[ISMS] 통신사에서 ISMS 인증, 왜 필요할까?

 

 통신사에서 ISMS(정보보호 관리체계) 인증이 의무화된 시점은 2024년부터입니다. 이에 따라 통신사들은 고객의 정보를 안전하게 보호하기 위해 ISMS(정보보호관리체계) 인증을 준비해야하는 상황입니다.

2025년, 제가 근무하는 회사도 ISMS 인증 대상 기업으로 선정되었고, 현재 이를 준비하며 본격적으로 정보보호 체계를 점검하고 개선해 나가고 있습니다. IT부서에서는 서버 스냅샷 생성, DB 문서화 작업 등을 직접 수행하면서 인증 준비 과정이 단순한 의무를 넘어 보안의 중요성을 실감하게 되는 계기가 되고 있습니다. 이번 글에서는 ISMS 인증이 왜 필요한지, 2025년 기준으로 변경된 내용과 통신업에서 준비해야 할 핵심 사항들을 간단히 정리해 보겠습니다.

---

ISMS 란 무엇인가요?

ISMS(Information Security Management System)는 기업의 정보보호 관리체계를 인증하는 제도입니다. 기업이 정보를 안전하게 보호하고 있는지 법적 기준에 따라 검토 받는것이죠. 특히 통신업에서는 다음과 같은 기준에 따라 인증을 받아야 합니다:

• 연 매출 100억 원 이상 또는 일일 이용자 100만 명 이상
• 개인정보를 대규모로 처리하는 사업자
• 법적, 규제적 요구를 받는 통신서비스 제공자

왜 필요한가요?

☑️ 알뜰폰 사업(MVNO)

통신서비스 제공자로서 다량의 개인정보를 처리하고, 망 서비스 운영 및 관리의무를 수행합니다.

 

☑️규모 기준 충족

기업의 매출과 이용자 수가 기준에 부합하다면 법적 의무 사항이 적용됩니다.

 

통신사는 고객의 이름, 연락처, 결제 정보 등 민감한 정보를 대규모로 다룹니다. 이러한 정보를 보호하지 못한다면 기업 이미지에 큰 타격을 줄 뿐 아니라, 법적 처벌까지 받을 수 있습니다. ISMS 인증은 고객에게 신뢰를 줄 수 있는 증거이며, 내부적으로도 체계적인 정보보호를 강화하는 기회가 됩니다.

 

 

---

 

2025년에 변경된 ISMS 관련 최신 동향

1. ISO/IEC 27001:2022  전환
   • 새로운 국제 표준 적용: ISO/IEC 27001이 2022년에 개정되었으며, 2025년까지 모든 조직이 새로운 버전에 맞춰야합니다.
   • 추가된 통제 항목: 클라우드 환경, 원격근무, 공급망 보안 등 현대 비즈니스 환경을 반영한 보안 요구사항이 강화되었습니다.
2. 국내 규제 강화
   • 통신업 특화 규제: 개인정보보호법, 정보통신망법 등 통신업에 적용되는 규제들이 강화되었으며, ISMS 인증은 이러한 법적 의무를 충족하는데 중요한 역할을 합니다.

 

 

ISMS  준비 시 통신업에서 중요한 고려사항

1. 인증 범위 설정
   • 무엇을 포함할 것인가?: 고객 데이터, 네트워크 인프라, 플랫폼 등 보호해야 할 자산의 범위를 명확히 정의해야 합니다.
   • 범위를 제대로 설정하면 관리 체계를 효율적으로 구축할 수 있습니다.
2. 법적 및 규제 준수
   • 개인정보 보호법과 정보통신망법: 법적 요구사항을 점검하고 내부 정책 및 절차를 개선해야 합니다.
   • 예: 개인정보 암호화, 접근 제어, 로그 관리 등.
3. 기술적 보안 강화
   • 네트워크 보안: 방화벽, VPN,  침입 탐지 시스템(IDS)을 활용하여 외부 위협을 차단합니다.
   • 데이터 암호화: 고객 데이터 저장 및 전송 시 강력한 암호화 방식 적용
   • 접근 통제: 최소 권한 원칙을 적용하고 정기적으로 권한을 검토
4. 사고 대응 및 복구 계획
   • 비상 상황 대비: 보안 사고 발생 시 신속하게 대응하고 복구할 수 있는 절차 마련.
   • 백업과 복구 테스트: 주기적으로 백업을 실행하고 복구 절차를 검증합니다.
5. 직원 교육 및 인식 제고
   • 정기적인 보안 교육
   • 모의 훈련

 

ISMS 인증 준비: 서버 스냅샷과 DB 문서화

ISMS 인증을 준비하면서 특히, 중요한 서버의 상태를 백업하는 스냅샷 작업과 DB 구조를 문서화하는 과정을 필수적입니다.

