ISMS-P 1.4.1 법적 요구사항 준수 검토 High Risk

법적 요구사항이 규정에 반영되고 준수 여부가 지속적으로 검토되고 있는가?

ISMS-P 1.4.1은 정보보호 및 개인정보보호 관련 법적 요구사항을 주기적으로 파악하여 규정에 반영하고 준수 여부를 검토하도록 요구합니다. 클라우드 환경에서는 Security Standards 구독, Audit Manager 증적 수집, Compliance 자동 검증 체계를 통해 지속적인 준수 모니터링이 가능합니다.

📋

ISMS-P 인증 기준

ISMS-P 1.4.1 법적 요구사항 준수 검토

1.4.1

법적 요구사항 준수 검토

인증 기준 정의

"조직이 준수하여야 할 정보보호 및 개인정보보호 관련 법적 요구사항을 주기적으로 파악하여 규정에 반영하고, 준수 여부를 지속적으로 검토하여야 한다."

📌 클라우드 환경 적용 포인트

Security Standards 구독 및 자동 업데이트
Conformance Pack 기반 법규 자동 적용
Security Hub 실시간 Compliance 검증
Audit Manager 증적 자동 수집

⚠️ 미준수 시 심사 영향

결함: Security Standards 미구독
결함: Compliance 검증 체계 부재
권고: 증적 자동 수집 미구성

📄 KISA ISMS-P 인증기준 안내서 ↗ ☁️ AWS Security Hub Standards ↗

📰

실제 보안 사고 사례

법적 요구사항 미준수로 발생한 실제 사고

2018.09

British Airways GDPR 위반

사이버 공격으로 약 50만 명 고객의 개인정보 유출. GDPR 요구사항 미반영으로 적절한 기술적/조직적 보안 조치 미이행 판정. 2,000만 파운드 벌금.

💡 교훈: 법적 요구사항 준수 검토 체계 + 정기 보안 점검 필수

출처: EDPB/ICO 공식 발표 ↗

2019.07

Facebook 50억 달러 벌금

Cambridge Analytica 사건. 8,700만 명 사용자 데이터를 동의 없이 제3자에게 제공. 2012년 FTC 합의 조항 위반으로 역대 최대 개인정보 벌금.

💡 교훈: 법적 요구사항 지속 모니터링 + 컴플라이언스 자동화 필수

출처: FTC Press Release ↗

⚡

클라우드 환경의 위험

법적 요구사항 준수 체계가 미흡한 상황

수동 관리 (위험)

요구사항 파악: 수동 모니터링 (누락 위험)
규정 반영: 수동 정책 적용 (지연 발생)
준수 검토: 정기 수동 점검 (실시간 불가)
증적 관리: 문서 기반 관리 (누락 위험)

자동화 관리 (권장)

요구사항 파악: Security Standards 구독
규정 반영: Conformance Pack 자동 적용
준수 검토: Security Hub 실시간 Compliance
증적 관리: Audit Manager 자동 수집

🚨

발견 사례: Security Standards 미구독 + Audit Manager 미사용

Security Hub는 활성화되어 있으나 CIS, PCI-DSS 등 법규 기반 Standards가 미구독 상태입니다. 또한 Audit Manager가 미설정되어 증적 자동 수집이 불가능합니다.

ISMS-P 1.4.1 위반 사항

●

요구사항 미파악: Security Standards 미구독

●

규정 미반영: Conformance Pack 미적용

●

준수 미검토: Compliance 자동 검증 없음

●

증적 미관리: Audit Manager 미사용

🔍

사전 탐지 방안

IaC 코드 분석 기반 배포 전 점검

법적 요구사항 준수 체계 탐지 로직

탐지 대상	판단 조건	조건 값	결과
Security Standards	`aws_securityhub_standards_subscription`	CIS/PCI-DSS 미구독	Critical
Audit Manager	`aws_auditmanager_account_registration`	미존재	High
Conformance Pack	`aws_config_conformance_pack`	법규 관련 Pack 미존재	High
증적 보관 정책	`aws_s3_bucket_lifecycle_configuration`	expiration < 5년	Medium

