보안 성숙도 Level 1에서 출발한 AI 중견기업의 ISO 27001:2022 인증 도전기 — Annex A 93개 통제 매핑, 6단계 인증 타임라인, 필수 산출물 16종, 그리고 AI 기업 특유의 인증 과제까지 12개월 안에 국제 보안 인증을 취득하기 위한 실전 준비 과정을 공유합니다.
SERIES · FINAL
중견기업 통합 보안 아키텍처 설계 실전기
1편. 보안 진단에서 드러난 민낯
2편. Zero Trust와 Defense in Depth — 현실에 맞는 보안 아키텍처 설계
3편. 48시간 긴급 대응부터 12개월 로드맵까지
4편. ISO 27001 인증, 12개월 만에 가능할까 ← 현재 글 (완결)
"보안 체계를 만들었으니,
이제 인증 받을 수 있죠?"
경영진의 이 한마디가 4편의 시작점이었습니다. IPO를 준비하는 AI 기업에게 ISO 27001 인증은 선택이 아니라 필수였습니다. 문제는 우리의 출발선이 보안 성숙도 Level 1(초기 단계)이라는 것. 93개 통제 항목 중 제대로 갖춰진 건 손에 꼽을 정도였습니다.
결론부터 말하면, 12개월은 빠듯하지만 가능합니다. 단, 3편에서 다룬 로드맵이 병행되어야 하고, 인증만을 위한 별도 프로젝트가 아니라 보안 체계 구축 자체가 인증 준비가 되도록 설계해야 합니다.
왜 ISO 27001:2022인가
2022년 개정판은 이전 버전(2013)에서 114개였던 Annex A 통제가 93개로 재편되면서, AI 기업에 특히 관련 깊은 신규 통제 11개가 추가되었습니다.
| 신규 통제 | 우리 회사 적용 |
|---|---|
| A.5.7 위협 인텔리전스 | AI 산업 타겟 위협 모니터링 |
| A.5.23 클라우드 서비스 보안 | Google Workspace 전면 사용 |
| A.8.11 데이터 마스킹 | 고객 제조 데이터 비식별화 |
| A.8.12 데이터 유출 방지(DLP) | 소스코드·AI 모델 보호 |
| A.8.16 모니터링 활동 | SIEM 통합 모니터링 |
| A.8.28 보안 코딩 | AI 솔루션 개발 보안 |
기존에 구축한 47개 보안 통제를 Annex A 93개 항목에 매핑하면, 생각보다 많은 부분이 이미 커버됩니다. 보안 체계를 "인증 받기 위해" 만든 게 아니라 "실제 위험을 줄이기 위해" 만들었지만, 제대로 된 보안 체계는 결국 인증 요건과 겹칠 수밖에 없습니다.
93개 통제, 얼마나 준비되었나
| 테마 | 통제 수 | 적용 예상 | 커버리지 |
|---|---|---|---|
| A.5 조직적 통제 | 37개 | 35~37개 | ~97% |
| A.6 인적 통제 | 8개 | 8개 | 100% |
| A.7 물리적 통제 | 14개 | 12~14개 | ~90% |
| A.8 기술적 통제 | 34개 | 30~34개 | ~91% |
핵심 인사이트: Phase 0~3 로드맵을 완료하면 대부분의 기술적 통제가 자동으로 충족됩니다. 갭이 남는 영역은 주로 문서화와 프로세스 증적입니다. 기술은 있는데 기록이 없는 상태 — 인증 심사에서 가장 흔한 실패 원인이기도 합니다.
12개월 인증 타임라인
12개월을 6단계로 나눴습니다:
1단계 (M1) · 킥오프
CEO 정보보안 선언문, CISO 지정(CTO 겸직), 프로젝트팀 구성. Phase 0에서 이미 끝낸 Critical 즉시 조치가 여기에 해당합니다.
2단계 (M2~M3) · 갭 분석
Annex A 93개 통제를 현재 상태와 대조. Phase 1까지 완료된 시점이라 기술적 갭보다 문서 갭이 훨씬 컸습니다.
3단계 (M4~M7) · 정책 수립과 통제 구현
위험평가, 위험처리 계획, SoA 작성, 10~15종 정책·절차서. Phase 2~3 로드맵과 일정을 겹치는 게 핵심입니다.
