질 수 있는 무단 접속으로부터 데이터를 보호합니다. 또한 ISMS 정책 및 절차는 리스크 평가를 통해 사이버 공격과 내부자 위협으로 인한 데이터 리스크를 줄이는 데 도움이 됩니다. ISMS는 무결성, 기밀성 및 데이터 가용성을 강화함으로써 GDPR(General Data Protection Regulation)과 같은 데이터 보호 및 개인 정보 보호 규정을 준수하는 데에도 도움이 됩니다.
Akamai와 함께 ISO 27001 컴플라이언스 목표 달성
Akamai 보안 솔루션은 취약점, 멀웨어 위협(랜섬웨어 포함), 데이터 유출, DDoS 공격으로부터 보호합니다. Akamai는 모든 위치에서 모든 요소의 보안을 통합함으로써 고객 경험, 인력, 시스템, 개인 데이터, 민감한 데이터를 보호합니다. Akamai 글로벌 플랫폼은 기업이 기존 위협과 신규 위협을 탐지 및 차단하고 변화하는 보안 환경에 적응할 수 있도록 지원합니다. 이는 ISO 27001 컴플라이언스를 유지하고 지속적인 보안 개선을 입증하는 데 필수적입니다. Akamai 플랫폼의 제로 트러스트 요소는 보안 정책의 세분화된 적용으로 자산, 접속 제어, 네트워크 흐름에 대한 심층적인 가시성을 제공함으로써 ISO 27001 준수 환경을 구축하는 데 도움이 됩니다.
ISO 27001은 기업에 어떤 영향을 주나요?
ISO 27001은 기업, 인력, 물리적 및 기술적 영역을 포괄하는 제어 수단으로 구성되어 있습니다. 모든 분야가 주요 시스템 및 서비스에 대한 접속을 악용하는 인간 중심의 사이버 위협의 리스크에 노출되어 있습니다.
ISO 27001 표준 제어의 목표를 달성하려는 기본적인 접근 방식이 바로 제로 트러스트 보안입니다. 여기에는 다음과 같은 항목이 포함됩니다.
- 접속 제어: 정보 및 기타 관련 자산에 대한 물리적 접속 및 논리적 접속 제어 수립
- '최소 권한' 접속을 보장하는 특별 접속 권한
- 제로 트러스트 보안 접근 방식의 일환으로 네트워크 분리
이러한 제어는 기업이 제로 트러스트 환경을 수립하는 데 도움이 됩니다.
다음은 ISO 27001에 따라 제로 트러스트를 구축함으로써 이점을 얻을 수 있는 3가지 분야의 예입니다.
핵심 인프라를 위한 ISO 27001
핵심 인프라에 대한 공격은 매우 큰 영향을 미칩니다. 최근 예로, 미국 석유 공급업체, Colonial Pipeline 에서 보안 사고가 발생했습니다. 이로 인해 미국 남서부 전체가 영향을 받았습니다. 운영 보안을 우회하고 랜섬웨어로 회사를 감염시키는 데 사용된 것은 감염된 암호 하나 뿐이었습니다. 핵심 인프라는 공공 시설, 화학 제조업체, 운송 등 여러 중요한 서비스를 포괄합니다. 이러한 서비스는 그 중요성 때문에 해커의 매력적인 표적이 됩니다. 여기에서 눈여겨봐야 할 부분은 바로 광범위한 공급망에 접근할 수 있는 무단 접속 및 인증정보 노출입니다. 광범위한 인터넷에 점점 더 많이 연결되고 최신 인터넷에 연결된 산업 부문의 공격표면이 확장됨에 따라 공격자는 한때 공고히 닫혀 있던 중요한 시스템으로 쉽게 진입할 수 있게 되었습니다. ISO 27001 및 관련 정보 보안 정책 및 절차를 구축하면 핵심 인프라에 대한 사이버 공격의 리스크를 방어할 수 있습니다.
헬스케어 서비스를 위한 ISO 27001
광범위한 헬스케어 분야는 사이버 범죄자에게 이상적인 표적입니다. 이 분야는 풍부한 데이터와 핵심 인프라를 갖추고 있으며 기술 및 공급업체 관계에 크게 의존하고 있기 때문입니다. 그 결과 헬스케어 기관은 데이터 유출 및 랜섬웨어를 비롯한 다양한 형태의 사이버 공격의 리스크에 노출됩니다. FBI의 최근 보고서, IC3(Internet Crime Complaint Center) 에 따르면 2022년에는 헬스케어 기관을 표적으로 삼은 랜섬웨어 공격이 다른 핵심 인프라 분야에 비해 더 많은 것으로 보고되었습니다. 복합적인 서비스를 제공하는 헬스케어 기관은 ISO 27001 인증의 일부로 ISMS를 구축하는 노력을 통해 충분한 이점을 누릴 수 있습니다. 정보 보안 리스크에 대한 제로 트러스트 접근 방식은 헬스케어 기업이 민감한 데이터에 대한 접속을 제어하고 중요한 시스템 및 서비스에 대한 제어 권한을 유지할 수 있도록 보장합니다.
