검색결과
-
KTL, 폐기물 매립시설 검사 서비스 개시국내 유일 공공 종합시험인증기관 한국산업기술시험원(이하 KTL, 원장 김세종)은 환경부 소속 국립환경과학원으로부터 폐기물 매립시설 분야 검사기관으로 신규 지정됐다고 2월 22일 밝혔다. 이를 통해 KTL에서 폐기물 처리시설 전(全)분야에 대한 검사업무가 원스톱으로 가능해져 기업 편의성 제고되고, 국민들의 안전하고 쾌적한 생활 영위에 기여할 것으로 기대된다. 폐기물 처리시설은 매립시설, 소각시설, 소각열회수시설, 음식물류폐기물 처리시설, 시멘트소성로, 멸균분쇄시설로 6개 분야로 나뉜다. * 폐기물 매립시설 - 발생된 폐기물 중에 재활용 가능한 것은 물질회수하고, 가연성 폐기물은 열적처리 과정을 통하여 에너지 회수와 부피 감량을 하며, 나머지 무기성 폐기물을 포함한 잔류물과 소각재 등을 최종적으로 매립 처분하는 시설로 전국적으로 296개의 매립시설이 존재 폐기물 매립시설은 인근 주민의 생명과 재산, 주변 환경 피해 방지를 위해 검사가 필요하며, 설치검사, 정기검사, 사용종료·폐쇄검사, 사후관리 정기검사가 있다. 구체적으로 매립시설 내 옹벽 및 제방이 안전하게 설계됐는지, 매립시설에서 발생하는 침출수(오염된 물)가 외부로 유출되지 않고 적절하게 처리가 되는지 등 현장조사 및 측정분석을 통해 검사가 진행된다. * 폐기물 매립시설 검사(관련 법령 : 「폐기물관리법」 제30조 및 「폐기물관리법 시행규칙」 제41조) - 설치검사 : 시설의 형식·기능 등이 설치기준에 적합한지 판정하는 검사 - 정기검사 : 시설의 형식·기능 등이 관리기준에 적합하게 유지·관리되고 있는지 확인하는 검사 - 사용종료·폐쇄 및 사후관리 검사 : 폐기물 매립시설의 사후관리 적정운영 확인 검사 KTL 고영환 환경기술본부장은 ‶매립시설은 폐기물 처리의 최종 단계에 해당하는 시설로서 국가 폐기물 관리에 있어 매우 중요한 시설″이라며, ‶KTL의 57년간 축적된 시험·검사 역량과 노하우를 바탕으로 폐기물이 올바르고 안전하게 처리될 수 있도록 최선의 노력을 다하겠다″고 말했다. 한편, KTL은 최근 폐플라스틱 활성화 정책에 발맞춰 폐플라스틱 열분해시설 검사 기준 마련에 참여하고 있으며, 향후 폐플라스틱 열분해시설 검사기관 지정을 통해 폐기물 처리시설 검사 서비스를 확대할 계획이다. 폐기물 처리시설 검사 관련 자세한 사항은 KTL 환경기술본부 탄소중립대응센터로 문의(02-860-1682)하면 된다.
-
KTC 심천시험소, 이차전지 분야 국제공인시험기관으로 지정한국기계전기전자시험연구원(이하 KTC) 중국 심천시험소가 국제전기기술위원회(IECEE)로부터 이차전지 분야 국제공인시험기관(CBTL)으로 지정받아 1월부터 국제공인시험성적서(IECEE-CB)를 발행하고 있다. 전 세계 대부분의 이차전지가 중국에서 생산되고 있지만 시험·인증을 위해서는 시료를 수출국가에 보내야하기 때문에 시간과 비용, 언어적 부담 그리고 기술 유출에 대한 위험까지 감수하는 어려움이 있었다. 그러나 앞으로는 KTC 심천시험소의 성적서로 북미, 유럽 등 IECEE 54개 회원국의 인증을 취득할 수 있게 되어 중국에 제조 기반을 둔 국내 기업들의 업무 편의와 기술 보안성이 크게 증대될 것으로 기대된다. 또한 KTC 심천시험소는 지난해 12월 CNAS*로부터 성능, 운송 등에 대한 이차전지 분야 중국 공인시험기관으로 지정받은 바 있으며, 중국 공인시험성적서 발급으로 제품의 안전과 품질을 보장하고 있다. * CNAS : 중국인정기구국가인가위원회(CNAB)와 중국실험실국가인가위원회(CNAL)에 의해 설립된 중국 인정기구로 시험서비스의 품질시스템과 기술력을 갖춘 곳을 CNAS 기관으로 지정. 한편 KTC는 우리 기업들에게 미주, 유럽, 중동, 아시아 등 주요 국가 수출에 필요한 모든 해외인증 취득을 지원하며 국가 수출 경쟁력 향상에 기여하고 있는 국내 최고 수준의 국제공인 시험·인증 기관이다. KTC 안성일 원장은 “KTC 심천시험소의 CBTL 및 CNAS 기관지정은 시험서비스의 공신력을 인정받은 것”이라며 ”지속적인 인프라 투자를 통해 AV, IT 등으로 지정 분야를 넓혀감으로써 중국 내 우리 기업을 위한 수출 지원에 힘쓸 것”이라고 밝혔다.
