ISMS-P 2.9.1 변경관리 High Risk

변경관리가 체계적으로 수행되고 있는가?

ISMS-P 2.9.1은 정보시스템 도입·변경 시 성능 및 보안에 미치는 영향을 분석하고 변경 이력을 관리하도록 요구합니다. 클라우드 환경에서는 Drift Detection과 PR 기반 워크플로우로 체계적인 변경관리 체계를 구축해야 합니다.

📋

ISMS-P 인증 기준

ISMS-P 2.9.1 변경관리 요구사항

2.9.1

변경관리

인증 기준 정의

"정보시스템 도입 또는 변경 시 성능 및 보안에 미치는 영향을 분석·협의하고 관련 이력을 관리하여야 한다."

📌 클라우드 환경 적용 포인트

Terraform drift detection으로 계획되지 않은 변경 탐지
PR 기반 워크플로우로 변경 요청-검토-승인 체계
terraform plan 결과 검토로 보안 영향 분석
AWS Config로 리소스 변경 이력 자동 기록
변경관리시스템(ITSM)과 IaC 파이프라인 연동

⚠️ 미준수 시 심사 영향

결함: 변경관리시스템 없이 시스템 변경 가능
결함: 변경사항이 적절히 검토되지 않음
결함: 변경 이력이 관리되지 않음
권고: 드리프트(승인 없는 변경)가 방치됨

📄 KISA ISMS-P 인증기준 안내서 ↗

📰

실제 보안 사고 사례

변경관리 미흡으로 발생한 실제 사고

2013-2023년

Toyota 10년간 설정 오류 방치

클라우드 환경 설정 오류가 10년간 방치되어 약 26만 명의 고객 데이터가 외부에 노출됨. 변경 이력 관리와 정기 점검이 없어 장기간 탐지되지 않았습니다.

💡 교훈: 변경 이력 관리 필수, 정기적 drift detection 및 보안 점검

2024년

Firebase 설정 오류 1,900만 비밀번호 유출

Firebase 인스턴스 설정 오류로 1,900만 개의 평문 비밀번호 유출. 설정 변경 시 보안 영향 분석 없이 배포되어 발생했습니다.

💡 교훈: 모든 설정 변경은 보안 검토 필수, Policy as Code 자동 검증

⚡

클라우드 환경의 위험

콘솔 직접 변경과 드리프트 미탐지의 위험성

❌ 위험: 콘솔 직접 변경, 드리프트 미탐지

# Terraform으로 관리되는 Security Group
resource "aws_security_group" "web" {
  ingress {
    from_port   = 443
    cidr_blocks = ["10.0.0.0/8"]  # 내부만
  }
}

# 문제: AWS 콘솔에서 직접 변경!
# 누군가 0.0.0.0/0 인바운드 규칙 추가
# → State와 실제 인프라 불일치
# → 보안 취약점 탐지 안 됨

콘솔 직접 변경 시 State 불일치로 보안 취약점 탐지 불가

✓ 권장: Drift Detection + AWS Config

# Terraform Cloud Drift Detection
# Settings > Health > Enable drift detection
# → Daily 스캔으로 변경 자동 탐지

# AWS Config로 변경 이력 기록
resource "aws_config_configuration_recorder" "main" {
  recording_group {
    all_supported = true
  }
}

# → 모든 변경 자동 기록 + 알림

Drift Detection으로 계획되지 않은 변경 자동 탐지

🚨 ISMS-P 2.9.1 위반 사항

●

변경관리시스템 없이 콘솔에서 직접 변경 가능

●

드리프트 탐지 체계 부재

●

변경 이력 관리 미수행

●

보안 영향 분석 없이 변경 적용

🔍

사전 탐지 방안

IaC 정적 분석 기반 변경 검증

terraform plan 기반 변경 탐지 로직

판단 조건	조건 값	결과
terraform plan	변경사항 탐지	Info - 검토 필요
terraform plan	Security Group 변경	High - 보안 검토 필수
terraform plan	IAM Policy 변경	High - 보안 검토 필수
terraform plan	예상치 못한 destroy	Critical - 승인 필수
Policy Check	위반 탐지	조건에 따라 경고/차단

📝 Policy as Code 예시 (OPA/Rego)

# OPA/Rego Policy - 보안 리소스 변경 검증
package terraform.change_management

# Security Group 변경 시 보안팀 승인 필요
warn[msg] {
  resource := input.resource_changes[_]
  resource.type == "aws_security_group"
  resource.change.actions[_] != "no-op"
  msg := sprintf("Security Group %s 변경 - 보안팀 검토 필수 (ISMS-P 2.9.1)", [resource.address])
}

# IAM Policy 변경 시 보안팀 승인 필요
warn[msg] {
  resource := input.resource_changes[_]
  contains(resource.type, "aws_iam")
  resource.change.actions[_] != "no-op"
  msg := sprintf("IAM 리소스 %s 변경 - 보안팀 검토 필수", [resource.address])
}

