ISMS-P 2.1.3 정보자산 관리 High Risk

정보자산 관리가 적절히 수행되고 있는가?

ISMS-P 2.1.3은 정보자산에 대한 관리책임과 보호대책을 정하여 관리하도록 요구합니다. 클라우드 환경에서는 Owner 태그 기반 책임 지정, Config Rules 기반 보호대책 검증, 변경 추적 및 알림 체계를 통해 체계적인 자산 관리가 필요합니다.

📋

ISMS-P 인증 기준

ISMS-P 2.1.3 정보자산 관리 요구사항

2.1.3

정보자산 관리

인증 기준 정의

"식별된 정보자산에 대하여 관리책임 및 보호대책을 정하여 관리하여야 하며, 정보자산의 이용 등 변경이 발생한 경우 적시에 반영하고 정보자산 목록의 정확성, 최신성을 주기적으로 검토하여야 한다."

📌 클라우드 환경 적용 포인트

Owner 태그로 관리책임자 명시
Config Rules로 보호대책 자동 검증
Conformance Pack으로 통합 정책 적용
Config Timeline으로 변경 추적

⚠️ 미준수 시 심사 영향

결함: 자산별 관리책임자 미지정
결함: 보호대책 수립 및 적용 미흡
권고: 자산 변경 시 목록 반영 지연

📄 KISA ISMS-P 인증기준 안내서 ↗ ☁️ AWS Config Managed Rules ↗

📰

실제 보안 사고 사례

자산 관리 미흡으로 발생한 실제 사고

2016.10

Uber AWS 키 관리 미흡 침해

개발자가 GitHub에 AWS 키를 업로드하였으나 관리책임자 미지정으로 1년간 방치. 외부 해커가 발견하여 5,700만 명 개인정보 탈취.

💡 교훈: 모든 자산에 Owner 태그 필수, 키 관리 책임자 명시 필요

출처: TechCrunch ↗

2019.07

Honda 자산 관리 공백 노출

Elasticsearch 클러스터가 Public 노출. 담당자 퇴사 후 인수인계 미흡으로 자산 관리 공백 발생. 내부 시스템 정보 1.34억 건 노출.

💡 교훈: Owner 태그 변경 시 알림 체계, 인수인계 프로세스 필수

출처: BleepingComputer ↗

⚡

클라우드 환경의 위험

정보자산 관리가 미흡한 상황

자산 관리 미흡 (위험)

❌ 관리책임: 담당자 미지정, Owner 태그 없음
❌ 보호대책: Config Rules 미설정
❌ 변경관리: 이력 추적 없음, 알림 없음
❌ 정확성검토: Compliance 점검 미수행

체계적 관리 (권장)

✅ 관리책임: Owner 태그 필수 적용
✅ 보호대책: Config Rules + Conformance Pack
✅ 변경관리: Config Timeline + SNS 알림
✅ 정확성검토: 주간 Compliance 리포트

🚨

발견 사례: 자산 관리 체계 미구축

EC2 인스턴스에 Owner 태그가 없어 관리책임자 불명확. Config Rules 미설정으로 보호대책 검증 불가. 변경 발생 시 알림 없어 적시 대응 불가.

현재 상태 - 문제가 되는 설정

# Terraform (문제) - 자산 관리 체계 미구축

resource "aws_instance" "app" {
  ami           = "ami-12345678"
  instance_type = "t3.medium"
  # Owner 태그 없음 - 관리책임자 불명확
  # 변경 추적 없음
}

# Config Rules 미설정
# 보호대책 자동 검증 없음

# SNS 알림 미설정
# 변경 발생 시 통보 없음

ISMS-P 2.1.3 위반 사항

●

관리책임 미지정: Owner 태그 없음

●

보호대책 미수립: Config Rules 없음

●

변경 미추적: 이력 기록/알림 없음

●

정확성 미검토: Compliance 리포트 없음

🔍

사전 탐지 방안

IaC 코드 분석 기반 배포 전 점검

정보자산 관리 체계 탐지 로직

탐지 대상	조건	결과
`Owner 태그`	태그 미존재	High - 관리책임 불명확
`Config Rules`	리소스 없음	High - 보호대책 미검증
`SNS Topic`	변경 알림 토픽 미설정	Medium - 변경 알림 불가
`Conformance Pack`	리소스 없음	Medium - 통합 정책 없음