-
[잠비아] 파라투스 잠비아(Paratus Zambia), ISO 9001 & ISO 27001 & PCI-DSS 인증 획득잠비아 통신사업자인 파라투스 잠비아(Paratus Zambia)에 따르면 2022년 8월 4일 ISO 9001, ISO 27001, PCI(Payment Card Industry)-DSS(Data Security Standard) 인증을 획득했다.ISO 9001은 품질경영시스템, ISO 27001은 정보보호경영시스템에 관한 국제표준이다. PCI-DSS는 신용 카드 회원의 정보를 보호하는 것을 목적으로 정해진 신용 카드 업계 정보 보안 표준 규칙이다.우선 ISO 9001는 국제표준화기구(ISO)에서 제정 및 시행하고 있는 품질경영시스템에 관한 국제규격으로 제품 및 서비스에 이르는 전 생산 과정에 걸친 품질보증 체계를 의미한다.기업이 생산하는 제품과 공급하는 서비스 자체에 대한 품질인증이 아니라 제품을 생산·공급하는 품질경영시스템을 평가해 인증한다.다음으로 ISO 27001은 정보보호 분야에서 가장 권위가 있는 인증으로 영국표준(BS, British Standard)인 BS7799이었으나 2005년 11월 ISO 표준으로 승격됐다.인증을 하는 범위는 정보보호정책, 통신·운영, 접근 통제, 정보보호 사고 대응 등 정보보호 관리 11개 영역, 133개 항목을 평가한다.파라투스 잠비아는 국내 잠비아데이터보호법(Zambian Data Protection Act)에 규정한 보호조치를 취할 뿐만 아니라 국제적으로 요구하는 사항에도 적합한 원칙을 적용하고 있다.그리고 PCI-DSS는 2004년 국제 카드 브랜드인 VISA, MasterCard, American Express, Discover, JCB의 5개사에 의해 개발된 신용카드 결제 관련 정보보안 표준이다.표준이 제정되기 전까지는 자체 보안 기준을 적용했는데 신용카드 회원의 정보가 유출 및 악용되는 사고가 많이 발생했다. 이러한 보안 위험을 효과적으로 방지하기 위해 통합 보안 기준을 책정한 것이다.PCI-DSS는 데이터 센터의 모든 물리적 보안 영역도 커버한다. 또한 금융기관은 PCI 인증을 받은 기관을 통해 지불 정보를 저장, 처리, 전송해야 한다.인증을 받음으로서 파라투스 잠비아의 데이터 센터가 금융 데이터를 충분히 보호하며 금융기관의 정보를 호스트할 수 있는 준비가 갖췄다고 평가할 수 있다.참고로 파라투스 잠비아는 인터넷망, 데이터 센터, 클라우드 서비스, 위성 서비스 등을 제공하는 통신사업자이다. 앙공라, 보츠와나, DRC, 모잠비크, 나미비아, 남아프리카공화국, 잠비아 등 아프리카 7개 국가에서 사업을 영위하고 있다.
