Security Architecture

ISO 27001 인증, 12개월 만에 가능할까 — 보안 성숙도 Level 1에서 시작한 인증 여정

빌드 피벗(Build Pivot) 2026. 3. 23. 07:55
반응형
ISO 27001 인증, 12개월 만에 가능할까 — 보안 성숙도 Level 1에서 시작한 인증 여정

보안 성숙도 Level 1에서 출발한 AI 중견기업의 ISO 27001:2022 인증 도전기 — Annex A 93개 통제 매핑, 6단계 인증 타임라인, 필수 산출물 16종, 그리고 AI 기업 특유의 인증 과제까지 12개월 안에 국제 보안 인증을 취득하기 위한 실전 준비 과정을 공유합니다.

SERIES · FINAL

중견기업 통합 보안 아키텍처 설계 실전기

1편. 보안 진단에서 드러난 민낯

2편. Zero Trust와 Defense in Depth — 현실에 맞는 보안 아키텍처 설계

3편. 48시간 긴급 대응부터 12개월 로드맵까지

4편. ISO 27001 인증, 12개월 만에 가능할까 ← 현재 글 (완결)

"보안 체계를 만들었으니,
이제 인증 받을 수 있죠?"

경영진의 이 한마디가 4편의 시작점이었습니다. IPO를 준비하는 AI 기업에게 ISO 27001 인증은 선택이 아니라 필수였습니다. 문제는 우리의 출발선이 보안 성숙도 Level 1(초기 단계)이라는 것. 93개 통제 항목 중 제대로 갖춰진 건 손에 꼽을 정도였습니다.

결론부터 말하면, 12개월은 빠듯하지만 가능합니다. 단, 3편에서 다룬 로드맵이 병행되어야 하고, 인증만을 위한 별도 프로젝트가 아니라 보안 체계 구축 자체가 인증 준비가 되도록 설계해야 합니다.


왜 ISO 27001:2022인가

2022년 개정판은 이전 버전(2013)에서 114개였던 Annex A 통제가 93개로 재편되면서, AI 기업에 특히 관련 깊은 신규 통제 11개가 추가되었습니다.

신규 통제 우리 회사 적용
A.5.7 위협 인텔리전스 AI 산업 타겟 위협 모니터링
A.5.23 클라우드 서비스 보안 Google Workspace 전면 사용
A.8.11 데이터 마스킹 고객 제조 데이터 비식별화
A.8.12 데이터 유출 방지(DLP) 소스코드·AI 모델 보호
A.8.16 모니터링 활동 SIEM 통합 모니터링
A.8.28 보안 코딩 AI 솔루션 개발 보안

기존에 구축한 47개 보안 통제를 Annex A 93개 항목에 매핑하면, 생각보다 많은 부분이 이미 커버됩니다. 보안 체계를 "인증 받기 위해" 만든 게 아니라 "실제 위험을 줄이기 위해" 만들었지만, 제대로 된 보안 체계는 결국 인증 요건과 겹칠 수밖에 없습니다.


93개 통제, 얼마나 준비되었나

Annex A 4개 테마별 통제 적용 현황 차트 — 조직적 97% 인적 100% 물리적 90% 기술적 91%
테마 통제 수 적용 예상 커버리지
A.5 조직적 통제 37개 35~37개 ~97%
A.6 인적 통제 8개 8개 100%
A.7 물리적 통제 14개 12~14개 ~90%
A.8 기술적 통제 34개 30~34개 ~91%

핵심 인사이트: Phase 0~3 로드맵을 완료하면 대부분의 기술적 통제가 자동으로 충족됩니다. 갭이 남는 영역은 주로 문서화프로세스 증적입니다. 기술은 있는데 기록이 없는 상태 — 인증 심사에서 가장 흔한 실패 원인이기도 합니다.


12개월 인증 타임라인

12개월 ISO 27001 인증 타임라인 — 킥오프 갭분석 정책수립 운영안정화 내부감사 인증심사

12개월을 6단계로 나눴습니다:

1단계 (M1) · 킥오프

CEO 정보보안 선언문, CISO 지정(CTO 겸직), 프로젝트팀 구성. Phase 0에서 이미 끝낸 Critical 즉시 조치가 여기에 해당합니다.

