ISMS-P 2.7.1 암호정책 적용 High Risk

암호정책이 적절히 적용되고 있는가?

ISMS-P 2.7.1은 개인정보 및 중요정보 보호를 위해 법적 요구사항을 반영한 암호정책 수립을 요구합니다. 클라우드 환경에서는 S3, RDS, EBS 등 저장소에 적절한 암호화와 키 관리 정책을 적용해야 합니다.

📋

ISMS-P 인증 기준

ISMS-P 2.7.1 암호정책 적용 요구사항

2.7.1

암호정책 적용

인증 기준 정의

"개인정보 및 주요정보의 보호를 위하여 법적 요구사항을 반영한 암호화 대상, 암호강도, 암호사용 등이 포함된 암호정책을 수립하고, 이에 따라 암호화를 수행하여야 한다."

📌 클라우드 환경 적용 포인트

S3 버킷 서버사이드 암호화 (SSE-KMS)
RDS 인스턴스 스토리지 암호화
EBS 볼륨 암호화
KMS 키 관리 및 자동 순환 정책

⚠️ 미준수 시 심사 영향

결함: 중요 데이터 저장소에 암호화 미적용
결함: 취약 알고리즘(MD5, SHA1) 사용
결함: 설정파일에 평문 비밀번호 저장
권고: 암호화 키 순환 정책 미수립

📄 KISA ISMS-P 인증기준 안내서 ↗ ☁️ AWS K-ISMS 규정 준수 ↗

📰

실제 보안 사고 사례

암호화 미적용으로 발생한 실제 사고

2024.05

Snowflake 165개 기업 연쇄 침해

암호화되지 않은 크리덴셜이 작업자 PC와 JIRA에 평문 저장됨. 해커가 이를 탈취하여 AT&T, Ticketmaster 등 165개 기업 침해. 3천만 은행계좌 정보 유출.

💡 교훈: 크리덴셜은 반드시 암호화 저장, 시스템 간 전송 시에도 암호화 필수

출처: Cloud Security Alliance ↗

2025.09

Navy Federal S3 백업 노출

미군 금융기관의 암호화되지 않은 378GB S3 백업이 공개 노출. 내부 사용자명, 해시된 비밀번호, 키, 비즈니스 로직 등 포함.

💡 교훈: 백업 데이터에도 AES-256 암호화 필수, 키는 백업과 분리 보관

출처: Security Magazine ↗

⚡

클라우드 환경의 위험

AWS에서 암호화 정책이 위반되는 상황

SSE-S3 (기본 암호화)

AWS 관리

🔑

→

제한적 가시성

👁️

AWS가 키를 자동 관리 → 키 순환 정책 수립 불가, 감사 이력 제한적

SSE-KMS (권장)

고객 CMK

🔐

→

CloudTrail 로깅

📋

고객 관리 키 → 자동 순환 정책 설정, 모든 사용 감사 추적

🚨

발견 사례: 고객 데이터 버킷에 SSE-S3만 적용

AES256 (SSE-S3) 암호화가 적용되어 있습니다. 그러나 SSE-KMS가 아니므로 키 순환 정책 수립과 상세 감사가 불가능합니다.

현재 상태 - 문제가 되는 설정

resource "aws_s3_bucket_server_side_encryption_configuration" "customer_data" {
  bucket = aws_s3_bucket.customer_data.id

  rule {
    apply_server_side_encryption_by_default {
      sse_algorithm = "AES256"  # ⚠️ SSE-S3: 키 관리 불가
    }
  }
}

ISMS-P 2.7.1 / 2.7.2 위반 사항

●

암호화 키 관리 체계 부재

●

키 순환 정책 수립/적용 불가

●

키 사용 이력 감사 불가

●

세분화된 접근 제어 불가

🔍

사전 탐지 방안

IaC 코드 분석 기반 배포 전 점검

S3 암호화 정책 탐지 로직

판단 조건	조건 값	결과
📦 리소스 유형	`logs` `temp` 로그/임시 데이터	✓ SSE-S3 허용
📦 리소스 유형	`customer` `pii` 민감 정보	→ 암호화 검사
🔐 암호화 상태	`encryption = null` 암호화 없음	Critical - PR 즉시 차단
	`sse_algorithm = "AES256"` SSE-S3	High - 경고 + CMK 권장
	`sse_algorithm = "aws:kms"` SSE-KMS	→ 키 순환 검사
🔄 키 순환	`enable_key_rotation = false`	Medium - 순환 정책 권장
🔄 키 순환	`enable_key_rotation = true`	✓ 통과