-
[스위스] 국제표준화기구(ISO), 2022년 말 ISO 27001 새로운 표준 발표 계획스위스 제네바에 본부를 두고 있는 국제표준화기구(International Standards Organization, ISO)에 따르면 2022년 말까지 ISO/ICE 27001 표준의 새로운 버전을 발표할 계획이다.ISO/IEC 27001 표준은 지구상에서 가장 높이 평가되는 정보 보안 표준 중 하나이다. 하지만 거의 10년 동안 업데이트되지 않았다.정보 보안 경영 시스템(information security management system, ISMS)의 구축, 구현, 유지, 지속적인 개선을 위한 요구사항을 제공하도록 설계된 완전한 위험 기반 표준으로 정식 명칭은 ISO/IEC 27001:2013이다.2013년 발표된 이후 개정이 전혀 이뤄 지지 않았다. 코로나19 팬데믹 영향으로 새로운 표준 발표가 다소 지연되어 왔으나 본격적으로 정보 보안 관련 표준이 업데이트된다.ISO 27001:2013 전반부에서 인증을 위해 요구되는 주요 요소인 조항 4~10은 2022 버전에서는 바뀌지 않을 것으로 예상된다.하지만 2월 ISO는 ISO 27002:2013 초기 버전을 대체하는 ISO 27002:2022를 발표했다. ISO 27002는 기본적으로 ISO 27001에 있는 모든 부속서 A 통제를 반영하고 있으며 각 통제에 대한 상세한 구현 지침을 제공한다.ISO/IEC 27001의 새 버전이 출시되면 부속서 A 통제가 새로운 ISO 27002:2022의 통제와 일치할 것으로 예상된다. 따라서 ISO/IEC 27002:2022 표준을 유용한 지침으로 사용할 수 있다.ISO 27001 인증을 위해 완전히 충족돼야 하는 ISO/IEC 27001 문서의 전반부에 있는 조항과는 달리 ISO 27002 통제는 요구하고 있지 않다. 하지만 조직에 의해 사용되도록 설계된 일반 정보 보안 통제의 참조 세트로는 필요하다.현재 사용되고 있는 ISO 27001:2013 버전은 전 세계적으로 168개 국가에서 사용되고 있다. 2013 버전의 2022년 업데이트 버전에서는 병합을 통해 통제 수가 114개에서 93개로 감소했.기존 14부분은 4개 부분으로 배치됐다. 또한 11개의 새로운 통제가 추가됐다. A.5.7 Threat intelligence(위협 정보), A.5.23 Information Security for Use of Cloud Services(클라우드 서비스 사용을 위한 정보 보안), A.5.30 ICT Readiness for Business Continuity(비지니스 연속성을 위한 ICT 준비태세), A.7.4 Physical Security Monitoring(물리적 보안 모니터링) 등이다.A.8.9 Configuration Management(구성 관리), A.8.10 Information Deletion(정보 삭제), A.8.11 Data Masking(데이터 마스킹), A.8.12 Data Leakage Prevention(데이터 유출 방지), A.8.16 Monitoring Activities(모니터링 활동), A.8.23 Web Filtering(웹 필터링), A.8.28 Secure Coding(보안 코딩) 등이 포함된다.
-
영풍 석포제련소, 시설개선 조건으로 환경오염시설 허가환경부(장관 한화진)는 12월 28일자로 ㈜영풍 석포제련소에 대한 환경오염시설 허가를 결정한 검토결과서를 해당 사업자와 관계기관*에 통보한다. * 관할 지방환경청(대구지방환경청) 및 지자체(경상북도, 봉화군) 환경오염시설허가제도*란 오염물질을 다량 배출하는 19개 업종 내 대기·수질 1·2종 사업장(전국 오염물질의 약 70% 차지)을 대상으로 오염배출이 주변환경에 미치는 영향분석을 통해 허가배출기준을 설정하고, 최적가용기법**을 업종별 공정특성과 사업장 여건에 맞게 적용하여 