이 두가지 작업은 시스템 복구 능력을 증명하고, 정보보호 체계의 투명성을 높이는 데 중요한 역할을 합니다.

 

 

1. 서버 스냅샷 작업

서버 스냅샷이란?

스냅샷(Snapshot)은 서버의 특정 시점 상태를 저장하는 기능입니다. 운영 중인 서버가 장애나 데이터 손실을 겪었을 때, 저장한 스냅샷을 이용해 빠르게 복구할 수 있습니다.

 

스냅샷 생성 절차

1. 스냅샷 생성 전 준비

• 중요한 데이터가 반영된 상태에서 스냅샷을 찍어야 하므로, 먼저 데이터를 최신 상태로 동기화합니다.
• 가능한 한 서버 작업을 일시 중지하거나 부하가 적은 시간에 진행 합니다.

2. 스냅샷 생성(KT 클라우드)

대부분의 클라우드 환경에서 스냅샷은 쉽게 생성할 수 있습니다. 예를 들어 KT 클라우드 서버에서 스냅샷을 생성하는 방법은 다음과 같습니다:

https://manual.cloud.kt.com/kt/compute-server-snapshot-d1

 

3. 스냅샷 생성(VMWare 또는 물리적 서버 환경)

 

4. 스냅샷 저장 및 관리

• 생성된 스냅샷은 지정된 스토리지에 저장됩니다.
• 스냅샷의 주기적인 삭제 및 관리로 스토리지 비용을 절감합니다.

 

---

 

2. DB 문서화 작업

DB 문서화의 중요성

DB 문서화(Database Documentation)는 데이터베이스 구조와 데이터 흐름을 명확히 기록하는 작업입니다. 이는 시스템 유지보수와 보안 심사에서 필수적인 자료로 활용됩니다.

• 스키마 문서화: 테이블 이름, 컬럼, 데이터 타입 등을 정리
• ERD  작성: 데이터 관계를 다이어그램으로 시각화
• 운영정보 문서화: 백업 주기, 복구 방법 등 기록

 

DB 문서화 단계

1. 스키마 설계 문서화

• 데이터베이스 테이블, 컬럼, 데이터 타입, 제약 조건 등을 문서화합니다.
• 예를 들어, 테이블 이름, 주요 컬럼, 외래키(FK) 관계를 설명합니다.

🫧 예시 문서

테이블명: USERS
- user_id (PK): INT, 사용자 고유 ID
- name: VARCHAR(50), 사용자 이름
- email: VARCHAR(100), 사용자 이메일
- created_at: DATETIME, 생성일

 

 

2. ERD 다이어그램 생성

• ERD(Entity-Relationship Diagram)는 DB구조를 시각화하는 방법입니다.
• 무료 툴 사용해 다이어그램 작성 (Draw.io)

3. 데이터 흐름 문서화

• 시스템 간 데이터가 어떻게 이동하는지 문서화합니다.
• 입력, 처리, 출력 과정을 간단히 다이어그램으로 표현하면 좋습니다.

4. 운영 절차 문서화

• 백업/복원 방법, 장애 발생 시 대응 절차 등을 포함합니다.
• "DB 백업은 매일 새벽 3시에 자동 실행됩니다." 와 같이 주기와 방법을 명시합니다.

DB  문서화 툴 활용: DBeaver, Dataedo, SchemaSpy

 

 

---

 

🔗ISMS 관련 링크 

https://isms.kisa.or.kr/main/ispims/intro/

KISA 정보보호 및 개인정보보호관리체계 인증 ISMS-P 제도소개

 

 

ISMS 인증을 준비하는 과정은 쉽지 않지만, 전반적인 DB 문서화 작업을 통해 시스템 구조를 더 깊이 이해하게 되었고, 이 과정에서 보안의 중요성에 대해 다시 한번 깊게 생각하게 되었습니다. ...ing🙂