🔔

사후 대응 방안

런타임 모니터링 및 설정 변경 탐지

암호화 설정 변경 런타임 대응 로직

판단 조건	조건 값	결과
📦 변경 유형	`Terraform Apply` 정상 IaC 배포	✓ 변경 이력만 저장
📦 변경 유형	`Drift 발생` 콘솔/CLI 직접 변경	→ 상세 분석
⚠️ 변경 내용 (Drift 발생 시)	`암호화 비활성화` 데이터 노출 위험	Critical - PagerDuty 호출
	`SSE-KMS → SSE-S3` 다운그레이드	High - Slack 즉시 알림
	`키 순환 비활성화` 정책 변경	Medium - Slack 알림 + 로깅

모든 알림에 포함되는 정보

변경된 버킷/리소스 이름 이전 암호화 설정 변경 주체 (IAM) SSE-KMS 전환 가이드

✓

조치 가이드

즉시 적용 가능한 권장 설정

❌ 변경 전

sse_algorithm = "AES256" (SSE-S3)

✓ 변경 후

sse_algorithm = "aws:kms" + 자동 순환

권장 설정 (복사하여 적용)

customer-data-encryption.tf

# 1. KMS 키 생성 (자동 순환 활성화)
resource "aws_kms_key" "customer_data" {
  description             = "Customer data encryption key"
  deletion_window_in_days = 30
  enable_key_rotation     = true  # ✓ 연간 자동 순환

  tags = {
    Name    = "customer-data-key"
    ISMS-P  = "2.7.1"
  }
}

# 2. S3 버킷에 SSE-KMS 적용
resource "aws_s3_bucket_server_side_encryption_configuration" "customer_data" {
  bucket = aws_s3_bucket.customer_data.id

  rule {
    apply_server_side_encryption_by_default {
      sse_algorithm     = "aws:kms"  # ✓ SSE-KMS 사용
      kms_master_key_id = aws_kms_key.customer_data.arn
    }
    bucket_key_enabled = true  # 비용 절감
  }
}

💡 핵심: SSE-S3도 암호화이지만, ISMS-P 2.7.2(암호키 관리) 요구사항 충족을 위해 SSE-KMS + 자동 순환이 필요합니다. 키 사용 이력은 CloudTrail에 자동 기록되어 감사 증적으로 활용됩니다.

📚 참고 자료

☁️ AWS S3 암호화 가이드 ↗ 🔐 AWS KMS 키 순환 ↗ 📘 IT위키 ISMS-P 2.7.1 ↗

📊

리포트 방안

ISMS-P 심사 증적 및 정기 보고

📋 진단 항목

암호화 미적용 버킷/RDS 수
SSE-S3만 적용된 민감 데이터 버킷
키 순환 미설정 KMS 키 수
암호화 설정 변경 이력 (기간별)
미조치 항목 수

📅 리포트 주기

일간

암호화 설정 변경 알림

주간

암호화 현황 요약

월간

ISMS-P 증적 리포트

📤 발송 및 저장

발송 채널

Email Slack

저장소

S3 (5년 보관)

⚡

BSG 차별점

기존 도구가 놓치는 점검 영역

기존 도구 방식

암호화 ON/OFF만 검사

bucket.encryption == "aws:kms"
db_instance.encrypted Boolean 체크
키 순환 정책, 데이터 민감도 미점검

한계: SSE-S3로 암호화되어 있으면 PASS, 키 관리 체계 미검증

BSG 접근 방식

ISMS-P 관점 통합 점검

리소스 민감도별 암호화 정책 적용
암호화 유형별 위험도 분류
KMS 키 순환 정책 점검 (2.7.2 연계)

차별점: 인증 기준 관점에서 탐지 → 조치 → 증적 전 과정 자동화

<- Data Protection으로 돌아가기