# 예상치 못한 리소스 삭제 방지
deny[msg] {
  resource := input.resource_changes[_]
  resource.change.actions[_] == "delete"
  not contains(input.approved_deletions, resource.address)
  msg := sprintf("리소스 %s 삭제 - 사전 승인 필요", [resource.address])
}

🔔

사후 대응 방안

Runtime 탐지 및 드리프트 모니터링

변경 탐지 이벤트 대응 로직

판단 조건	조건 값	결과	자동 대응
🔄 Drift Detection	드리프트 탐지	High - 즉시 알림	Auto Alert
🔄 Drift Detection	보안 관련 드리프트	Critical - 긴급 조치	Auto Remediate
⚙️ AWS Config	리소스 변경 기록	Info - 이력 저장	Auto Log
⚙️ AWS Config	규정 위반 변경	High - 알림	Auto Notify
📝 CloudTrail	Terraform 외 변경	High - 승인 확인 필요	Auto Alert

🔄 Terraform Cloud Drift Detection

# Terraform Cloud Workspace 설정
# Settings > Health > Drift Detection

# 1. Drift Detection 활성화
# - Enable drift detection: ON
# - Detection frequency: Daily (권장) 또는 Weekly

# 2. 알림 설정
# - Slack webhook 연동
# - Email 알림
# - Webhook (ITSM 연동)

# 드리프트 탐지 시 대응 옵션:
# 1. Refresh-only plan: State 업데이트 (드리프트 수용)
# 2. Regular plan & apply: 원래 상태로 복원

# CLI에서 드리프트 확인
terraform plan -refresh-only
# 예상치 못한 변경사항이 있으면 드리프트 발생

✓

조치 가이드

즉시 적용 가능한 권장 설정

✓ 권장 구성: AWS Config + Drift Detection

# AWS Config - 리소스 변경 이력 기록
resource "aws_config_configuration_recorder" "main" {
  name     = "config-recorder"
  role_arn = aws_iam_role.config.arn

  recording_group {
    all_supported                 = true
    include_global_resource_types = true
  }
}

resource "aws_config_delivery_channel" "main" {
  name           = "config-delivery"
  s3_bucket_name = aws_s3_bucket.config.id
  sns_topic_arn  = aws_sns_topic.config_changes.arn

  snapshot_delivery_properties {
    delivery_frequency = "TwentyFour_Hours"
  }
}

# Config Rule - Security Group 변경 감지
resource "aws_config_config_rule" "security_group_changes" {
  name = "security-group-open-to-world"

  source {
    owner             = "AWS"
    source_identifier = "RESTRICTED_INCOMING_TRAFFIC"
  }

  tags = {
    Purpose = "Change-Detection"
    ISMS-P  = "2.9.1"
  }
}

💡 핵심 포인트

Terraform Cloud Drift Detection으로 계획되지 않은 변경 자동 탐지
AWS Config로 모든 리소스 변경 이력 자동 기록
모든 인프라 변경은 PR 기반 워크플로우로 terraform plan 검토
보안 리소스 변경 시 보안팀 추가 검토 필수

📚 참고 자료

📘 Terraform Drift Detection 문서 ↗ ☁️ AWS Config 가이드 ↗

📊

리포트 방안

ISMS-P 심사 증적 및 정기 보고

📋 점검 항목별 증적

점검 항목	증적 자료
변경관리 체계	PR 워크플로우 설정, 승인 프로세스
변경 이력	Terraform Run History, AWS Config
영향 분석	terraform plan 검토, 보안 리뷰 로그
드리프트 관리	Drift Detection 설정, 알림/대응 이력
승인 절차	PR 승인 로그, ITSM 연동 기록

🤖 자동화 증적 수집

# Terraform Cloud Run History 조회
curl -H "Authorization: Bearer $TFE_TOKEN" \
  "https://app.terraform.io/api/v2/\
workspaces/{id}/runs"

# AWS Config 변경 이력
aws configservice \
  get-resource-config-history \
  --resource-type AWS::EC2::SecurityGroup \
  --resource-id sg-12345678

# CloudTrail 변경 로그
aws cloudtrail lookup-events \
  --lookup-attributes \
  AttributeKey=EventSource,\
AttributeValue=ec2.amazonaws.com

⚡

BSG 차별점

기존 도구가 놓치는 점검 영역

기존 도구 방식

수동 terraform plan 실행

개발자 의존적 변경 확인
드리프트 자동 탐지 불가
변경 이력 통합 관리 불가

한계: 보안 영향 분석 자동화 불가, 콘솔 직접 변경 탐지 불가

BSG 접근 방식

Drift Detection + AWS Config + CloudTrail 통합

사전 탐지: terraform plan 자동 분석, 보안 변경 식별
사후 대응: 드리프트 실시간 탐지, 자동 알림
통합 점검: PR 워크플로우 + Config Rule 검증

차별점: 변경 영향 분석 + 드리프트 자동화 + 심사 증적 자동화로 탐지 → 조치 → 증적 전 과정 자동화

← ISMS-P 통제 항목으로 돌아가기