2024년 11월, 와탭랩스는 국제 표준인 ISO/IEC 27701 개인정보보호경영시스템 인증을 성공적으로 취득하였습니다.

ISO/IEC 27701은 개인정보 보호를 위한 관리 체계를 구축하고 운영하는 데 필요한 요구사항을 명시한 인증입니다. 기존의 정보 보안 관리 체계인 ISO/IEC 27001을 기반으로 확장되었으며, 개인정보(PII, Personally Identifiable Information)의 관리와 보호에 중점을 둔 개인정보 보호 관리 시스템(PIMS)을 제공합니다.

ISO/IEC 27701 인증을 통해 기업은 개인정보를 보다 체계적이고 안전하게 관리할 수 있는 역량을 입증할 수 있습니다. 또한, GDPR(유럽 개인정보 보호법), CCPA(캘리포니아 소비자 개인정보 보호법), PIPA(한국의 개인정보 보호법)와 같은 글로벌 개인정보 보호 규제 요구사항을 준수할 수 있는 기반을 마련합니다.

와탭랩스는 이번 ISO/IEC 27701 인증 취득을 통해 개인정보 보호 관리 체계의 국제적 기준을 충족했음을 증명하였습니다. 이를 통해 고객에게 더욱 안전하고 신뢰할 수 있는 데이터 관리 환경을 제공하고 있습니다. 고객의 개인정보는 체계적인 절차에 따라 관리되며, 이를 통해 데이터 유출과 같은 보안 사고의 위험을 최소화합니다. 또한, GDPR, CCPA, PIPA 등 다양한 글로벌 개인정보 보호 규제에 부합하는 체계를 갖추고 있어 국내외 법적 리스크를 줄이고 안정적인 비즈니스 운영을 지원합니다.

ISO/IEC 27701 인증 취득 요건

해당 인증은 ISO/IEC 27001 인증을 이미 보유하고 있거나, 한꺼번에 단일 심사를 진행해야만 취득할 수 있습니다. 와탭랩스는 2023년에 ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018을 이미 취득한 상태로 ISO/IEC 27701 인증의 선행 조건을 충족한 상태였습니다.

ISO/IEC 27701 인증을 위해서는 개인정보보호 관리 절차, 비식별화, 암호화 등 GDPR에서 요구하는 8개 주요 분야의 49개 관리 체계를 충족해야 합니다. 이 관리 체계는 조직이 개인정보 보호를 위해 따라야 할 구체적인 요구사항을 다루며, ISO/IEC 27001 및 ISO/IEC 27001의 통제 항목을 기반으로 개인정보 보호를 위한 추가적인 요건을 정의하고 있습니다.

다음은 ISO/IEC 27701의 8개 주요 분야와 그 안에 포함된 관리 체계(통제)의 개요입니다.

ISO/IEC 27701의 8개 분야와 관리 체계

1. 정보 보안 정책

기존에 수립된 정보 보안 관련 정책은 개인정보 보호 요구사항을 포함하도록 확장되어야 합니다. 개인정보 보호를 위한 전용 정책을 수립하고, 이를 정보 보안 정책의 일부로 통합하거나 별도의 문서로 관리할 수 있습니다.

• 개인정보 처리의 목적과 범위 명시
• 개인정보 보호와 관련된 법적, 규제적 요구사항 반영
• 조직 내 개인정보 보호를 위한 역할과 책임 정의

정책은 주기적으로 검토 및 갱신하여 최신 법률 및 기술 동향을 반영해야 하며, 모든 직원에게 전달되어야 합니다. 이를 통해 조직은 개인정보 보호의 중요성을 조직 전반에 걸쳐 인식시켜야 합니다.

2. 정보 보안 조직

조직 내 정보 보안 및 개인정보 보호를 효과적으로 관리하기 위해 명확한 역할과 책임 배정이 필요합니다. 정보 보안 조직의 구조를 체계적으로 구성하고, 각 구성원이 자신의 역할과 책임을 명확히 이해함으로써 이루어질 수 있습니다.

• 정보보안 책임자(CISO): 전체 보안 프로그램의 설계, 구현, 유지보수를 총괄하며 개인정보 보호 활동을 포함한 보안 전략을 수립
• 개인정보 보호 책임자(DPO): 개인정보 보호와 관련된 모든 활동을 감독하고, 데이터 보호법 준수 상태를 관리하며, 관련 규제 기관 및 정보 주체와 소통
• IT 관리자: 개인정보와 관련된 시스템의 보안 설정, 접근 제어, 모니터링, 데이터 백업 및 복구 관리
• 모든 직원: 정보보안 정책 및 개인정보 보호 정책을 준수하며, 의심스러운 활동이나 위반 사항을 보고

또한 개인정보 보호는 내부적으로만 해결할 수 없는 경우가 많으므로, 외부 조직과의 협력이 중요합니다. 조직은 외부 공급업체, 클라우드 서비스 제공업체, 법률 자문기관 등과 협력하여 개인정보 보호를 강화할 수 있습니다.

3. 인적 자원 보안

조직 내 인적 자원 보안은 개인정보 보호를 위한 핵심 요소로, 모든 직원의 개인정보 보호 의식과 책임감을 높이고, 인사 관리 과정에서 적절한 보안 절차를 실행하는 것을 목표로 합니다.

• 정기적 교육 실시: 개인정보 보호와 관련된 법적 요구사항, 내부 정책, 최신 보안 위협 및 대응 방안에 대한 정기적인 교육 프로그램을 제공
• 교육 이수 관리: 모든 직원이 보안 교육을 완료했는지 기록하고, 일정 주기로 이수 상태를 점검
• 직무 종료 시 개인정보 접근 권한 즉각적인 해제: 직원이 퇴사하거나 직무가 변경될 경우, 관련 시스템 및 데이터베이스에서 접근 권한을 즉시 제거
• 보안 서약서 관리: 퇴사 시 개인정보 보호 의무가 지속됨을 알리고, 서약서를 통해 의무 준수 확인.