오염물질을 효과적으로 줄이기 위해 2017년에 도입됐다. * 「환경오염시설의 통합관리에 관한 법률」('17.1.1일 시행, 이하 '환경오염시설법') ** 최적가용기법(Best Available Techniques economically achievable) : 배출시설 및 방지시설 등의 설계·설치·운영에 관한 환경관리법으로서 오염물질 배출을 가장 효과적으로 줄이며 기술적·경제적으로도 적용가능한 관리기법 환경오염시설허가제를 적용받은 사업장은 '대기환경보전법', '물환경보전법' 등 기존 7개 환경법률 상 10여종의 배출시설 인허가를 '환경오염시설법'에 따른 업종별 유예기한 내에 환경부로부터 환경오염시설허가를 새롭게 받아야 한다. 현재까지 680여 개 사업장이 이 허가를 받은 바 있다. * (업종별 환경허가 시한) ①발전·소각(~'20) ②철강·비철·합성수지(~'21) ③정유·화학(~'22) ④전자·제지(~'23) ⑤반도체·식품·염색 등(~'24) 등 총 1,400개 사업장 ㈜영풍 석포제련소는 1970년부터 경상북도 봉화군 석포면 일대에서 아연제련공정(비철금속업종)과 황산제조공정(무기화학업종)을 운영해 온 사업장이며, '환경오염시설법'에 따라 올해 말까지 환경오염시설허가를 새로 받아야 한다. 2014년부터 국회 환경노동위원회와 언론 등을 중심으로 낙동강 최상류에 위치한 석포제련소에서 흘러나온 카드뮴, 납 등 중금속으로 인한 환경오염과 주민 건강피해 문제가 지속적으로 제기된 바 있다. 2015년 이후 환경부는 시민사회와 함께 대기, 수질, 토양, 지하수 등 분야별로 15건의 환경조사를 진행했으며, 최근 10년간 대구지방환경청, 지자체(경상북도, 봉화군) 등이 55회에 걸쳐 점검한 결과 총 76건의 환경법령 위반사항이 적발*(25건 고발조치)되기도 했다. * 과거 환경법령 위반사항은 대부분 개선되었으며, 현재 「토양환경보전법」에 따른 오염토양 정화명령('15.4~ 봉화군), 「지하수법」에 따른 오염지하수 정화명령('19.5~, 대구청) 이행 중 환경부는 이 제련소가 올해 11월 1일 통합환경관리계획서를 제출함에 따라 '환경오염시설법'에서 정하는 허가기준*의 달성여부를 면밀히 검토하여 아래와 같이 환경오염시설허가에 필요한 허가배출기준과 허가조건을 최대 3년 내에 이행하는 것을 전제로 허가를 결정했다. * 「환경오염시설법」제7조 ①오염물질을 허가배출기준 이내로 처리할 것 ②사람의 건강이나 주변환경에 중대한 영향이 없도록 배출시설 등을 설치·운영할 것 ③환경오염사고로 오염물질이 외부로 누·유출되는 경우 사전예방·사후대책을 수립할 것 첫째, 주요 배출구별* 9개 오염물질**은 배출영향분석 결과를 반영하여 현 '대기환경보전법' 상 배출허용기준 대비 최대 2배를 강화한다. * 배소로 3개, TSL공정(아연부산물재활용공정) 내 5개 총 8개 배출구(오염배출의 80%) 등 ** △납·포름알데히드: 1.4배 강화 △질소산화물·황산화물·비소·니켈·카드뮴·벤젠·이황화탄소: 2배 강화 지난 2019년 7월 대기 측정기록부(1,868부) 조작·적발에 따라 실시간 감시가 가능한 굴뚝자동측정기기(TMS)를 추가 설치하고(5개→8개 배출구), 2배 강화된 배출기준을 달성토록 3년 내 방지시설을 보강한다. 둘째, 아연분말(원료)의 취급과정에서 흩날림(비산배출)이 없도록 운반·보관 및 싣고 내리는 전 과정에서 밀폐화 등 조치를 시행한다. 