금융 서비스를 위한 ISO 27001
2023 IMF(International Monetary Fund) 기구가 51개 국가를 대상으로 실시한 설문조사에 따르면, 금융 기관에 대한 사이버 위협이 '급속히 확산'되고 있는 것으로 나타났으며, 이는 금융 분야의 적절한 대응이 시급함을 의미합니다. 금융 업계는 랜섬웨어, 데이터 유출, DDoS 공격 등 다양한 사이버 공격을 받고 있습니다. 2022 Verizon Data Breach Investigation Report 자료에 따르면, 금융 분야에 대한 공격으로 발생한 유출 사건 중 79%는 기본 웹 애플리케이션 공격, 시스템 침입 및 기타 오류'로 분류되었습니다. 이 보고서에서는 인증정보 탈취가 이 분야에서 이뤄진 수많은 공격의 핵심이라는 점도 강조합니다. ISO/IEC 27001은 금융 분야에서 무단 접속에 대해 제로 트러스트 접근 방식을 적용할 수 있는 메커니즘을 제공합니다.
ISO 27001이 비즈니스에 제공하는 이점
데이터 보안은 오늘날 경쟁 우위를 확보하는 데 필수적인 요소입니다. 기업이 ISO 27001 인증을 획득하면 고객, 클라이언트 및 기타 이해 관계자에게 회사가 정보 보안을 중시하며 비즈니스 연속성 관리 체계를 갖추고 있음을 입증할 수 있습니다. ISO 27001을 준수한다는 것은 ISMS를 기반으로 데이터 보안 리스크를 방어하,고 함께 비즈니스를 수행하는 회사의 리스크도 최소화할 수 있는 안전한 환경을 구축했음을 의미합니다.
정보 보안 위협을 관리하고 인시던트 관리를 개선하기 위한 일련의 제어 수단을 제대로 구축한 기업은 데이터 보안 격차 분석을 완료하여 사이버 공격 및 우발적인 데이터 노출의 리스크를 낮출 수 있습니다. 즉, 데이터 유출이 줄어들고 규정 미준수로 인한 벌금과 기타 처벌도 줄어들 수 있습니다.
ISO 27001 제어 및 프레임워크는 GDPR 및 NIST 사이버 보안 프레임워크(CSF)와 같은 기타 데이터 보호 규정과 연결됩니다. 따라서 ISO 27001 인증을 획득하면 이러한 기타 데이터 보호 규정을 준수하는 데 도움이 됩니다.
자주 묻는 질문(FAQ)
ISO 27001은 기업 전체에 ISMS를 설계 및 구축하는 작업을 중점적으로 다루며, SOC 2는 이를 달성하기 위한 포괄적인 보안 프레임워크를 제공합니다. SOC 2 컴플라이언스를 위해 기업은 정보를 보호하는 일련의 핵심 보안 제어 수단을 구축했음을 입증해야 합니다. 즉, ISO 27001은 기업에 ISMS의 포괄적인 개발 및 구축을 장려하지만, SOC 2는 보다 협소한 보안 제어 감사에 중점을 둡니다.
이외에도 ISO 27001은 국제적으로 인정받은 인증 표준이라는 점도 다릅니다. SOC 2는 독립된 공인 회계사(CPA)가 수행하는 일련의 감사입니다.
ISO/IEC 27001은 ISMS에 대한 요구 사항을 규정하는 널리 인정받은 국제 표준입니다. 이 표준은 규모나 종류에 상관없이 정보 보안 리스크를 관리하고 있음을 입증해야 하는 모든 기업에서 사용합니다. 여기에는 공공 및 민간 부문, 중소기업, 대기업, 비영리 조직, 정부 기관 등의 조직이 포함됩니다.
ISO/IEC 27001 인증은 기업이 정보를 안전하게 보안 및 관리할 수 있으며, 이를 달성하기 위해 최선을 다하고 있음을 입증하는 한 가지 방법입니다. 인가 단체는 인증 기관의 역량을 독립적으로 확인하는 역할을 하므로, 인가 단체가 발급한 인증서를 보유함으로써 신뢰도를 한층 더 높일 수 있습니다. 인증을 입증하기 위해 로고를 사용하고 싶다면 인증서를 발급한 인증 기관에 문의할 수 있습니다. 다른 상황에서와 마찬가지로, 표준은 항상 완전한 형태로 표기해야 합니다. 즉, 'ISO 27001 인증'이 아니라 'ISO/IEC 27001:2022 인증'으로 표시해야 합니다.
고객이 Akamai를 선택하는 이유
Akamai는 온라인 비즈니스를 지원하고 보호하는 사이버 보안 및 클라우드 컴퓨팅 기업으로, 시장을 대표하는 보안 솔루션, 탁월한 위협 인텔리전스, 글로벌 운영팀이 어디서나 기업 데이터와 애플리케이션을 보호하기 위한 심층 방어 기능을 제공한다. Akamai의 풀스택 클라우드 컴퓨팅 솔루션은 세계에서 가장 분산된 플랫폼에서 성능과 경제성을 제공한다. 글로벌 기업들은 비즈니스 성장에 필요한 업계 최고의 안정성, 확장성, 전문성을 제공하는 Akamai를 믿고 신뢰한다.