ISMS-P 1.2.1 정보자산 식별 High Risk

정보자산 식별이 적절히 수행되고 있는가?

ISMS-P 1.2.1은 조직의 모든 정보자산을 식별·분류하고 중요도를 산정하여 목록을 최신으로 관리하도록 요구합니다. 클라우드 환경에서는 AWS Config를 통해 모든 자산을 자동 탐지하고 태그 기반으로 분류하여 관리해야 합니다.

📋

ISMS-P 인증 기준

ISMS-P 1.2.1 정보자산 식별 요구사항

1.2.1

정보자산 식별

인증 기준 정의

"조직의 업무특성에 따라 정보자산 분류기준을 수립하여 관리체계 범위 내 모든 정보자산을 식별·분류하고, 중요도를 산정한 후 그 목록을 최신으로 관리하여야 한다."

📌 클라우드 환경 적용 포인트

AWS Config 기반 자산 자동 탐지
Tag Policy로 자산 분류 체계 강제
Resource Groups로 자산 그룹화
Config Aggregator로 멀티 계정 통합

⚠️ 미준수 시 심사 영향

결함: 정보자산 목록 미보유
결함: 자산 분류 기준 미수립
권고: 자산 목록 최신화 미흡

📄 KISA ISMS-P 인증기준 안내서 ↗ ☁️ AWS K-ISMS 규정 준수 ↗

📰

실제 보안 사고 사례

자산 관리 미흡으로 발생한 실제 사고

2024.08

법무법인 로고스 자산관리 미흡 침해

내부 전산시스템 자산 관리 미흡으로 소송자료 18만 건 해킹. 자산에 대한 접근통제 현황 파악 부재로 외부 침입 감지 실패.

💡 교훈: 모든 자산의 자동 탐지 + 접근통제 현황 가시화 필수

출처: M이코노미뉴스 ↗

2023.05

Toyota 클라우드 자산 10년 방치

클라우드 환경 설정 오류가 10년간 방치. 자산 현황 점검 체계 부재로 26만 명 고객 데이터 유출.

💡 교훈: 자산 자동 탐지 + 정기 보안 점검 체계 필수

출처: TechCrunch ↗

⚡

클라우드 환경의 위험

AWS에서 자산 식별이 위반되는 상황

Config 미활성화 (위험)

EC2

?

RDS

?

S3

?

↑ 자산 현황 파악 불가

Config 미활성화 → 어떤 자산이 있는지 파악 불가

Config 활성화 (권장)

EC2

15

RDS

3

S3

8

↑ 전체 자산 실시간 추적

Config 활성화 → 모든 자산 자동 탐지 및 추적

🚨

발견 사례: AWS Config 미활성화 및 태그 정책 미수립

aws_config_configuration_recorder가 없어 자산 탐지가 불가하며, 태그 정책이 없어 자산 분류·중요도 산정이 불가능합니다.

현재 상태 - 문제가 되는 설정

# 자산 식별 체계 미구축

# aws_config_configuration_recorder 없음 - 자산 탐지 불가
# aws_config_configuration_aggregator 없음 - 통합 관리 불가
# aws_organizations_policy (TAG_POLICY) 없음 - 분류 체계 없음

resource "aws_instance" "app" {
  ami           = "ami-12345678"
  instance_type = "t3.medium"
  # tags 미설정 - 자산 분류 불가
}

ISMS-P 1.2.1 위반 사항

●

자산 미식별: Config 미활성화

●

분류 미수행: 태그 정책 없음

●

중요도 미산정: 등급 태그 없음

●

목록 미관리: 자산 인벤토리 없음

🔍

사전 탐지 방안

IaC 코드 분석 기반 배포 전 점검

자산 식별 체계 탐지 로직

탐지 대상	판단 조건	결과
📦 Config Recorder	`aws_config_configuration_recorder 미존재`	Critical - 자산 탐지 불가
🔗 Config Aggregator	`aws_config_configuration_aggregator 미존재`	High - 통합 관리 불가
🏷️ Tag Policy	`TAG_POLICY 미존재`	High - 분류 체계 없음
📋 Resource Groups	`aws_resourcegroups_group 미존재`	Medium - 그룹화 불가
🔖 필수 태그	`default_tags 또는 resource tags 미설정`	High - 자산 식별 어려움

