ISMS-P 3.4.1 개인정보의 파기 Critical Risk

개인정보 파기가 적절히 수행되고 있는가?

ISMS-P 3.4.1은 보존기간 경과 또는 처리목적 달성 시 개인정보를 복구 불가능한 방법으로 지체 없이 파기하도록 요구합니다. 클라우드 환경에서는 S3 Lifecycle과 DynamoDB TTL을 통해 자동화된 파기 체계를 구축해야 합니다.

📋

ISMS-P 인증 기준

ISMS-P 3.4.1 개인정보의 파기 요구사항

3.4.1

개인정보의 파기

인증 기준 정의

"개인정보의 보유기간 및 파기 관련 내부 정책을 수립하고 개인정보의 보유기간 경과, 처리목적 달성 등 파기 시점이 도달한 때에는 파기의 안전성 및 완전성이 보장될 수 있는 방법으로 지체 없이 파기하여야 한다."

📌 클라우드 환경 적용 포인트

S3 Lifecycle Policy를 통한 자동 파기 구현
DynamoDB TTL(Time To Live)로 자동 만료 처리
복구 불가능한 방법으로 파기 (덮어쓰기, 초기화)
CloudTrail 및 Lifecycle 이벤트로 파기 기록 관리
연계 시스템(CRM, DW) 복제본 동시 파기

⚠️ 미준수 시 심사 영향

결함: 보존기간 경과 후 개인정보 파기 미이행
결함: 파기 정책 미수립 (대상/주기/방법 등)
결함: 연계 시스템 복제본 미파기
과태료: 3천만원 이하 (개인정보 보호법 제75조)

📄 KISA ISMS-P 인증기준 안내서 ↗ 📖 IT위키 ISMS-P 3.4.1 ↗

📰

실제 보안 사고 사례

개인정보 파기 미이행으로 발생한 행정처분 사례

2024.05

골프존 개인정보 미파기

보유기간 경과 또는 처리목적 달성된 최소 38만여명의 개인정보 미파기. 준회원 383,365명, 퇴직자 2,916명, 채용 관련 정보 1,159명, VOC 정보 등 포함. 개인정보 보호법 제21조 파기의무 위반으로 과태료 540만원 부과.

💡 교훈: 수동 파기 의존 시 누락 발생, 자동화된 파기 체계 필수

출처: 보안뉴스 ↗

2025.04

클래스유 신분증 사본 미파기

처리목적 달성한 이용자의 신분증 사본을 파기하지 않고 보관. 약 160만명 개인정보 유출 사고 발생. 개인정보보호위원회로부터 과징금 5,360만원, 과태료 720만원 부과.

💡 교훈: 민감정보는 처리목적 달성 즉시 파기, 자동 파기 정책 필수

출처: 개인정보보호위원회 ↗

⚡

클라우드 환경의 위험

AWS에서 개인정보 자동 파기가 미구현된 상황

수동 파기 (위험)

데이터

📂

⏳

보존기간 경과

❓

↑ 담당자 실수로 파기 누락 빈번

파기 누락 시 3천만원 이하 과태료 → ISMS-P 3.4.1 미충족

자동 파기 (권장)

S3 Lifecycle

⏱️

→

자동 삭제

🗑️

↑ 보존기간 경과 시 자동 파기

정책 기반 자동 삭제 + 이벤트 로그 → 인증 기준 충족

🚨

발견 사례: S3 버킷과 DynamoDB 테이블에 자동 파기 정책 미설정

개인정보를 저장하는 S3 버킷에 lifecycle_configuration이 미설정되어 있고, DynamoDB 테이블에 ttl이 비활성화되어 있어 보존기간 경과 데이터가 무기한 보관되는 상황.

현재 상태 - 문제가 되는 설정

# S3 버킷 - Lifecycle Policy 미설정
resource "aws_s3_bucket" "user_data" {
  bucket = "company-user-data"

  # lifecycle_rule 미설정 - 보존기간 경과 데이터 수동 삭제 의존
  tags = {
    Name = "user-data"
  }
}

# DynamoDB 테이블 - TTL 미설정
resource "aws_dynamodb_table" "user_sessions" {
  name         = "user-sessions"
  billing_mode = "PAY_PER_REQUEST"
  hash_key     = "session_id"

  # TTL 미설정 - 세션 데이터 무기한 보관
}

ISMS-P 3.4.1 위반 사항

●

개인정보 파기 정책 미수립

●

보존기간 경과 데이터 자동 파기 미구현

●

파기 기록 자동 생성 체계 부재

●

연계 시스템 데이터 동시 파기 미고려

🔍

사전 탐지 방안

IaC 코드 분석 기반 배포 전 점검

개인정보 자동 파기 정책 탐지 로직

판단 조건	조건 값	결과
📦 S3 Lifecycle	`미설정` Lifecycle 구성 없음	Critical - 차단
📦 S3 Lifecycle	`설정됨`	→ Expiration 액션 검사
🗑️ Expiration 액션	`미설정` Transition만 존재	High - 경고
🗑️ Expiration 액션	`설정됨` 자동 삭제 활성화	→ 보존기간 검사
⏱️ DynamoDB TTL	`미설정` ttl 블록 없음	High - 경고
⏱️ DynamoDB TTL	`enabled = true`	✓ 통과