셋째, 중금속을 함유한 공정액(황산용액)이 반응기나 침전조 하부로 누출*되지 않도록 노후반응기(29기)를 단계적으로 교체*하는 등 차단조치를 시행하며 정비과정에서 누출되는 경우 별도로 집수 처리한다. * 사업장 내부 지하수오염원(기여도) : ①(구)카드뮴 공정(52%, '19년 폐쇄) ②용해·정액공정(반응기·침전조)(37%) ③전해공정(8%) ④잔재물 침전저류조(3%) ** 노후반응기(29기)는 연속공정 특성을 고려하여 5년내(~'27.12월, 110억원) 단계적 교체 넷째, 오염물질의 매체간 전이가 우려되는 아연부산물회수공정(TSL)과 폐수재이용시설에 대해서는 대기로 질소산화물 및 황산화물 누출이 최소화 되도록 최신방지시설* 등을 보강하고, 폐수 하천방류 원천차단** 및 폐기물 적정관리를 위한 추가대책을 마련한다. * TSL(Top-Submerged Lance) 공정 내 오존산화설비 증설(3기→6기), 후드·덕트 등 밀폐화 ** 고장 대비 폐수재이용시설 증설(3기(용량3천㎥/일)→4기(4천㎥/일)) 및 비상시 생산공정 가동중단 다섯째, 오랜 기간 동안 토양·지하수를 지속 오염시켜온 부지 상부의 제련잔재물(약 50만톤)은 3년 내에 전량 반출·위탁처리한다. 여섯째, 안동호 어류에서 검출된 수은에 대해서는, 수은제거시설 가동 시 수은함유 폐수와 수은함유 폐기물 누출이 없도록 시설 운전기준을 설정하고, 밀폐된 용기에 별도 보관 후 적정 처리한다. 일곱째, 2015년부터 지자체(봉화군)가 처분한 오염토양 정화명령을 허가조건에 포함시켜 적기(2년내) 이행을 담보하고, 시설물 하부 등 잔여부지에 대해서도 정화계획 수립·제출을 의무화한다. * 봉화군은 '15.4월~'22.2월간 면적 163천㎡(사업장 총 부지의 33%) 및 오염토량 367천㎥을 대상으로 9차례에 걸쳐 토양정화명령 → 현재 33%(121천㎥)만 이행 중 환경부는 이번 허가 검토결과서 통보 이후 석포제련소가 실질적인 환경개선을 달성할 수 있도록 각각의 허가사항에 대한 사후관리와 정보공개도 강화할 계획이다. 우선, 환경오염시설허가 검토 결과서를 사업자에게 통보 후 약 1달간 이의제기 신청을 받아, 정보공개위원회 심의절차 등을 거쳐 관련서류와 함께 통합환경허가시스템(ieps.nier.go.kr)을 통해 공개된다. 아울러 정부, 지자체, 제련소, 시민사회, 주민대표 등이 참여하는 '민관합동 모니터링 위원회(가칭)'를 구성하여 내년 상반기부터 주기적으로 허가사항을 점검하는 등 환경관리실태를 객관적으로 검증한다. 참고로, 사업자가 허가배출기준을 초과하는 경우 개선명령을 거쳐 조업정지 처분을 받게되며, 허가조건을 기한 내 이행하지 않을 경우 최대 3개월 조업정지 처분을 받는다. 금한승 환경부 기후탄소정책실장은 "환경법이 채 정립되기도 전인 1970년부터 가동한 제련소에서 발생한 오염물질로 주민들이 오랜기간 큰 고통을 받아온 만큼, 향후 석포제련소 환경관리에 더욱 최선을 다하겠다"라며, "허가사항이 제대로 지켜지지 않을 경우 엄중하게 그 책임을 묻겠다"라고 밝혔다.
-
[영국] AGSL(Asset Guardian Solutions Ltd), 5월 ISO/IEC 27001 인증 획득영국 소프트웨어 개발업체인 AGSL(Asset Guardian Solutions Ltd)에 따르면 2022년 6월 ISO/IEC 27001 인증을 획득했다. ISO/IEC 27001는 정보보호 관리체계에 대한 인증이다.ISO/IEC 27001 프레임워크는 AGSL는 기업의 정보자산의 비밀성, 통합, 가용성 등을 보호하기 위한 우호적인 접근을 가능케 한다. 국제표준화기구(ISO)와 국제전기표준회의(IEC)에 의해 관리되는 표준이다.정보보호 관리에 관한 표준을 획득했다는 것은 AGSL이 사이버보안 공격, 데이터 유출, 데이터 절도 등과 같은 정보 위험을 관리하는 정책, 절차, 프로세스, 시스템을 구현하고 있다는 의미이다.AGSL은 파트너, 고객에 속한 정보가 매우 중요하다고 인식하고 있다. 따라서 정보의 안전한 관리는 비지니스 업무의 최우선 업무에 속한다.2004년 설립된 AGSL은 기업의 운영과 생산 프로세스를 통제하는데 사용되는 프로세스 통제 시스템 소프트웨어의 통합을 보호하는 소프트웨어를 개발하고 있다.2022년 6월 현재 오일 & 가스, 전력회사, 발전소, 석유화학, 제약, 운송, 식음료 산업 등에 사업을 영위하는 다양한 기업을 대상으로 서비스하고 있다.
