[보안뉴스]‘무용론’ ISMS 심사에 ‘모의해킹’ 추가하나...“실효성 높아져” 기대

내용 요약

SK텔레콤 유심 정보 유출 사고로 ISMS(정보보호체계인증)의 실효성 논란이 다시 불거졌습니다. 이에 따라 인증 심사에 모의해킹을 포함하는 등 제도 개선을 위한 논의가 진행 중이며, 보안 업계는 이러한 움직임을 긍정적으로 평가하고 있습니다.

핵심 포인트

• SK텔레콤 유심 정보 유출 사고로 ISMS 실효성 논란 재점화
• ISMS 및 ISMS-P 인증 심사에 모의해킹 도입 검토 중
• 보안 업계, 모의해킹 도입에 긍정적 반응

기술 세부 내용

1️⃣ ISMS (Information Security Management System)

• 정보 보호를 위한 일련의 정책, 절차, 조직, 소프트웨어 및 하드웨어 요소들의 체계적인 관리 시스템입니다. ️
• 기업 또는 조직이 정보 자산을 보호하고, 기밀성, 무결성, 가용성을 유지하기 위해 수립하고 운영합니다.
• ISMS 인증은 ISMS 요구사항에 따라 시스템을 구축하고 운영하는 기업/기관에 대해 인증기관의 심사를 통해 인증을 부여하는 제도입니다.✅
• 인증 획득을 통해 정보보호 관리체계의 적합성을 증명하고, 정보보호 신뢰도를 향상시킬 수 있습니다.

2️⃣ ISMS-P (Information Security Management System for Personal Information)

• ISMS에 개인정보보호 관련 요구사항을 추가하여 강화한 인증 제도입니다.
• 개인정보보호법에 따라 일정 규모 이상의 공공기관 및 기업은 ISMS-P 인증 획득이 의무입니다.
• ISMS-P 인증은 개인정보 처리 단계별(수집, 저장, 이용, 제공, 파기) 보안 대책 수립 및 이행 여부를 심사합니다.
• ISMS보다 더 강화된 개인정보보호 요구사항을 충족해야 하므로, 더 높은 수준의 정보보호 관리체계를 요구합니다.

3️⃣ 모의해킹 (Penetration Test)

• 실제 해킹 공격과 유사한 방식으로 시스템의 취약점을 찾아내는 보안 테스트 기법입니다.
• 전문적인 윤리적 해커(Ethical Hacker)들이 다양한 공격 기법을 사용하여 시스템의 보안 허점을 파악하고 악용 가능성을 분석합니다.
• 모의해킹을 통해 발견된 취약점을 개선함으로써 실제 해킹 공격으로 발생할 수 있는 피해를 예방할 수 있습니다.
• 블랙박스 테스트, 화이트박스 테스트, 그레이박스 테스트 등 다양한 유형의 모의해킹 기법이 존재합니다.

4️⃣ 유심(USIM: Universal Subscriber Identity Module) 정보 유출

• 가입자 인증 정보를 저장하는 USIM 카드의 정보가 유출되는 사고를 의미합니다.
• 유출된 정보는 개인정보 도용, 금융 사기 등 다양한 범죄에 악용될 수 있습니다.
• 이번 SK텔레콤 유심 정보 유출 사고는 ISMS 인증을 받은 기업에서도 보안 사고가 발생할 수 있다는 점을 보여주는 사례입니다.

5️⃣ ISMS 실효성 논란

• ISMS 인증을 받았음에도 불구하고 보안 사고가 발생하는 사례가 늘어나면서, ISMS 인증의 실효성에 대한 의문이 제기되고 있습니다.
• 일각에서는 ISMS 심사 기준 강화 및 사후 관리 감독 강화 필요성을 주장하고 있습니다.
• 모의해킹 도입은 ISMS 심사를 강화하고 실효성을 높이기 위한 방안 중 하나로 검토되고 있습니다.

 

출처: http://www.boannews.com/media/view.asp?idx=137585&kind=&sub_kind=