🔔

사후 대응 방안

런타임 모니터링 및 이상행위 탐지

파기 정책 런타임 이벤트 대응 로직

판단 조건	조건 값	결과
📦 변경 유형	`IaC 배포 (Terraform)` 정상 변경	✓ 변경 이력만 저장
📦 변경 유형	`Drift 발생` 콘솔 직접 변경	→ 상세 분석
⚠️ 변경 내용 (Drift 발생 시)	`Lifecycle 규칙 삭제` 자동 파기 비활성화	Critical - PagerDuty 호출
	`Expiration 기간 연장` 365일 → 730일	High - Slack 즉시 알림
	`TTL 비활성화` DynamoDB TTL 끔	High - Slack 즉시 알림

모든 알림에 포함되는 정보

S3 버킷/DynamoDB 테이블 ARN 변경 전/후 파기 정책 변경 주체 (IAM) Lifecycle/TTL 설정 가이드

✓

조치 가이드

즉시 적용 가능한 권장 설정

❌ 문제

S3 Lifecycle 및 DynamoDB TTL 미설정 (수동 파기 의존)

✓ 적용

aws_s3_bucket_lifecycle_configuration + ttl 블록

권장 설정 (복사하여 적용)

data-lifecycle.tf

# S3 버킷 - 개인정보 저장용
resource "aws_s3_bucket" "user_data" {
  bucket = "company-user-data"

  tags = {
    Name        = "user-data"
    Environment = "production"
    ISMS-P      = "3.4.1"
  }
}

# S3 Lifecycle 규칙 - 보존기간 경과 후 자동 삭제
resource "aws_s3_bucket_lifecycle_configuration" "user_data" {
  bucket = aws_s3_bucket.user_data.id

  rule {
    id     = "expire-personal-data"
    status = "Enabled"

    filter {
      prefix = "personal-data/"
    }

    # 보존기간(예: 1년) 경과 후 자동 삭제
    expiration {
      days = 365
    }
  }
}

# S3 Lifecycle 이벤트 알림 (파기 증적)
resource "aws_s3_bucket_notification" "user_data" {
  bucket = aws_s3_bucket.user_data.id

  lambda_function {
    lambda_function_arn = aws_lambda_function.log_deletion.arn
    events              = ["s3:LifecycleExpiration:*"]
  }
}

# DynamoDB 테이블 - TTL 설정
resource "aws_dynamodb_table" "user_sessions" {
  name         = "user-sessions"
  billing_mode = "PAY_PER_REQUEST"
  hash_key     = "session_id"

  attribute {
    name = "session_id"
    type = "S"
  }

  # TTL 활성화 - expire_at 필드 기준 자동 삭제
  ttl {
    attribute_name = "expire_at"
    enabled        = true
  }

  tags = {
    Name   = "user-sessions"
    ISMS-P = "3.4.1"
  }
}

💡 핵심: aws_s3_bucket_lifecycle_configuration의 expiration 블록으로 보존기간 경과 객체를 자동 삭제합니다. DynamoDB는 ttl 블록을 활성화하고 각 아이템에 Unix epoch 형식의 만료 시간을 저장하면 자동으로 삭제됩니다. S3 Lifecycle 이벤트 알림을 통해 파기 기록을 자동으로 수집할 수 있습니다.

📚 참고 자료

📦 AWS S3 Lifecycle ↗ ⏱️ AWS DynamoDB TTL ↗ 📜 개인정보 보호법 제21조 ↗

📊

리포트 방안

ISMS-P 심사 증적 및 정기 보고

📋 진단 항목

Lifecycle 정책이 적용된 S3 버킷 수
Expiration 액션 미설정 버킷
TTL 활성화된 DynamoDB 테이블 수
파기 대상 데이터 현황 (보존기간 초과)
파기 이벤트 로그 수집 현황

📅 리포트 주기

일간

파기 실행 현황 (S3 Lifecycle 이벤트)

주간

파기 정책 준수 현황 요약

월간

ISMS-P 증적 리포트 (파기 관리대장)

📤 발송 및 저장

발송 채널

Email Slack

저장소

S3 (5년 보관)

⚡

BSG 차별점

기존 도구가 놓치는 점검 영역

기존 도구 방식

단순 Lifecycle 활성화 검사

lifecycle_configuration.rules[].status == "Enabled" 단순 비교
Expiration 액션 유무 미검증 (Transition만 있어도 PASS)
정적 분석 결과만 출력

한계: DynamoDB TTL 미점검, 보존기간 적정성 미검증

BSG 접근 방식

Lifecycle + Expiration + TTL 통합 점검

IaC 코드 분석 기반 Expiration 액션 필수 검증
S3 + DynamoDB + RDS 데이터 파기 정책 통합 검증
런타임 파기 정책 변경 모니터링 + Drift 탐지

차별점: ISMS-P 3.4.2(처리목적 달성 후 보유)와 통합하여 데이터 생명주기 전체 검증

← Data Protection & Disaster Recovery로 돌아가기