ISO 27001:2022 vs 2013: 무엇이 변경되었나?

새 표준으로 전환하는 조직을 위한 완전한 비교 가이드

블로그 구현 가이드

📋 변경사항 개요

ISO/IEC 27001:2022는 2022년 10월에 발표되어 2013 버전을 대체했습니다. ISO 27001:2013 인증을 받은 조직은 2025년 10월까지 새 표준으로 전환해야 합니다. 전환 전략을 계획하려면 변경사항을 이해하는 것이 중요합니다.

주요 변경사항 요약

  • 93개 통제 (114개에서 감소): 명확성과 중복 감소를 위해 통합
  • 4개 테마 (vs 14개 도메인): 조직적, 인적, 물리적, 기술적
  • 10개 새로운 통제: 위협 인텔리전스, 클라우드 보안, ICT 준비 태세 포함
  • 24개 통제 병합: 중복 요구사항 결합
  • 58개 통제 업데이트: 언어 및 요구사항 명확화

🏗️ 새로운 통제 구조

14개 도메인에서 4개 테마로

ISO 27001:2013은 통제를 14개 도메인으로 구성했습니다. 2022 버전은 이를 4개 테마로 단순화했습니다:

2022 구조 (4개 테마)

  • 조직적 통제 (37): 정책, 역할, 자산 관리, 인사 보안, 공급자 관리
  • 인적 통제 (8): 심사, 고용 조건, 인식 및 교육
  • 물리적 통제 (14): 보안 영역, 장비 보안, 유틸리티, 폐기
  • 기술적 통제 (34): 인증, 암호화, 네트워크 보안, 로깅

속성 기반 분류

2022 버전은 각 통제에 속성을 추가합니다:

  • 통제 유형: 예방적, 탐지적 또는 시정적
  • 정보 보안 속성: 기밀성, 무결성, 가용성
  • 사이버 보안 개념: 식별, 보호, 탐지, 대응, 복구
  • 운영 능력: 거버넌스, 자산 관리, 보호 등
  • 보안 도메인: 거버넌스 및 생태계, 보호, 방어, 복원력

✨ 2022의 10개 새로운 통제

5.7 위협 인텔리전스

조직은 이제 정보 보안과 관련된 위협 인텔리전스를 수집하고 분석해야 합니다. 이는 성숙한 조직이 이미 비공식적으로 수행하고 있는 것을 공식화합니다.

구현: 위협 피드 구독, 보안 권고 모니터링, 기술 스택에 영향을 미치는 취약점 추적.

5.23 클라우드 서비스의 정보 보안

클라우드 서비스를 안전하게 사용, 획득 및 관리하기 위한 명시적 요구사항. 클라우드 특정 위험 해결.

구현: 클라우드 제공업체 보안 평가, 책임 공유 모델 문서화, 클라우드 구성 검토.

5.30 비즈니스 연속성을 위한 ICT 준비 태세

ICT 시스템이 비즈니스 연속성 요구사항을 지원할 준비가 되어 있는지 확인. 복원력 초점 강화.

구현: 재해 복구 절차 테스트, 백업 복원 확인, 중복성 보장.

8.9 구성 관리

보안 관련 시스템에 대한 문서화된 구성 관리 필요. 구성 편차 방지.

구현: Infrastructure as Code, 구성 베이스라인, 변경 추적.

8.10 정보 삭제

더 이상 필요하지 않을 때 정보를 안전하게 삭제하도록 보장. 데이터 최소화 지원.

구현: 데이터 보존 정책, 안전한 삭제 절차, 검증 프로세스.

8.11 데이터 마스킹

적절한 경우 민감한 데이터 마스킹 필요. 개인정보 보호 및 테스트 요구 지원.

구현: 테스트 데이터 익명화, 로그 편집, 적절한 경우 토큰화.

8.12 데이터 유출 방지

데이터 유출 및 무단 공개 방지 해결.

구현: DLP 도구, 출력 필터링, USB 제한, 이메일 제어.

8.16 모니터링 활동

사용자 및 시스템 활동 모니터링 요구사항 공식화.

구현: SIEM, 로그 집계, 사용자 행동 분석.

8.23 웹 필터링

악의적인 콘텐츠에 대한 액세스를 방지하기 위한 웹 필터링 필요.

구현: DNS 필터링, 프록시 서버, URL 분류.

8.28 보안 코딩

소프트웨어 개발에서 보안 코딩 원칙에 대한 명시적 요구사항.

구현: OWASP 가이드라인, 코드 리뷰, SAST/DAST, 보안 교육.

🔄 인증 조직을 위한 전환 가이드

전환 일정

마감일: 2025년 10월

  • 2022년 10월: ISO 27001:2022 발표
  • 2023년 10월: 1년 유예 기간 종료 (새 감사는 2022 버전 사용)
  • 2025년 10월: 3년 전환 기간 종료 (모든 인증서가 2022 준수해야 함)

전환 단계

  1. 격차 분석: 현재 통제를 2022 부록 A와 비교
  2. 적용성 선언서 업데이트: 2013 통제를 2022 동등물로 매핑
  3. 새로운 통제 구현: 10개 새로운 요구사항 해결
  4. 문서 업데이트: 2022 표준 참조를 위한 정책 수정
  5. 내부 감사: 새로운 요구사항 준수 확인
  6. 전환 감사: 인증 기관이 2022 준수 평가

일반적인 전환 과제

  • 클라우드 보안 통제에는 새로운 공급업체 평가가 필요할 수 있습니다
  • 위협 인텔리전스에는 지속적인 구독/프로세스가 필요합니다
  • 구성 관리에는 자동화가 필요합니다
  • 데이터 유출 방지에는 새로운 도구가 필요할 수 있습니다

💡 한국 기업을 위한 실용적 조언

대부분의 조직이 이미 보유한 것

좋은 소식: 많은 "새로운" 통제는 기존 모범 사례를 공식화합니다:

  • 위협 인텔리전스 → 이미 CVE 및 보안 뉴스 모니터링
  • 클라우드 보안 → 이미 일부 보안으로 AWS/Azure 사용
  • 구성 관리 → Infrastructure as Code가 이미 있음
  • 모니터링 → SIEM 또는 로그 집계가 이미 배포됨

작업이 필요한 것

일반적으로 새로운 구현이 필요한 통제:

  • 공식 위협 인텔리전스 프로세스 (단순한 임시 모니터링이 아님)
  • 문서화된 클라우드 보안 평가 (단순한 클라우드 서비스 사용이 아님)
  • 데이터 유출 방지 (DLP 도구가 필요할 수 있음)
  • 보안 코딩 표준 (공식화된 SDLC 보안)

비용 영향

2013 인증을 받은 한국 중소기업의 경우:

  • 내부 작업: 격차 분석, 문서 업데이트, 구현에 40-80시간
  • 전환 감사: ₩3,000,000-₩7,500,000 (종종 사후 감사와 결합)
  • 새 도구: DLP 또는 모니터링 격차가 있는 경우 ₩1,500,000-₩4,500,000

전환 지원이 필요하십니까? Hack23에 문의 한국 기업에 맞춤화된 격차 평가 및 전환 계획.

📚 리소스