🔔

사후 대응 방안

런타임 모니터링 및 변경 탐지

자산 관리 이벤트 대응 로직

탐지 시나리오	조건	결과
Owner 태그 변경	Owner 태그 값 변경 감지	Info - 인수인계 추적
보안 설정 변경	Security Group / IAM 변경	High - Slack 즉시 알림
Config Rule 위반	NON_COMPLIANT 상태	High - 보호대책 위반
미사용 자산	90일+ 미접근 리소스	Medium - 폐기 검토 필요

모든 알림에 포함되는 정보

변경된 리소스 ARN Owner 정보 변경 주체 (IAM) 권장 조치 가이드

✓

조치 가이드

즉시 적용 가능한 권장 설정

권장 설정 (복사하여 적용)

asset-management.tf

# 1. 필수 태그 (관리책임 + 보호등급)
resource "aws_instance" "app" {
  ami           = "ami-12345678"
  instance_type = "t3.medium"

  tags = {
    Name               = "production-app-server"
    Owner              = "devops-team@company.com"  # 관리책임자
    DataClassification = "Confidential"
    Environment        = "Production"
  }

  lifecycle {
    prevent_destroy = true  # 실수 삭제 방지
  }
}

# 2. Config Rules (보호대책 자동 검증)
resource "aws_config_config_rule" "required_tags" {
  name = "required-asset-tags"

  source {
    owner             = "AWS"
    source_identifier = "REQUIRED_TAGS"
  }

  input_parameters = jsonencode({
    tag1Key = "Owner"
    tag2Key = "DataClassification"
    tag3Key = "Environment"
  })
}

# 3. 변경 알림 체계
resource "aws_cloudwatch_event_rule" "owner_change" {
  name = "detect-owner-tag-change"

  event_pattern = jsonencode({
    source      = ["aws.tag"]
    detail-type = ["Tag Change on Resource"]
    detail = {
      "changed-tag-keys" = ["Owner"]
    }
  })
}

resource "aws_cloudwatch_event_target" "notify" {
  rule      = aws_cloudwatch_event_rule.owner_change.name
  target_id = "notify-sns"
  arn       = aws_sns_topic.asset_changes.arn
}

💡 핵심: Owner 태그로 관리책임자를 명시하고, Config Rules로 보호대책을 자동 검증합니다. EventBridge로 Owner 태그 변경 시 알림을 받아 인수인계를 추적할 수 있습니다.

📚 참고 자료

☁️ AWS Config Managed Rules ↗ 📦 AWS Conformance Packs ↗ 🏷️ AWS Resource Tagging ↗

📊

리포트 방안

ISMS-P 심사 증적 및 정기 보고

📋 진단 항목

Owner 태그 미부여 자산 수
Config Rules 적용 현황
NON_COMPLIANT 리소스 수
Owner 변경 이력 (기간별)
미사용 자산 목록

📅 리포트 주기

일간

Owner/보안 설정 변경 알림

주간

Compliance 현황 요약

월간

ISMS-P 증적 리포트

📤 발송 및 저장

발송 채널

Email Slack

저장소

S3 (5년 보관)

⚡

BSG 차별점

기존 도구가 놓치는 점검 영역

기존 도구 방식

개별 Config Rule 존재 여부만 확인

Config Recorder 활성화 여부
개별 Rule 존재 여부
기본 태그 존재 여부만 확인

한계: Owner 태그 검증 없음, 변경 알림 체계 미확인, 폐기 워크플로우 미검증

BSG 접근 방식

ISMS-P 관점 통합 점검

책임: Owner 태그 강제 + 변경 알림
보호: Config Rules + Conformance Pack 검증
추적: 변경 이력 + 인수인계 모니터링

차별점: 인증 기준 관점에서 탐지 -> 조치 -> 증적 전 과정 자동화

<- ISMS-P Compliance Support로 돌아가기