ISMS-P 심사를 앞두고 모바일 앱 보안을 어느 수준까지 준비해야 할지 막막한 경우가 많습니다. 서버·네트워크 보안은 오랜 준비 경험이 쌓여 있지만, 모바일 앱은 어떤 항목에서 어떻게 심사가 이뤄지는지 상대적으로 덜 익숙하기 때문입니다.
특히 모바일 앱 서비스를 운영하는 조직에서는 모바일 앱이 심사 범위에 포함되는지, 포함된다면 어떤 항목을 준비해야 하는지 파악하는 것이 선행되어야 합니다. 준비가 미흡한 상태에서 심사를 받으면 결함 처리 후 보완 기간이 추가로 소요되어 전체 인증 일정이 지연될 수 있습니다.
이번 포스팅에서는 ISMS-P 인증 기준 중 모바일 앱과 직접 연관된 항목을 중심으로 심사에서 어떤 부분이 확인되고 어떤 사례가 결함으로 이어지는지 정리합니다.
ISMS-P 인증이란
ISMS-P(정보보호 및 개인정보보호 관리체계 인증)는 기업·기관의 정보보호 및 개인정보보호 체계를 평가하는 국내 인증 제도입니다. 2018년 기존의 ISMS(정보보호 관리체계)와 PIMS(개인정보보호 관리체계)를 통합하여 시행되었으며, KISA(한국인터넷진흥원)가 제도를 운영합니다.
인증 기준은 크게 세 영역으로 구성됩니다.
- 관리체계 수립 및 운영 (16개 항목)
- 보호대책 요구사항 (64개 항목)
- 개인정보 처리단계별 요구사항 (21개 항목)
총 101개 항목에 대해 문서 확인과 현장 실사를 통해 심사가 이루어지며, 인증 유효기간은 3년이고 매년 사후심사를 받아야 합니다. 준비부터 인증 취득까지는 약 6개월 이상이 소요되며, 인증 신청을 위해서는 최소 2개월 이상의 운영 기간이 필요합니다.
ISMS-P 의무 대상은 누구인가
ISMS 인증 의무 대상자는 ISMS와 ISMS-P 중 하나를 선택해 인증을 받을 수 있습니다. 의무 대상자 기준은 다음과 같습니다.
- 정보통신망서비스를 제공하는 자(ISP)
- 집적정보통신시설사업자(IDC)
- 정보통신서비스 부문 전년도 매출액 100억 원 이상이거나, 전년도 일일 평균 이용자 수 100만 명 이상인 기업
의무 대상에 해당하지 않더라도 개인정보 흐름이 있는 서비스를 운영하는 조직은 ISMS-P를 자율적으로 신청할 수 있습니다. 특히 모바일 앱을 통해 고객 개인정보를 처리하는 조직이라면 ISMS-P 취득을 검토할 필요가 있습니다.
모바일 앱과 직접 연관된 ISMS-P 인증 기준
모바일 앱 서비스를 운영하는 조직이라면 다음 항목들이 심사에서 중점적으로 검토됩니다.
2.8.1 보안 요구사항 정의
정보시스템을 신규로 도입·개발 또는 변경하는 경우 법적 요구사항과 최신 취약점을 포함한 보안 요구사항을 설계 단계에서부터 명확히 정의하고 반영해야 합니다. ISMS-P 인증 기준 안내서에 따르면 이 항목은 Java, PHP, ASP, 웹, 모바일 등 관련된 개발 언어 환경을 모두 포함합니다. 모바일 앱이 내부 개발 보안 지침의 적용 범위에서 빠져 있다면 결함으로 이어질 수 있습니다. 심사에서 확인하는 주요 내용은 다음과 같습니다.