-
[미국] 국제표준화기구(ISO), 조직과 전문가들의 클라우드 보안 사고 해결 ISO/IEC 27017표준국제표준화기구(International Organization for Standardization, ISO)에 따르면 국제전기기술위원회(International Electrotechnical Commission, IEC)와 함께 개발한 ISO/IEC 27017 표준이 클라우드 보안 사고를 해결할 수 있다.ISO/IEC 27017 표준은 정보보안 통제 구현에서 클라우드 서비스 고객, 클라우드 서비스 제공자(cloud service providers, CSPs)를 지원하는 지침을 제공한다.지침 중 일부는 클라우드 서비스 고객과 관련이 있으며 일부는 CSP와 연관돼 있다. 지침의 적용은 위험 평가 결과와 보안 요구사항의 특성에 따라 다르다.ISO 27017은 자산관리, 반환, 접근 통제, 물리적 보안, 준수 등을 포함해 주요 제어 영역에 초점을 맞춰 ISO/IEC 27001/270702 지침을 보완하고 있다. 국제표준은 다음과 같이 7가지 새로운 규제를 제시하고 있다.6.3.1 클라우드 컴퓨팅 환경 내에서 역할 및 책임공유8.1.5 클라우드 서비스 고객 자산 제거9.5.1 가상 컴퓨팅 환경에서의 분리9.5.2 가상 시스템 강화12.1.5 관리자의 운영 보안12.4.5 클라우드 서비스 모니터링13.1.4 가상 및 물리적 네트워크에 대한 보안 관리 조정ISO/IEC 27017 표준은 조직과 보안 전문가들이 고민하고 있는 문제를 해결하는데 도움이 된다. 미국 IT기업 뉴스 제공업체 베타뉴스(BetaNews)의 설문조사 결과에 따르면 "응답자의 36%가 지난 12개월 동안 심각한 클라우드 보안 데이터 유출 및 침해 사고에 시달리고 있다."고 밝혔다.클라우드 전문가 300명을 대상으로 실시한 설문조사에서 참가자 10명 중 8명이 클라우드 구성 오류와 관련한 데이터 유출에 취약할 것이라고 우려했다. 응답자의 64%는 1년 후에도 문제가 그대로 유지되거나 악화될 것이라고 답변했다.클라우드 전문가 20%는 피로 경고, 잘못된 긍정, 인적 오류 등이 클라우드 보안 노력을 방해하고 있다고 봤다. 또한 "36% 이상은 클라우드 보안 전문가를 고용하고 보유하는데 어려움이 있다"고 밝혔다.나머지 36% 가까운 응답자는 "클라우드팀에 보안 교육을 시키는데 어려움을 겪고 있어 클라우드 보안 유출 및 침해 사고 예방을 위해 전략적 접근 방식이 필요하다"고 지적했다.
-
[미국] 국제표준화기구(ISO), 3월 업데이트 및 승인된 ISO 27002 신규 표준 발행 예정국제표준화기구(International Organization for Standardization, ISO)에 따르면 2022년 3월 ISO 27002 표준의 업데이트 및 승인으로 새 버전이 발행될 예정이다.업데이트 된 표준은 'ISO/IEC 27002 information security, cybersecurity and privacy protection – Information security controls' 이다.11개의 새로운 컨트롤이 추가됐는데, 세부 구성을 살펴보면 조직적 통제 분야 3개, 물리적 통제 분야 1개, 기술적 통제 분야 7개 등이다.조직적 통제 부분은 클라우스 서비스 사용을 위한 정보 보안, 비지니스 연속성을 위한 ICT 준비, 위협 인텔리전스(Threat Intelligence) 등이다.물리적 통제 부분은 물리적 보안 모니터링(Physical security monitoring)이며 기술적 통제 부분은 구성관리, 정보 삭제, 데이터 마스킹, 데이터 유출 장치, 모니터링 활동, 웹 필터링, 보안 코딩 등으로 구성됐다.기존 대부분의 컨트롤들은 수정됐다. 약 절반이 실제로 분리할 수 없거나 밀접하게 관련된 다른 컨트롤과 합해졌다.