Invisible Safety,

Proven by Intelligence

보이지 않는 안전을 인텔리전스로 증명하다.

기술 노트
IT 산업의 변화를 이끄는 MDS인텔리전스의
기술 인사이트를 만나보세요.
사이버 보안 & 암호화
[NeoKeyManager] 국제 표준과 암호키 관리 ⑴ - 국제 표준 ISO/IEC 27001 이란?
2026년 02월 20일

서론

IoT 기술이 발전함에 따라 자동차, 의료기기, 드론 등 많은 기기들이 인터넷망을 이용하여 서로 연결되는 초연결 사회로 진화하고 있습니다. 하지만 이렇게 초연결 사회에서는 해킹으로 인한 공급망 공격, 주요 개인정보 탈취 등의 문제도 함께 대두되고 있습니다.

이러한 해킹과 보안 문제에 대응하기 위해 ISO(International Organization for Standardization, 국제표준화기구)에서는 각 산업별 해킹 문제 대응을 위한 방법을 제시하고 있으며, 특히 자동차 시장에서는 2022년 7월 이후 유럽에서 형식 등록이 되는 신차는 ISO/SAE 21434를 기반으로 ‘사이버 보안 관리 시스템(CSMS, Cyber Security Management System)’ 인증을 받아야 합니다.

많은 인증에서도 그렇듯, CSMS인증도 ISO/IEC 27001 및 27002의 암호 통제를 따릅니다.

그중 몇가지 예를 들면 다음과 같습니다.

📌 ISO/SAE 21434(Road Vehicles: Cybersecurity engineering)

“[RC-05-01] 제조사에 대한 보안 관리 시스템을 구축 해야 함” 에서는 27001[10]의 암호화를 따라야 한다.

📌 ISA/IEC 62443(국제 산업제어시설 사이버 보안 표준)

2-1의 Industrial automation and control system security management system에서 10 암호 통제 항목은 27001[10]의 암호 통제와 동일

📌 ISO/IEC 27017(클라우드 서비스 제공자의 정보보호통제 실무 지침)

“10 암호화” 항목에서 27002의 암호화, 키관리 지침 따라야 한다.

📌 ISO/IEC 27018(대량의 개인식별정보를 처리하는 클라우드 서비스 제공업체를 위한 실무지침)

“10 암호화” 항목에서 27002 10절의 통제 목적과 내용을 적용한다.

📌 ISO/IEC 27799(기반 보건의료 정보보호관리)

“10 암호화” 항목에서 27002 10절을 적용한다.

이번 “국제 표준(ISO/IEC 27001)과 암호키 관리”의 연재할 첫번째 포스팅 에서는 ISO/SAE 21434(자동차), ISA/IEC 62443(산업제어시스템), ISO/IEC 27017(클라우드 서비스), ISO/IEC 27018(클라우드 개인식별정보 처리), ISO/IEC 27799(의료정보보호) 등에서 공통적으로 요구하고 있는 정보보호관리체계에 대한 국제 표준인 ISO/IEC 27001과 여기서 말하는 정보 보호를 위한 암호화와 키 관리 및 IoT 분야에서 키 관리가 왜 중요한가에 대하여 알아보고 인증 준비를 위한 키 관리에 대해서 알아보도록 하겠습니다.


ISO/IEC 27000 시리즈

정보보호 경영시스템(ISMS : Information Security Management System)의 정보보호를 확립, 이행, 운영, 모니터링, 검토, 유지 및 개선하기 위한 국제 보안 표준 규격입니다.

ISO/IEC 27000 시리즈에는 다양한 분야의 인증이 있습니다. 그 중 가장 근간이 되는 인증이 ISO/IEC 27001 입니다.


[그림 1] ISO 27000 Series of Standards (출처: ISO/IEC, 2009)


📖 참고

2009년에 처음 발표된 ISO/IEC 27000은 2018년까지 5판으로 개정되었으며 ITTF에서 무료로 다운로드 할 수 있습니다. [Publicly Available Standards: Download]



ISO/IEC 27001(정보보안 경영시스템 심사 및 인증규격)

ISMS가 필요한 다양한 분야의 조직에서 정보보안 프레임 워크를 구축하려면 ISO/IEC 27001을 사용해야합니다. 이 표준은 2005년 처음 배포되어 2013년에 두번째 버전으로 개정되었습니다.

(2021년 세번째 업데이트가 있을 예정입니다.)