- 모바일 앱 개발 시 보안 요구사항이 설계 단계부터 반영되었는가
- 인증·접근통제·암호화·보안 로그 등 주요 보안 요구사항이 모바일 환경에도 정의되어 있는가
- 모바일 앱에 적용된 코딩 표준이 문서화되어 있는가
2.8.2 보안 요구사항 검토 및 시험
사전에 정의된 보안 요구사항이 실제 시스템에 적용되었는지 검토하기 위해 취약점 점검을 수행해야 합니다. 취약점 점검항목에 입력값 유효성 체크 등 중요 점검항목이 누락된 경우, 또는 발견된 취약성에 대한 개선 조치를 이행하지 않은 경우 결함으로 기록됩니다.
점검 대상에는 입력값 유효성 검사, 인증·암호화 적용 여부 등이 포함되어야 하며 발견된 취약점에 대한 개선 조치와 이행 증적도 함께 갖춰져야 합니다.
💡 관련 포스팅
2.7 암호화 적용
암호화 적용 항목에서는 취약한 알고리즘 사용이 주요 결함 사례로 지적됩니다. MD5, SHA-1 등 안전하지 않은 암호화 알고리즘을 모바일 앱에서 사용하거나 개인정보·인증정보를 단말 내에 암호화 없이 저장하는 경우가 여기에 해당합니다.
💡 관련 포스팅
2.10.6 업무용 단말기기 보안
모바일 기기를 업무 목적으로 사용하는 경우, 허용 기준·사용 범위·승인 절차·인증 방법 등에 대한 정책을 수립해야 합니다. 개인정보 처리 업무에 이용되는 모바일 기기에 비밀번호 설정 등 도난·분실 보호대책이 적용되어 있지 않은 경우도 결함으로 이어집니다. 중요한 개인정보를 처리하는 모바일 기기의 경우 MDM(Mobile Device Management) 등 모바일 단말 관리 프로그램을 통한 원격 잠금·데이터 삭제 등의 통제 조치도 검토 대상입니다.
심사에서 자주 지적되는 모바일 앱 보안 결함 사례
ISMS-P 인증 기준 안내서와 공개된 결함 사례를 바탕으로 모바일 앱 관련 주요 결함 유형을 정리하면 다음과 같습니다.
1. 모바일 앱이 취약점 점검 범위에서 누락된 경우
웹 서비스·서버에 대한 취약점 점검은 수행하고 있으나 모바일 앱이 점검 대상에 포함되지 않은 경우입니다. 모바일 앱도 정보시스템의 일부로 취급되어야 하며, 정기적인 취약점 점검 계획과 수행 증적이 있어야 합니다.
2. 개발 지침에 모바일 보안 요구사항이 정의되어 있지 않은 경우
개발 관련 내부 지침에 인증·암호화·보안 로그 등 주요 보안 요구사항이 정의되어 있으나 모바일 환경에 특화된 기준이 빠져 있는 경우입니다. 모바일 개발 언어 환경을 포함한 코딩 표준이 수립되어야 합니다.
3. 안전하지 않은 암호화 알고리즘을 모바일 앱에 적용한 경우
MD5, SHA-1 등 취약한 알고리즘을 사용하거나 개인정보·인증정보를 단말 내에 평문으로 저장하는 경우입니다. 법적 요구사항을 반영한 암호화 기준이 모바일 앱에도 동일하게 적용되어야 합니다.
💡 관련 포스팅
4. 업무용 모바일 기기 보안 정책이 수립되어 있지 않은 경우
모바일 기기로 업무 시스템에 접속하거나 개인정보를 처리하고 있음에도 해당 기기에 대한 허용 기준·승인 절차·접근통제 정책이 마련되어 있지 않은 경우입니다. 또한 정책은 수립되어 있으나 실제 관리 현황이 정책과 일치하지 않아 승인되지 않은 모바일 기기에서도 내부 시스템 접속이 가능한 경우도 결함으로 이어집니다.
5. 취약점 발견 후 개선 조치 이행 증적이 없는 경우
취약점 점검을 수행했으나 발견된 취약점에 대한 개선 계획 수립이나 이행 증적이 없는 경우입니다. ISMS-P 심사는 점검 수행 여부뿐 아니라 발견된 문제가 실제로 조치되었는지까지 확인합니다.