현재 24개의 컨트롤로 병합됐으며 ISO/IEC 27002 새 버전의 표준은 기존 114개에서 24개의 컨트롤로 바뀌었다. 발표 이후 2년의 전환 기간을 갖게 된다.특히 조직적 통제 부분의 위협 인텔리전스(Threat Intelligence)는 최근 몇 년간 관심이 증가하고 있으며 전 세계 보안팀에서 채택이 늘어가는 추세다.보안팀이 인텔리전스를 활용하게 되면 더 많은 정보를 얻게 되어 빠른 결정과 위협에 대한 안정적 식별 및 조치를 취할 수 있기 때문이다.ISO/IEC 27002 표준의 위협 인텔리전스 통제는 조직이 적절한 완화 조치를 취할 수 있도록 조직에 영향을 미치는 위협 환경에 대한 인식을 제공한다. 정보 보안 위협과 관련된 정보를 수집하고 분석하는데 도움이 되도록 구현한다.이러한 통제 추가는 위협 인텔리전스의 필요성을 표준화할뿐만 아니라 여러 다른 통제를 알리고 구현하는데 도움이 되기 때문에 매우 중요하다.위협 인텔리전스를 사용해 획득한 컨텍스트와 통찰력은 클라우드 보안 전략에 정보를 제공하고 공급망 파트너들에게 영향을 미치는 취약성을 식별하거나 물리적, 환경적 위협을 감지 및 모니터링하는데 도움이 될 수 있다.위협 인텔리전스를 적절히 활용하기 위해 국제표준화 기구는 조직이 전략, 전술, 운영 등의 3가지 인텔리전스 계층 모두를 고려할 것을 권장하고 있다. 3가지 인텔리전스 계층은 전략적 위협 인텔리전스, 전술적 위협 인텔리전스, 운영 위협 인텔리전스 등이다.첫째, 전략적 위협 인텔리전스는 변화하는 위협 환경에 대한 공격자 유형이나 공격 유형 등 상위 수준의 정보 교환을 말한다.이것은 전반적인 사이버 및 물리적 위협 환경, 사이버 위협과 물리적 위협의 융합, 업계 및 동료들에게 영향을 끼치는 위협과 추세, 특정 조직에 대한 관련 위협 등을 이해함으로써 결정 우위를 확보하는 장점이 있다.인텔리전스가 제공하는 전략적 우선 순위를 기반으로 보안 아키텍처와 예산 결정을 내릴 수 있는 능력을 갖게 된다는 유리한 점도 있다.조직의 보안 전략 및 목표에 부합하는 PIR(Priority Intelligence Requirements)의 생성 및 추적, 의사 결정자가 위험을 이해하고 우선 순위를 지정해 더 나은 정보에 근거한 결정을 내리는데 도움이 되는 완성된 인텔리전스 및 임시 맞춤형 보고, 조직이 인식해야 하는 새로운 위협, TTP, 위협 그룹의 식별과 같은 장점도 갖게 된다.구체적으로 전술적 위협 인텔리전스, 운영 위협 인텔리전스뿐만 아니라 나머지 10개 통제에 대한 상세 내용은 'ISO/IEC 27002 information security, cybersecurity and privacy protection – Information security controls' 표준을 참조하면 된다.
-
[중국] 리보스, 정보 보안 관리 시스템 국제 표준 ISO/IEC 27001:2022 인증에 대한 적합성 평가 완료 부제▲ 리보스(Ribose)의 로고 [출처=홈페이지] 중국 사이버보안 업체 리보스(Ribose)에 따르면 영국 표준 인증 기관(BSI Pacific Limited)으로부터 정보 보안 관리 시스템 국제 표준 ISO/IEC 27001:2022 인증에 대한 적합성 평가를 완료했다. ISO/IEC 27001:2022는 ISO/IEC 27002:2022의 93개 종합 정보 보안 제어에 부응하는 정보 보안 관리 시스템 표준의 최신 버전이다.특히 조직, 사람, 물리적 및 기술 측면으로 구성돼 개인 정보 보호, 데이터 유출 방지 및 위험 관리 역량이 향상된다. 사이버 보안 문제가 점점 더 심각해지고 있기 떄문에 조기에 프로세스를 업그레이드할 필요가 있다.ISO/IEC 27001:2022는 전체적인 사이버 탄력성 프레임워크로 사용자 보호를 더욱 강화한다. 이와 같은 국제 표준 인증을 통해 디지털 신뢰성이 향상될 수 있을 것으로 전망된다.