2단계 (M2~M3) · 갭 분석

Annex A 93개 통제를 현재 상태와 대조. Phase 1까지 완료된 시점이라 기술적 갭보다 문서 갭이 훨씬 컸습니다.

3단계 (M4~M7) · 정책 수립과 통제 구현

위험평가, 위험처리 계획, SoA 작성, 10~15종 정책·절차서. Phase 2~3 로드맵과 일정을 겹치는 게 핵심입니다.

4단계 (M8) · 운영 안정화

통제가 실제 작동하는 증거 수집. SIEM 알림 로그, 백업 복구 테스트 기록, 교육 이수 기록 — 심사관이 원하는 건 "운영 증적"입니다.

5단계 (M9~M10) · 내부감사

분기별 내부감사, 부적합 시정조치. 최소 1회 완료 후 2단계 심사 신청 가능합니다.

6단계 (M11~M12) · 인증 심사

1단계(문서심사) → 시정 → 2단계(현장심사) → 인증 취득.


필수 산출물 16종

인증을 위해 준비해야 하는 문서는 크게 두 가지로 나뉩니다:

직접 작성해야 하는 문서 (M1~M7) — 8종

ISMS 범위 기술서, 정보보안 정책, 위험평가 절차서, 위험처리 절차서, 적용성 보고서(SoA), 정보보안 목표, 문서 통제 절차, 내부감사 프로그램 — 이 8종이 뼈대입니다.

운영하면서 쌓이는 문서 (M4~M12) — 8종

역량 증빙, 운영 기록, 위험평가·위험처리 결과, 모니터링 결과, 내부감사 보고서, 경영검토 회의록, 시정조치 대장, 교육 이수 기록. Phase 2에서 구축한 SIEM과 PAM이 이 증적의 상당 부분을 자동으로 생성해줍니다.


AI 기업만의 인증 과제

일반적인 ISO 27001 인증과 달리, AI 기업에는 추가로 고려해야 할 항목이 있습니다.

과제 관련 Annex A 우리의 대응
AI 모델 보안 A.8.3, A.8.4, A.8.24 RBAC + 저장 암호화 + 체크섬 검증
학습 데이터 보호 A.5.12, A.8.11 4단계 데이터 분류 + 마스킹
추론 서비스 보안 A.8.5, A.8.26 WAF + API Gateway + 인증
모델 무결성 A.8.32, A.8.24 코드 서명 + 해시 검증
적대적 공격 A.8.29 보안 테스트에 포함

실무 팁: 심사관에게 "AI 모델이 우리의 핵심 자산이고, 이렇게 보호하고 있다"는 것을 명확하게 설명할 수 있어야 합니다. 표준에 "AI 모델"이라는 단어는 없지만, 기존 통제 항목을 AI 맥락에 매핑하는 건 우리의 몫입니다.


시리즈를 마무리하며

4편에 걸쳐 진단 → 설계 → 구현 → 인증의 전체 여정을 다뤘습니다.

돌아보면, 보안 체계 구축에서 가장 중요했던 건 기술이 아니라 우선순위였습니다. 제한된 예산과 인력 속에서 "가장 위험한 것부터 막는다"는 원칙이 모든 의사결정의 기준이 되었고, 그 결과 1인 체제로도 12개월 안에 성숙도 Level 1에서 Level 3까지 끌어올릴 수 있었습니다.

"완벽한 보안은 없습니다.
하지만 어제보다 나은 보안은 누구나 만들 수 있습니다."

SERIES RECAP

1편. 진단 — DREAD 위협 분석, 7대 보안 영역 현황 평가

2편. 설계 — 8계층 Defense in Depth, Zero Trust 아키텍처

3편. 구현 — 4단계 로드맵, Phase 0~3 실전 경험

4편. 인증 — ISO 27001:2022, Annex A 93개 통제 매핑

이 시리즈가 도움이 되셨다면 댓글로 여러분의 보안 구축 경험도 공유해주세요.

"우리 회사는 이 부분이 어려웠다"는 이야기가 다른 분들에게도 큰 도움이 됩니다.

구독하시면 다음 시리즈 — MES·APS 도입기의 새 편도 놓치지 않으실 수 있습니다.

반응형