직원의 훈련 매뉴얼도 지정함.
⑩ 인증기준: 2.10.1 클라우드 보안
* 결함사례: 탄소배출권 관련해 특정 SaaS를 다른 기업과 연계에 개발하던 과정 중 중요 정보와 개인정보가 노출될 수밖에 없는 상황 발생으로 인한 관리자 접근 권한에 대한 대책 수립 필요
* 발생원인: 협업하고 있는 기업 간의 비밀 유지계약을 통해서 중요 자료에 대한 보안은 실시했으나, 서비스에 따른 개인정보 보호는 이루어지지 않은 상황으로 인해 발생
* 보완 조치: 정보 보호지침에 관리자 접근 및 보안 설정에 대한 보호 대책 수립 완료 및 상호 간의 보안 서약 새롭게 설치. 특정 SaaS를 사용할 때 상호 간의 개인정보 또한 잘 보호될 수 있도록 서약.
⑪ 인증기준: 2.11.1 사고 예방 및 대응체계 구축
* 결함사례: 침해사고가 발생할 수 있는 상황에 대비해 모의 상황을 연출하던 도중 대외기관 연락처나 담당자 관련 내용들이 잘못 명시되어있고, 비상 연락망도 제대로 꾸며지지 않은 상황 발생
* 발생원인: 정보보호에 대한 모든 전략 및 방법에 대한 정확한 정보 조사 없이, 인수인계 없이 진행된 경우
* 보완 조치: 보안관제서비스의 범위를 지정하고 침해징후가 발견 즉시 보고하고 대응하는 절차 준비, 그뿐만 아니라 침해 사고 발생에 따른 사고 책임 및 역할을 지정함으로써 일련의 사태에 대응
⑫ 인증기준: 2.12.1 재해·재난 대비 안전조치
* 결함사례: 최근 급격한 기후변화로 인한 이상 기후가 발생해 주변에 전기 공급이 중단될 수 있는 상황이 발생하면서, 해당 문제를 위한 운영 방안을 분석해야 하는 상황 발생
* 발생원인: IT 재해 복구에 대한 전혀 준비되지 않음. 비상사태 발생 시 백업센터를 구축해야 하지만 해당 구축이 여전히 진행 중인 상황
* 보완 조치: 재해 복구에 대한 매뉴얼 확립하고 복구 목표 시간까지 지정해서 적절한 복구 대책을 마련하였음. 기존에 다른 업체에서 일어났던 사건들을 토대로 비슷한 문제를 해결하는 방법을 미리 준비해둠.
Ⅲ. 결론
보안이나 개인정보보호에 대해서 철저하게 생각하지 못했는데, 이번 과제를 통해서 다양한 기술들과 인증들이 복잡하게 되어있고 제대로 알지 못하면 큰일 날 수 있겠다고 생각하게 되었다. 우리나라가 IT 강국이 되기 위해서는 기존의 생각을 버리고 보안 문제에 대해서 다시 새롭게 재정비해서 제대로 된 기술을 가지고 보호해야겠다는 생각을 하게 된다.
그뿐만 아니라 개인들이 가지고 있는 정보들 또한 중요한 것들이므로 개인들이 자신만의 매뉴얼이나 다양한 프로그램을 사용할 때도 문제가 되지 않는지 확인하고 사용하는 것이 좋은 방법이라고 생각한다.
Ⅳ. 참고문헌
홍성욱 외, 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증제도의 효과적인 운영방안(2020), Journal of the Korea Academia-Industrial cooperation Society Vol. 21, No. 1 pp. 634-640
정성욱, 무기체계 사이버 보안 강화를 위한 보안정책 및 정보보호 관리체계(2022), 제주대학교 학술논문집