-
[미국] 국제표준화기구(ISO), 3월 업데이트 및 승인된 ISO 27002 신규 표준 발행 예정국제표준화기구(International Organization for Standardization, ISO)에 따르면 2022년 3월 ISO 27002 표준의 업데이트 및 승인으로 새 버전이 발행될 예정이다.업데이트 된 표준은 'ISO/IEC 27002 information security, cybersecurity and privacy protection – Information security controls' 이다.11개의 새로운 컨트롤이 추가됐는데, 세부 구성을 살펴보면 조직적 통제 분야 3개, 물리적 통제 분야 1개, 기술적 통제 분야 7개 등이다.조직적 통제 부분은 클라우스 서비스 사용을 위한 정보 보안, 비지니스 연속성을 위한 ICT 준비, 위협 인텔리전스(Threat Intelligence) 등이다.물리적 통제 부분은 물리적 보안 모니터링(Physical security monitoring)이며 기술적 통제 부분은 구성관리, 정보 삭제, 데이터 마스킹, 데이터 유출 장치, 모니터링 활동, 웹 필터링, 보안 코딩 등으로 구성됐다.기존 대부분의 컨트롤들은 수정됐다. 약 절반이 실제로 분리할 수 없거나 밀접하게 관련된 다른 컨트롤과 합해졌다.현재 24개의 컨트롤로 병합됐으며 ISO/IEC 27002 새 버전의 표준은 기존 114개에서 24개의 컨트롤로 바뀌었다. 발표 이후 2년의 전환 기간을 갖게 된다.특히 조직적 통제 부분의 위협 인텔리전스(Threat Intelligence)는 최근 몇 년간 관심이 증가하고 있으며 전 세계 보안팀에서 채택이 늘어가는 추세다.보안팀이 인텔리전스를 활용하게 되면 더 많은 정보를 얻게 되어 빠른 결정과 위협에 대한 안정적 식별 및 조치를 취할 수 있기 때문이다.ISO/IEC 27002 표준의 위협 인텔리전스 통제는 조직이 적절한 완화 조치를 취할 수 있도록 조직에 영향을 미치는 위협 환경에 대한 인식을 제공한다. 정보 보안 위협과 관련된 정보를 수집하고 분석하는데 도움이 되도록 구현한다.이러한 통제 추가는 위협 인텔리전스의 필요성을 표준화할뿐만 아니라 여러 다른 통제를 알리고 구현하는데 도움이 되기 때문에 매우 중요하다.위협 인텔리전스를 사용해 획득한 컨텍스트와 통찰력은 클라우드 보안 전략에 정보를 제공하고 공급망 파트너들에게 영향을 미치는 취약성을 식별하거나 물리적, 환경적 위협을 감지 및 모니터링하는데 도움이 될 수 있다.위협 인텔리전스를 적절히 활용하기 위해 국제표준화 기구는 조직이 전략, 전술, 운영 등의 3가지 인텔리전스 계층 모두를 고려할 것을 권장하고 있다. 3가지 인텔리전스 계층은 전략적 위협 인텔리전스, 전술적 위협 인텔리전스, 운영 위협 인텔리전스 등이다.첫째, 전략적 위협 인텔리전스는 변화하는 위협 환경에 대한 공격자 유형이나 공격 유형 등 상위 수준의 정보 교환을 말한다.이것은 전반적인 사이버 및 물리적 위협 환경, 사이버 위협과 물리적 위협의 융합, 업계 및 동료들에게 영향을 끼치는 위협과 추세, 특정 조직에 대한 관련 위협 등을 이해함으로써 결정 우위를 확보하는 장점이 있다.인텔리전스가 제공하는 전략적 우선 순위를 기반으로 보안 아키텍처와 예산 결정을 내릴 수 있는 능력을 갖게 된다는 유리한 점도 있다.조직의 보안 전략 및 목표에 부합하는 PIR(Priority Intelligence Requirements)의 생성 및 추적, 의사 결정자가 위험을 이해하고 우선 순위를 지정해 더 나은 정보에 근거한 결정을 내리는데 도움이 되는 완성된 인텔리전스 및 임시 맞춤형 보고, 조직이 인식해야 하는 새로운 위협, TTP, 위협 그룹의 식별과 같은 장점도 갖게 된다.구체적으로 전술적 위협 인텔리전스, 운영 위협 인텔리전스뿐만 아니라 나머지 10개 통제에 대한 상세 내용은 'ISO/IEC 27002 information security, cybersecurity and privacy protection – Information security controls' 표준을 참조하면 된다.