🔔

사후 대응 방안

런타임 모니터링 및 이상행위 탐지

Compliance 상태 변경 런타임 대응 로직

탐지 시나리오	조건	결과
신규 법규/표준	새로운 Security Standard 발표	Info - 구독 검토 권고
Non-Compliant 리소스	Security Hub Compliance 상태 위반	High - 즉시 조치 필요
증적 수집 실패	Audit Manager Evidence 미수집	Medium - 수집 오류 확인
리포트 지연	월간 Compliance 리포트 미생성	Medium - 리포트 생성 필요

모든 알림에 포함되는 정보

위반 Standard 명 Non-Compliant 리소스 조치 권고안 Conformance Pack 적용 가이드

✓

조치 가이드

즉시 적용 가능한 권장 설정

❌ 현재 상태

Security Standards 미구독, Audit Manager 미사용, 증적 자동 수집 불가

✓ 권장 상태

CIS/PCI-DSS 구독, Audit Manager 활성화, 5년 증적 보관 정책 적용

권장 설정 (복사하여 적용)

compliance.tf

# 1. Security Hub 활성화
resource "aws_securityhub_account" "main" {}

# 2. Security Standards 구독 (법적 요구사항 기준)
resource "aws_securityhub_standards_subscription" "cis" {
  standards_arn = "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.4.0"
  depends_on    = [aws_securityhub_account.main]
}

resource "aws_securityhub_standards_subscription" "pci_dss" {
  standards_arn = "arn:aws:securityhub:::ruleset/pci-dss/v/3.2.1"
  depends_on    = [aws_securityhub_account.main]
}

# 3. Audit Manager 활성화
resource "aws_auditmanager_account_registration" "main" {
  kms_key = aws_kms_key.audit.arn
}

# 4. 증적 보관 버킷 (5년 보관)
resource "aws_s3_bucket_lifecycle_configuration" "evidence" {
  bucket = aws_s3_bucket.audit_evidence.id

  rule {
    id     = "retain-evidence"
    status = "Enabled"
    expiration { days = 1825 }  # 5년 보관
  }
}

💡 핵심: Security Standards 구독으로 법적 요구사항을 자동으로 파악하고, Audit Manager로 증적을 자동 수집하여 ISMS-P 심사 대비가 가능합니다.

📚 참고 자료

☁️ Security Hub Standards ↗ 📊 AWS Audit Manager ↗ 📦 Config Conformance Packs ↗

📊

리포트 방안

ISMS-P 심사 증적 및 정기 보고

📋 진단 항목

Security Standards 구독 현황
Non-Compliant 리소스 목록
Audit Manager 증적 수집 상태
Conformance Pack 적용 현황
시간별 준수율 추이

📅 리포트 주기

일간

Compliance 상태 변경 알림

주간

준수율 현황 요약

월간

ISMS-P 증적 리포트

📤 발송 및 저장

발송 채널

Email Slack

저장소

S3 (5년 보관)

⚡

BSG 차별점

기존 도구가 놓치는 점검 영역

기존 도구 방식

Security Hub 활성화만 검사

Security Hub 활성화 여부만 확인
Security Standards 구독 여부 미확인
Audit Manager 미검사

한계: 법적 요구사항 반영 + 증적 수집 체계는 탐지 못함

BSG 접근 방식

ISMS-P 관점 통합 점검

파악: Security Standards 구독 검사
반영: Conformance Pack 적용 검사
검토: Compliance 자동 검증 확인
증적: Audit Manager 5년 보관 검증

차별점: 법적 요구사항 파악 -> 반영 -> 검토 -> 증적 전 과정 자동화

<- ISMS-P Compliance Support로 돌아가기