① 조직의 상황, ② 리더십, ③ 기획, ④ 지원, ⑤ 운영, ⑥ 성과평가, ⑦ 개선으로 7개 관리 요구사항으로 구성되어 있으며, 물리적, 관리적, 기술적 보안 등 넓은 영역의 보안을 인증하기 때문에 많은 장점이 있습니다. 부록 A에서는 정보보호 통제 요구사항으로 14개 영역에서 114개의 통제 항목이 있습니다.

통제를 구현하려면 ISO/IEC 27002를 사용해야 하며, 위험 평가 및 위험 처리를 수행하려면 ISO/IEC 27005를 사용하고, 클라우드 보안은 ISO/IEC 27017을 사용하여야 합니다.

다음 그림은 ISO/IEC 27000 시리즈 중 몇가지 분야의 인증 예시 이며 여기서 ISO/IEC 27001은 기본 인증임을 알 수 있습니다.


[그림 2] ISO 인증 예시


ISO/IEC 27002는 표준 시스템 운영 방식을 정의하고 있습니다. 즉 ISO/IEC 27001의 세부 이행지침이라고 볼 수 있습니다. ISO/IEC 27001 인증을 위해서는 ISO/IEC 27002의 실무 지침을 따라야 합니다.

📖 참고

ISO/IEC 27002는 인증을 받을 수 없고 실행 지침으로 활용합니다.

다음은 이 표준에서 말하는 10. 암호화 항목의 요약 내용입니다.

10 암호화

10.1 암호통제

- 목적

정보에 대한 기밀성, 인증, 무결성/진본성을 보호하도록 암호화의 적절하고 효과적인 사용을 보장하기 위함

10.1.1 암호 통제 사용 정책

- 통제

정보 보호를 위한 암호 통제의 사용 정책을 개발 및 구현해야 한다.

- 구현 지침

a) 암호 정책을 개발할 때 다음과 같은 사항을 고려하여야 한다.

b) 조직 전반에 걸친 암호 통제의 사용에 대한 관리

c) 암호 알고리즘의 종류, 강도, 품질을 감안한 보호 수준 식별

d) 이동식 매체 또는 통신 구간 암호화

e) 암호 키의 보호(분실, 손상, 파손)와 암호 정보의 복구를 포함한 키 관리

f) 정책의 구현, 키 생성을 포함한 키 관리(10.1.2)의 역할과 책임

g) 구현을 위한 표준

h) 암호 정보의 사용이 내용이 조사에 의한 통제(예: 악성코드 검출)에 미치는 영향

10.1.2 키 관리

- 통제

암호 키의 사용, 보호, 수명에 대한 전체 생명주기의 정책을 개발 및 구현해야 한다.

- 구현 지침

키의 생명주기(생성, 저장, 보관, 추출, 배포, 폐지, 파기 동) 관리 및 안전한 프로세스를 수립해야 한다.

암호 알고리즘, 키 길이, 용도는 모범 사례에 따라 선택해야 한다.

모든 암호 키는 변조와 분실로부터 보호하고 비인가 사용으로부터 보호를 해야 하며 키는 물리적으로 보호하여야 한다.

a) 다양한 암호 키 생성

b) 공개 키 인증서의 발급과 취득

c) 키의 수신 및 키 분배

d) 인가된 사용자가 키에 접근 및 키 저장

e) 키 변경 또는 갱신 규정

f) 손상된 키의 처리

g) 키의 손상 회수 비활성화 또는 해지 방법 규정(키는 보관되어야 함)

h) 분실 또는 훼손된 키 복구

i) 키 백업 또는 보관

j) 키 파기

k) 키 관리에 관련된 활동 로그 기록 및 감사

이런 암호화 제어가 필요한 몇 가지 예는 다음과 같습니다.

🔒 기밀 정보가 있는 저장 장치가 외부로 이동될 때.

🔒 기밀 정보가 포함된 이메일을 보낼 때.

🔒 모든 직원이 접근 할 수 있는 파일 서버에 기밀 정보가 포함되어 있을 때.

🔒 사용자가 공개 웹 접속시 아이디와 비밀번호를 입력하여 접속 할 때.

🔒 대외 기관에 민감한 거래 정보를 송/수신 할 때

지금까지 ISO/IEC 27001에 대해 살펴보고, 암호화 제어의 필요성을 간략히 말씀드렸습니다.

다음 포스팅에서는 암호화와 키 관리의 중요성, 특히 IoT 에서의 키 관리가 왜 중요한지에 대해 알아보겠습니다.