피앤피시큐어 “ISMS-P 의무화 대응 해법, DBSAFER 기반 운영 증적 자동화”

통합 접근제어 및 계정관리 전문 기업 피앤피시큐어(대표 박천호)는 26일 최근 강화되고 있는 정보보호 및 개인정보보호 관리체계(ISMS-P) 심사 흐름에 맞춰 실무자가 즉시 적용할 수 있는 ‘ISMS-P 운영 증적 대응 전략’을 제시했다.

최근 ISMS-P 인증 체계는 심사 방식이 단순한 규정 구비를 넘어 운영 및 증적 중심으로 고도화되고 있으며, 오는 2027년 7월부터 의무화 대상 확대가 추진되는 등 시장의 요구치가 높아지고 있다.

그러나 아직까지 다수의 기업이 ISMS-P를 여전히 ‘문서 준비 프로젝트’로 인식해, 실제 심사 현장에서는 정책대로 운영했다는 증거(로그, 승인 이력, 점검 리포트)를 제시하지 못해 어려움을 겪는 실정이라는 게 회사측 진단이다.

피앤피시큐어 관계자는 “최근 심사의 핵심 질문은 ‘정책이 있는가’에서 ‘정책대로 운영했는지 증적(승인·이력·조치결과)이 있는가’로 이동했다”며, “문서와 실제 운영 데이터가 일치해야만 인증 방어가 가능하다”고 설명했다.

이에 피앤피시큐어는 심사 과정에서 가장 빈번하게 지적되는 ▲계정·권한 관리 ▲암호화 적용 ▲접속기록 점검 등 3대 영역을 중심으로, 자사 솔루션을 연계한 통합 대응 패키지를 공개했다.

회사측에 따르면, ‘권한관리’ 영역에서는 통합 접근제어 및 계정관리 솔루션인 ‘디비세이퍼(DBSAFER)’로 대응한다. ISMS-P 인증 기준(2.5 인증 및 권한관리)의 핵심은 계정과 권한의 라이프사이클(신청·승인·부여·회수) 관리다.

피앤피시큐어는 계정관리 기능을 제공하는 ‘DBSAFER IM’을 인사 정보와 연동해 퇴사자나 보직 변경자의 권한을 자동으로 회수하고, DB와 시스템, 운영체계(OS) 접근제어 솔루션인 ‘DBSAFER DB·AM·OS’를 통해 우회 접속을 원천 차단하는 한편 특권 계정 사용 시 승인 절차를 시스템화해 책임추적성을 확보하도록 지원한다. 아울러 심사에서 결함 빈도가 높은 ‘정기적인 접근권한 검토(2.5.6)’ 리포트를 자동 생성해, 수동 관리 시 발생하는 권한 회수 누락과 이력 부재 문제를 해결할 수 있다.

‘암호화’ 영역에서는 피앤피시큐어의 비정형암호화 솔루션인 ‘DATACRYPTO’로 단순 솔루션 도입을 넘어선 운영 체계를 지원한다. ISMS-P 2.7(암호화 적용) 대응을 위해 개인정보가 저장·전송되는 구간뿐만 아니라 백업 및 연계 구간까지 데이터 처리 흐름에 따라 암호화 범위를 명확히 정의하는 것이 필수적이다. 또한 피앤피시큐어는 암호화 기능 적용뿐만 아니라, 암호키의 생성·접근·교체·폐기 절차를 운영 증적으로 남기는 ‘키 관리 프로세스’를 자동화하여 심사 대응력을 높였다.

‘접속기록’ 관리와 관련해서는 개인정보 접속기록 관리 솔루션인 ‘INFOSAFER’가 활용된다. ISMS-P 2.9.4(로그 및 접속기록 관리) 요건 충족을 위해 단순 로그 수집을 넘어, ‘월간 점검 루틴’을 정착시키는 데 초점을 맞췄다. 업무 시간 외 접속이나 대량 데이터 다운로드뿐만 아니라 ‘권한 상승 직후의 과도한 조회’ 등 구체적인 이상 징후 룰(Rule)을 기반으로 탐지 활동을 수행하고, 이에 대한 조치 내역을 ‘월간 점검 리포트’ 형태로 자동 산출해 운영 증적을 확보한다.

피앤피시큐어 관계자는 “ISMS-P 준비의 핵심은 수동으로 문서를 만드는 것이 아니라 보안 솔루션을 통해 통제 활동이 자동으로 기록되고 증적화되는 ‘운영의 자동화’에 있다”며, “이번에 제시한 3대 대응 전략은 실무자들이 가장 까다로워하는 운영 증적 확보 문제를 해결하고, 인증 심사에 대한 부담을 획기적으로 줄여줄 것”이라고 밝혔다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network