인적 자원 보안은 교육을 통한 사전 예방과 직무 종료 시 적절한 관리로 이루어집니다. 정기적인 교육을 통해 개인정보 보호의 중요성을 전 직원에게 인식시키고, 직무 종료 절차를 철저히 관리함으로써 내부 위협 및 실수를 방지할 수 있습니다. 이를 통해 조직의 개인정보 보호 체계가 더욱 견고해질 수 있습니다.

4. 자산 관리

자산을 명확히 식별하고 분류하며, 각 자산에 적합한 보호 조치를 시행해야 합니다.

식별과 분류를 통해 자산의 중요도를 명확히 파악하고, 이에 적합한 보호 조치를 시행해야 합니다. 이를 통해 개인정보 유출 및 오남용의 위험을 최소화하고, 데이터 보호 및 보안 체계를 강화할 수 있습니다.

5. 접근 통제

접근 권한 관리는 개인정보를 다루는 사용자와 시스템에 대한 제어를 통해 정보 유출과 오남용을 방지합니다.

• 권한 부여 및 관리
  • 개인정보 접근 권한은 직무에 따라 필요 최소한으로 부여하며, 권한 부여 절차를 명확히 문서화
  • 신규 직원 또는 직무 변경 시, 개인정보 접근 권한 부여 및 변경 과정을 기록하고 추적
  • 관리자 및 사용자 계정의 역할을 구분하고, 민감한 정보에 대한 관리자 전용 권한을 별도로 설정

• 권한 검토 및 갱신
  • 접근 권한은 주기적으로 검토하여 불필요한 권한을 제거하고, 권한 남용 가능성을 점검
  • 조직 내 역할 변경, 퇴사, 프로젝트 종료 등 변화가 발생하면 즉시 권한을 조정하거나 제거

• 이력 관리 및 모니터링
  • 개인정보 접근 기록(로그)을 보관하고 정기적으로 검토하여 비정상적인 접근을 탐지
  • 로그에는 접근 시간, 사용자 ID, 작업 내역, 작업 대상 등이 포함되도록 설정
  • 비정상적 접근 시 즉각적인 알림 및 대응 체계를 마련

6. 암호화

암호화는 개인정보를 보호하기 위한 핵심 기술로, 데이터 유출 및 오남용으로부터 개인정보를 안전하게 보호합니다. 이를 위해 저장 및 전송 중 데이터를 암호화하고, 암호 키를 체계적으로 관리하는 프로세스를 수립해야 합니다.

• 저장 중인 데이터 암호화
• 전송 중인 데이터 보호
• 데이터 마스킹 및 토큰화
• 암호화 적용 범위와 표준화
• 암호 키 생성 및 배포
• 암호 키 저장 및 보호
• 암호 키 회전 및 폐기
• 키 사용 및 감사 관리

암호화는 개인정보 보호의 필수적인 기술적 조치로, 데이터의 안전성을 보장하기 위해 저장 및 전송 중 철저히 적용해야 합니다. 또한, 암호 키 관리 프로세스를 체계적으로 수립함으로써 암호화의 신뢰성을 높이고, 조직의 데이터 보호 수준을 강화할 수 있습니다.

7. 물리적 및 환경적 보안

물리적 보안은 개인정보 저장 시설과 데이터 센터를 외부 위협으로부터 보호하기 위한 중요한 요소입니다. 이를 통해 시설 접근과 환경적 위험을 제어하고, 개인정보를 안전하게 보호할 수 있습니다.

8. 운영 보안

운영 보안은 시스템과 네트워크의 안정성을 유지하고 보안 사고를 예방, 탐지, 대응하기 위해 중요한 역할을 합니다.

• 보안 통제 운영
  • 사용자 인증 및 권한 관리를 통해 시스템에 대한 무단 접근 방지
  • 소프트웨어 패치 및 업데이트를 통해 보안 취약점을 지속적으로 해결

• 실시간 시스템 모니터링
  • 시스템 로그 및 네트워크 트래픽을 실시간으로 모니터링하여 비정상적인 활동 탐지
  • 자동화된 위협 탐지 도구를 통해 보안 이벤트를 분석하고, 잠재적 위험에 선제적으로 대응

• 로그 관리
  • 시스템, 네트워크, 응용 프로그램의 로그를 중앙 집중형으로 수집 및 저장
  • 로그에는 접근 기록, 변경 사항, 오류, 보안 이벤트 등이 포함되도록 설정
  • 로그 데이터는 규제 요구사항에 따라 일정 기간 보관하고, 주기적으로 분석

운영 보안 체계를 통해 시스템과 네트워크를 안정적으로 관리해야 합니다. 이를 통해 조직은 개인정보 보호를 위한 기술적, 관리적 기반을 강화하고, 보안 사고 발생 시 효과적으로 대응할 수 있습니다.

글을 마치며

와탭랩스는 앞서 언급된 8가지 보안 카테고리와 세부 통제 사항을 철저히 준수하며, 개인정보 보호와 정보 보안의 우수성을 입증하였습니다. 특히, 보안 운영 영역에서 저장된 로그와 관련 모니터링은 자사의 핵심 솔루션인 와탭(WhaTap)을 활용하여 관련 요건을 완벽히 충족시켰습니다. 와탭랩스는 앞으로도 지속적인 개선을 통해 고객의 소중한 정보와 데이터를 더욱 안전하게 보호하겠습니다.