피앤피시큐어(대표 박천오)는 26일 최근 강화되고 있는 '정보보호 및 개인정보보호 관리체계(ISMS-P)' 심사 흐름에 맞춰 실무자가 즉시 적용할 수 있는 'ISMS-P 운영 증거자료(증적) 대응 전략'을 제시했다.
최근 ISMS-P는 인증 심사 방식이 운영·증적 중심으로 강화되고 있고 2027년 7월 의무화 대상이 확대된다. 그러나 다수 기업은 ISMS-P 심사 현장에서 정책대로 운용했다는 로그, 승인 이력, 점검 리포트 등 증거를 제시하는 데 어려움을 겪고 있다.
이에 회사는 우선 '권한 관리' 영역에서 통합 접근제어·계정관리 솔루션인 '디비세이퍼(DBSAFER)'를 통한 대응을 제시했다. ISMS-P 인증 기준 핵심은 계정과 권한의 생애주기(신청-승인-부여-회수) 관리인데 DBSAFER IM(계정관리)는 인사 정보와 연동해 퇴사자나 보직 변경자의 권한을 자동으로 회수한다.
또한 DBSAFER DB(DB 접근제어)·AM(시스템 접근제어)·OS(OS 접근제어)는 우회 접속을 원천 차단하는 한편 특권 계정 사용 시 승인 절차를 시스템화해 책임 추적성을 확보하도록 지원한다. 특히, 심사에서 결함 빈도가 높은 '정기적인 접근권한 검토' 리포트를 자동 생성해 수동 관리 시 발생하는 권한 회수 누락과 이력 부재 문제를 해결한다.
'암호화' 영역에서는 피앤피시큐어의 비정형암호화 솔루션(DATACRYPTO) 사용을 권장했다. 이를 통해 개인정보가 저장·전송되는 구간뿐만 아니라 백업·연계 구간까지 데이터 처리 흐름에 따라 암호화 범위를 명확히 정의할 수 있다. 게다가 암호키의 생성·접근·교체·폐기 절차를 운영 증적으로 남기는 '키 관리 프로세스'를 자동화해 심사 대응력을 높일 수 있다.
'접속기록' 관리와 관련해서는 개인정보 접속기록 관리 솔루션(INFOSAFER) 활용을 제시했다. 인포세이퍼(INFOSAFER)는 단순 로그 수집을 넘어, '월간 점검 루틴'을 정착시키는 데 초점을 맞췄다. 업무 시간 외 접속이나 대량 데이터 다운로드 뿐 아니라 '권한 상승 직후의 과도한 조회' 등 구체적인 이상 징후 룰을 기반으로 탐지 활동을 수행한다. 조치 명세도 '월간 점검 리포트' 형태로 자동 산출하여 운영 증적을 확보할 수 있다.
피앤피시큐어 관계자는 “ISMS-P 준비의 핵심은 수동으로 문서를 작성하는 것이 아니라, 보안 솔루션을 통해 통제 활동이 자동으로 기록되고 증적화되는 '운영의 자동화'에 있다”라며, “이번에 제시한 3대 대응 전략은 실무자들이 가장 까다로워하는 운영 증적 확보 문제를 해결하고, 인증 심사에 대한 부담을 획기적으로 줄여줄 것”이라고 밝혔다.
안수민 기자 smahn@etnews.com
