1. ISMS-P란?
ISMS-P(정보보호 및 개인정보보호 관리체계 인증)는 과학기술정보통신부와 개인정보보호위원회가 함께 운영하는 국내 인증 제도입니다. ISMS(정보보호 관리체계)와 PIMS(개인정보보호 관리체계)를 통합한 것으로, 총 102개 통제 항목으로 구성됩니다.
- 관리 체계 수립 및 운영 (16개): 정책, 범위, 위험 관리, 내부 감사
- 보호 대책 요구사항 (64개): 접근 통제, 암호화, 운영 보안, 네트워크 보안 등
- 개인정보 처리 단계별 요구사항 (22개): 수집·이용·제공·파기 등 생애 주기
의무 인증 대상은 정보통신서비스 매출액 100억 원 이상, 일일 평균 이용자 100만 명 이상, 또는 의료·교육·금융 등 특정 분야 사업자입니다. 클라우드 서비스를 이용하는 경우 AWS의 책임 범위(물리 인프라, 하이퍼바이저 등)와 고객의 책임 범위(OS 이상, 애플리케이션, 데이터)를 명확히 구분해야 합니다.
공동 책임 모델 핵심: AWS는 ISMS-P 심사 시 물리적 보안·인프라 영역을 AWS SOC 2, ISO 27001 인증서로 대체 인정받을 수 있습니다.
단, 네트워크 접근 통제·계정 관리·암호화 설정은 고객이 직접 증적을 제출해야 합니다.
2. 전체 아키텍처 다이어그램
아래 다이어그램은 ISMS-P 주요 통제 항목을 충족하도록 설계한 AWS 참조 아키텍처입니다.
그림 1. ISMS-P 대응 AWS 참조 아키텍처 (퍼블릭 / 프라이빗 서브넷 분리, 보안 모니터링 레이어 포함)
3. 주요 통제 항목별 AWS 서비스 매핑
접근 통제 2.5 인증 및 권한 관리
| 통제 요구사항 | AWS 구성 방법 |
|---|---|
| 최소 권한 원칙 | IAM Policy에서 Action·Resource를 명시적으로 지정. * 와일드카드 금지. SCP로 조직 전체 경계 설정. |
| 관리자 계정 분리 | AWS Organizations 루트 계정 MFA 활성화 + 일상 업무에 루트 계정 미사용. 별도 Break-Glass 계정 운영. |
| 권한 부여 승인 절차 | IAM Access Analyzer + AWS SSO (IAM Identity Center)로 역할 기반 접근 관리. 변경 사항은 CloudTrail에 자동 기록. |
| 서버 접근 제어 | Bastion 호스트 대신 AWS Systems Manager Session Manager 사용 → SSH 포트(22) 비개방. 세션 로그 S3 저장. |
네트워크 보안 2.6 네트워크 보안
| 통제 요구사항 | AWS 구성 방법 |
|---|---|
| 네트워크 구간 분리 | 퍼블릭 / 프라이빗 / DB 서브넷으로 3계층 분리. 서브넷 간 트래픽은 Security Group + NACL로 이중 통제. |
| 외부 접근 통제 | AWS WAF로 OWASP Top 10 차단. AWS Shield Advanced로 DDoS 방어. ALB에 HTTPS 강제 리디렉션. |
| 내부망 통신 암호화 | 서비스 간 통신은 TLS 1.2+ 강제. ACM 인증서를 ALB에 연결. 내부 API는 VPC Endpoint(PrivateLink) 이용. |
| 불필요 포트 차단 | Security Group Inbound는 필요한 포트·소스만 명시. AWS Config Rule로 0.0.0.0/0 개방 자동 감지 및 알림. |
암호화 2.7 암호화 적용
| 데이터 유형 | 암호화 방법 |
|---|---|
| 저장 데이터 (at-rest) | RDS: AWS KMS 관리형 키(CMK) 활성화. S3: SSE-KMS + 버킷 정책에서 비암호화 업로드 거부. EBS: 기본 암호화 활성화. |
| 전송 데이터 (in-transit) | ALB → TLS 1.2 이상 강제. RDS: require_secure_transport 파라미터 ON. API Gateway: HTTPS 전용. |
| 키 관리 | KMS CMK 자동 교체(1년) 활성화. 키 정책에서 사용·관리 권한 분리. CloudTrail로 키 사용 이력 추적. |
로깅 및 감사 2.9 로그 및 접속 기록 관리
| 통제 요구사항 | AWS 구성 방법 |
|---|---|
| API 활동 기록 (6개월 이상 보관) | CloudTrail 멀티 리전 활성화. 로그는 별도 S3 버킷에 저장 + MFA Delete 설정. CloudTrail Insights로 이상 API 탐지. |
| 설정 변경 이력 관리 | AWS Config로 리소스 설정 스냅샷 저장. 규정 위반 자동 감지 후 SNS → 담당자 알림. |
| 접근 기록 보관 | ALB Access Log → S3. Session Manager 세션 로그 → S3. VPC Flow Log → CloudWatch Logs. |
| 로그 무결성 보호 | CloudTrail 로그 파일 검증(Log File Validation) 활성화. S3 Object Lock(WORM)으로 삭제·덮어쓰기 방지. |
위협 탐지 2.12 보안 사고 예방 및 대응
| 서비스 | 역할 |
|---|---|
Amazon GuardDuty |
VPC Flow Log·DNS 쿼리·CloudTrail 이벤트를 AI/ML로 분석해 악성 행위(암호화폐 채굴, 자격증명 유출 등) 자동 탐지. |
AWS Security Hub |
GuardDuty·Inspector·Macie·Config 결과를 단일 대시보드로 통합. CIS AWS Foundations Benchmark 준수 점수 확인. |
Amazon Inspector v2 |
EC2·Lambda·컨테이너 이미지의 취약점(CVE)을 지속적으로 스캔. ISMS-P 2.11 취약점 관리 대응. |
Amazon Macie |
S3에 저장된 개인식별정보(주민번호·신용카드·이메일 등)를 자동 분류·알림. 개인정보 항목 준수에 핵심. |
4. 개인정보 보호 대책 (PIMS 영역)
ISMS-P의 개인정보 파트(22개 항목)는 AWS 서비스만으로 완전히 충족할 수 없습니다. 애플리케이션 수준의 설계와 병행해야 합니다.