모바일 앱 보안, 사전 준비 체크리스트
ISMS-P 심사에서 모바일 앱 관련 결함을 사전에 예방하려면 다음 항목을 점검해볼 필요가 있습니다.
- 취약점 점검 계획에 모바일 앱이 포함되어 있는가
- 개발 보안 지침에 모바일 환경에 대한 코딩 표준이 명시되어 있는가
- 앱 내 암호화 알고리즘이 안전한 수준으로 적용되어 있는가 (MD5·SHA-1 사용 여부 확인)
- 개인정보·인증정보가 단말에 암호화하여 저장되고 있는가
- 업무용 모바일 기기에 대한 보안 정책과 관리 절차가 수립되어 있는가
- 리버스 엔지니어링, 위변조 방지 등 앱 자체 보호 조치가 적용되어 있는가
- 취약점 발견 시 개선 조치를 이행하고 증적을 보관하고 있는가
- 모바일 앱 보안 관련 개발자 교육이 정기적으로 수행되고 있는가
자주 묻는 질문
1. 모바일 앱이 심사 범위에 반드시 포함되나요?
운영 중인 모바일 앱 서비스가 심사 범위 내 정보서비스에 해당한다면 포함됩니다. ISMS-P 인증 기준 2.8.1은 Java, PHP, ASP, 웹, 모바일 등 관련된 개발 언어 환경을 모두 포함해 보안 요구사항을 정의하도록 명시하고 있습니다. 모바일 앱이 내부 개발 보안 지침의 적용 범위에서 빠져 있다면 결함으로 이어질 수 있습니다.
2. ISMS-P 심사에서 모바일 앱 보안은 어떤 방식으로 확인하나요?
심사는 문서 확인과 현장 실사 두 가지 방식으로 이루어집니다. 문서 확인에서는 모바일 앱 개발 보안 지침, 취약점 점검 계획 및 결과, 개선 조치 이행 증적 등을 검토합니다. 현장 실사에서는 실제 앱에 보안 조치가 적용되어 있는지, 정책과 실제 운영 현황이 일치하는지를 확인합니다.
3. 모바일 앱 취약점 점검은 얼마나 자주 해야 하나요?
ISMS-P 인증 기준에서는 정보시스템 도입·개발·변경 시 취약점 점검을 요구합니다. 주기적인 점검 계획을 수립하고 이를 이행한 증적을 갖추는 것이 중요합니다.
4. 업무용 모바일 기기와 서비스용 모바일 앱은 심사 항목이 다른가요?
심사 항목이 다릅니다. 업무용 모바일 기기(직원이 업무에 사용하는 기기)는 2.10.6 업무용 단말기기 보안 항목에서 확인됩니다. 서비스용 모바일 앱은 2.8.1·2.8.2 정보시스템 도입 및 개발 보안 항목에서 다루어집니다. 두 항목 모두 모바일과 관련된 만큼 각각의 준비가 필요합니다.
기술적 보호 조치와 운영 체계를 함께 갖춰야 합니다
ISMS-P 심사는 정책·절차 등 문서 기반 확인과 실제 기술적 적용 여부를 함께 봅니다. 모바일 앱 보안 취약점 점검을 수행했다는 증적, 발견된 취약점을 조치했다는 이력 그리고 그 조치가 실제로 앱에 반영되어 있는지까지 확인합니다.
기술적 보호 조치를 내재화하는 방식으로 외부 솔루션 도입을 병행하는 조직도 있습니다. 도브러너(DoveRunner)는 코드 암호화·난독화, 위변조 탐지, 루팅·탈옥 탐지 등 ISMS-P 심사에서 확인되는 기술적 보호 조치 항목들을 단일 플랫폼에서 적용할 수 있으며, OWASP MASVS 등 모바일 앱 보안 표준 요건을 충족하는 구조로 설계되어 있습니다.
모바일 앱 보안 관련 ISMS-P 준비에 대해 궁금한 점이 있으시다면 도브러너 보안 전문가와 이야기 나눠보세요!