4단계 (M8) · 운영 안정화
통제가 실제 작동하는 증거 수집. SIEM 알림 로그, 백업 복구 테스트 기록, 교육 이수 기록 — 심사관이 원하는 건 "운영 증적"입니다.
5단계 (M9~M10) · 내부감사
분기별 내부감사, 부적합 시정조치. 최소 1회 완료 후 2단계 심사 신청 가능합니다.
6단계 (M11~M12) · 인증 심사
1단계(문서심사) → 시정 → 2단계(현장심사) → 인증 취득.
필수 산출물 16종
인증을 위해 준비해야 하는 문서는 크게 두 가지로 나뉩니다:
직접 작성해야 하는 문서 (M1~M7) — 8종
ISMS 범위 기술서, 정보보안 정책, 위험평가 절차서, 위험처리 절차서, 적용성 보고서(SoA), 정보보안 목표, 문서 통제 절차, 내부감사 프로그램 — 이 8종이 뼈대입니다.
운영하면서 쌓이는 문서 (M4~M12) — 8종
역량 증빙, 운영 기록, 위험평가·위험처리 결과, 모니터링 결과, 내부감사 보고서, 경영검토 회의록, 시정조치 대장, 교육 이수 기록. Phase 2에서 구축한 SIEM과 PAM이 이 증적의 상당 부분을 자동으로 생성해줍니다.
AI 기업만의 인증 과제
일반적인 ISO 27001 인증과 달리, AI 기업에는 추가로 고려해야 할 항목이 있습니다.
| 과제 | 관련 Annex A | 우리의 대응 |
|---|---|---|
| AI 모델 보안 | A.8.3, A.8.4, A.8.24 | RBAC + 저장 암호화 + 체크섬 검증 |
| 학습 데이터 보호 | A.5.12, A.8.11 | 4단계 데이터 분류 + 마스킹 |
| 추론 서비스 보안 | A.8.5, A.8.26 | WAF + API Gateway + 인증 |
| 모델 무결성 | A.8.32, A.8.24 | 코드 서명 + 해시 검증 |
| 적대적 공격 | A.8.29 | 보안 테스트에 포함 |
실무 팁: 심사관에게 "AI 모델이 우리의 핵심 자산이고, 이렇게 보호하고 있다"는 것을 명확하게 설명할 수 있어야 합니다. 표준에 "AI 모델"이라는 단어는 없지만, 기존 통제 항목을 AI 맥락에 매핑하는 건 우리의 몫입니다.
시리즈를 마무리하며
4편에 걸쳐 진단 → 설계 → 구현 → 인증의 전체 여정을 다뤘습니다.
돌아보면, 보안 체계 구축에서 가장 중요했던 건 기술이 아니라 우선순위였습니다. 제한된 예산과 인력 속에서 "가장 위험한 것부터 막는다"는 원칙이 모든 의사결정의 기준이 되었고, 그 결과 1인 체제로도 12개월 안에 성숙도 Level 1에서 Level 3까지 끌어올릴 수 있었습니다.
"완벽한 보안은 없습니다.
하지만 어제보다 나은 보안은 누구나 만들 수 있습니다."
SERIES RECAP
1편. 진단 — DREAD 위협 분석, 7대 보안 영역 현황 평가
2편. 설계 — 8계층 Defense in Depth, Zero Trust 아키텍처
3편. 구현 — 4단계 로드맵, Phase 0~3 실전 경험
4편. 인증 — ISO 27001:2022, Annex A 93개 통제 매핑
이 시리즈가 도움이 되셨다면 댓글로 여러분의 보안 구축 경험도 공유해주세요.
"우리 회사는 이 부분이 어려웠다"는 이야기가 다른 분들에게도 큰 도움이 됩니다.
구독하시면 다음 시리즈 — MES·APS 도입기의 새 편도 놓치지 않으실 수 있습니다.
'Security Architecture' 카테고리의 다른 글
| 47개 보안 통제를 12개월에 구현하다 — 48시간 긴급 대응부터 로드맵까지 (0) | 2026.03.22 |
|---|---|
| Zero Trust와 Defense in Depth — 중견기업 현실에 맞는 보안 아키텍처를 설계하다 (0) | 2026.03.22 |
| 방화벽 전 포트 오픈, SIEM 없음, MFA 없음 — 보안 진단에서 드러난 중견기업의 민낯 (0) | 2026.03.21 |