| 항목 | AWS 조치 | 애플리케이션 조치 |
|---|---|---|
| 수집·이용 동의 | Macie로 미동의 데이터 감지 | 동의 관리 DB 구축, 수집 최소화 |
| 보유 기간 관리 | S3 Lifecycle → 자동 삭제·아카이브 | 기간 만료 데이터 자동 파기 로직 |
| 제3자 제공 통제 | VPC Endpoint / PrivateLink로 외부 전송 제한 | 제공 내역 로그 DB 기록 |
| 개인정보 파기 | S3 Object Deletion + KMS 키 폐기 | DB 행 삭제 또는 비식별화 |
5. 구성 체크리스트
심사 준비 전 아래 항목을 점검하세요.
계정 및 IAM
- 루트 계정 MFA 활성화 및 액세스 키 미발급
- 모든 IAM 사용자 MFA 활성화
- 미사용 IAM 계정·키 90일 이내 검토·비활성화
- SCP로 특정 리전·서비스 제한 (서울 리전 외 비활성화)
- IAM Access Analyzer 활성화 (외부 공유 리소스 탐지)
네트워크
- 퍼블릭 서브넷에 DB·앱 서버 미배치
- Security Group에 0.0.0.0/0 인바운드 규칙 없음 (ALB 제외)
- VPC Flow Log 활성화 (CloudWatch Logs 또는 S3)
- SSH/RDP 포트 직접 개방 금지 → Session Manager 사용
- AWS WAF 규칙 그룹에 AWSManagedRulesCommonRuleSet 적용
암호화
- 모든 RDS 인스턴스 암호화 활성화
- S3 버킷 기본 암호화(SSE-KMS) 및 퍼블릭 액세스 차단
- EBS 볼륨 기본 암호화 활성화 (계정 레벨)
- KMS CMK 자동 교체(1년) 활성화
- ACM 인증서 자동 갱신 설정
로깅 및 모니터링
- CloudTrail 멀티 리전 + 글로벌 서비스 이벤트 활성화
- CloudTrail 로그 S3 저장 + MFA Delete + Object Lock
- AWS Config 모든 리전 활성화 + 규칙 적용
- GuardDuty 모든 계정·리전 활성화
- Security Hub CIS AWS Foundations Benchmark 활성화
- CloudWatch 알람 → SNS → 담당자 이메일 설정
취약점 관리
- Inspector v2 활성화 (EC2, ECR, Lambda)
- Systems Manager Patch Manager로 OS 패치 자동화
- ECR 이미지 푸시 시 취약점 스캔 활성화
- 분기별 침투 테스트 및 결과 보고서 보관
6. AWS 컴플라이언스 증적 수집
심사 시 제출해야 하는 증적은 AWS 콘솔 직접 캡처 외에도 자동화할 수 있습니다.
- AWS Artifact: AWS SOC 2, ISO 27001, K-ISMS 대응 보고서를 온디맨드 다운로드. 물리 보안·하이퍼바이저 영역 증적으로 제출.
- AWS Config Conformance Pack: ISMS-P 통제 항목에 매핑된 규칙을 한 번에 배포하고 준수 현황 리포트 생성.
- Security Hub 보고서: CIS Benchmark 점수, 비준수 항목 목록을 PDF로 내보내기.
- CloudTrail Lake: SQL로 특정 기간 API 이벤트를 조회해 심사관 요청에 즉시 대응.
실무 팁: ISMS-P 심사 전 AWS Well-Architected Tool의 보안 기둥(Security Pillar)을 실행하면
고위험 항목(HRI)을 우선 확인할 수 있습니다. 심사 기관에 따라 Well-Architected Review 결과 리포트를 보조 증적으로 인정받는 사례도 있습니다.
7. 마무리
AWS 환경에서 ISMS-P를 준수하는 핵심은 설계 단계부터 보안을 내재화(Security by Design)하는 것입니다. 사후에 통제를 추가하면 아키텍처 변경 비용이 급격히 증가합니다.
아래 우선순위로 구성을 시작하는 것을 권장합니다:
- 계정 보안 기반: Organizations, SCP, IAM Identity Center, MFA
- 네트워크 분리: VPC 3계층 서브넷, Security Group 최소화, WAF
- 암호화 표준화: KMS CMK, S3·RDS·EBS 전체 암호화
- 가시성 확보: CloudTrail, Config, GuardDuty, Security Hub
- 자동화 및 증적: Config Conformance Pack, Inspector, Macie
ISMS-P 인증은 한 번 취득하면 끝이 아닙니다. 연 1회 사후 심사와 3년 주기 갱신 심사가 있으며, 클라우드 인프라 변경 시마다 통제 항목 준수 여부를 지속적으로 검토해야 합니다. AWS Config + Security Hub를 상시 운영하면 심사 준비 부담을 크게 줄일 수 있습니다.