🔔

사후 대응 방안

런타임 모니터링 및 이상행위 탐지

자산 변경 런타임 이벤트 대응 로직

탐지 시나리오	조건	결과
🏷️ 미태깅 자산 생성	`필수 태그 없는 리소스 생성`	High - 태그 추가 필요
➕ 신규 자산 생성	`새 리소스 생성 (태그 완비)`	✓ 자산 목록 자동 갱신
💤 미사용 자산 탐지	`90일+ 미접근 리소스`	Medium - 폐기 검토 필요
🗑️ 자산 삭제	`리소스 종료`	✓ 목록 자동 반영

모든 알림에 포함되는 정보

리소스 유형/ID 누락된 태그 목록 생성 주체 (IAM) 태그 추가 가이드

✓

조치 가이드

즉시 적용 가능한 권장 설정

❌ 문제

Config 미활성화, 태그 정책 없음, 자산 분류 불가

✓ 적용

Config + Aggregator + Tag Policy + Resource Groups

권장 설정 (복사하여 적용)

asset-identification.tf

# 1. AWS Config 활성화 (자산 자동 탐지)
resource "aws_config_configuration_recorder" "main" {
  name     = "asset-recorder"
  role_arn = aws_iam_role.config.arn
  recording_group {
    all_supported                 = true
    include_global_resource_types = true
  }
}

# 2. Config Aggregator (멀티 계정 통합)
resource "aws_config_configuration_aggregator" "org" {
  name = "org-asset-aggregator"
  organization_aggregation_source {
    all_regions = true
    role_arn    = aws_iam_role.aggregator.arn
  }
}

# 3. 필수 태그 검사 Rule
resource "aws_config_config_rule" "required_tags" {
  name = "required-asset-tags"
  source {
    owner             = "AWS"
    source_identifier = "REQUIRED_TAGS"
  }
  input_parameters = jsonencode({
    tag1Key = "AssetType"
    tag2Key = "DataClassification"
    tag3Key = "Owner"
    tag4Key = "Environment"
  })
}

# 4. Provider 기본 태그
provider "aws" {
  default_tags {
    tags = {
      ManagedBy   = "Terraform"
      Project     = "isms-compliance"
    }
  }
}

💡 핵심: Config Recorder로 모든 자산을 자동 탐지하고, REQUIRED_TAGS Rule로 미태깅 자산을 자동 탐지합니다. Aggregator를 통해 멀티 계정 환경에서도 통합 자산 목록을 관리할 수 있습니다.

📚 참고 자료

☁️ AWS Config 작동 방식 ↗ 📘 Resource Groups 가이드 ↗ 🏷️ Tag Policies ↗

📊

리포트 방안

ISMS-P 심사 증적 및 정기 보고

📋 진단 항목

전체 자산 수 (리소스 유형별)
미태깅 자산 수
중요도별 자산 분포
신규 생성 자산 (기간별)
미사용 자산 (90일+)

📅 리포트 주기

일간

신규/삭제 자산 알림

주간

자산 인벤토리 요약

월간

ISMS-P 증적 리포트

📤 발송 및 저장

발송 채널

Email Slack

저장소

S3 (5년 보관)

⚡

BSG 차별점

기존 도구가 놓치는 점검 영역

기존 도구 방식

Config 활성화 여부만 검사

Config Recorder 존재 여부 확인
Recording 상태 확인

한계: 태그 정책, Resource Groups, 자산 분류 체계는 검사 안함

BSG 접근 방식

ISMS-P 관점 통합 점검

식별: Config + Aggregator 검증
분류: Tag Policy 적용 확인
중요도: DataClassification 태그 검증
목록: 자산 인벤토리 자동화 확인

차별점: 인증 기준 관점에서 탐지 → 분류 → 증적 전 과정 자동화

← ISMS-P Compliance로 돌아가기