NIST CSF, ISO 27001 및 표준 현황 – ESG 팀을 위한 알기 쉬운 가이드
프레임워크는 너무 많은데 명확성은 부족하다
사이버 보안 거버넌스 업무를 수행하는 ESG 전문가들이 가장 흔히 겪는 어려움 중 하나는 프레임워크, 표준, 지침이 눈에 띄게 난무한다는 점입니다. 각각 고유한 약어와 구조, 지지자들을 두고 있죠. NIST CSF, ISO 27001, ISO 27002, SOC 2, CIS Controls, COBIT 등 그 목록은 끝이 없습니다. 이는 상황을 명확히 하기보다는 혼란스럽게 만들도록 고안된 풍경처럼 느껴질 수 있습니다.
다행스러운 점은 주요 프레임워크들이 서로 경쟁하기보다는 오히려 상호 보완적이라는 사실입니다. 이러한 프레임워크들이 서로 어떻게 연관되어 있는지, 그리고 일관된 거버넌스 프로그램 내에서 각 프레임워크가 어떤 역할을 하는지 이해하는 것은, 사이버 보안 전문가가 되지 않으면서도 사이버 보안 위험에 대응해야 하는 ESG 전문가들에게 실질적인 도움이 됩니다. 본 글은 실무에서 ESG 전문가들에게 가장 관련성이 높은 두 가지 프레임워크인 NIST CSF 2.0과 ISO 27001에 초점을 맞춰 이러한 방향성을 제시합니다.
NIST CSF 2.0 – 위험 관리 프레임워크
NIST CSF 2.0은 위험 관리 프레임워크입니다. 이 프레임워크의 주된 목적은 조직이 체계적이고 일관된 방식으로 사이버 보안 위험을 이해하고, 평가하며, 전달하고, 관리할 수 있도록 돕는 것입니다. 이는 성과 중심적 접근 방식을 취하며, 이를 달성하기 위해 필요한 구체적인 기술적 통제 수단을 규정하기보다는 효과적인 사이버 보안 위험 관리가 어떤 모습이어야 하는지를 설명합니다.
이러한 결과 중심적 접근 방식은 ESG 전문가들에게 있어 가장 큰 강점 중 하나입니다. 이는 CSF 2.0이 규모, 업종, 기술 스택에 관계없이 모든 조직에 적용될 수 있음을 의미합니다. 또한 이 프레임워크는 사이버 보안 위험을 논의하기 위한 공통 언어를 제공하며, 이를 효과적으로 활용하기 위해 별도의 기술적 전문 지식이 필요하지 않습니다. 아울러 기업 위험 관리 프레임워크와 자연스럽게 통합되어, ESG 전문가들이 수행하는 광범위한 위험 거버넌스 프로세스에 사이버 보안 위험을 보다 쉽게 반영할 수 있게 해줍니다.
CSF 2.0은 또한 구현 방식에 대해 명시적으로 규정하지 않습니다. 이 프레임워크는 달성해야 할 목표를 제시할 뿐, 이를 달성하는 구체적인 방법은 제시하지 않습니다. 즉, 이 프레임워크는 ISO 27001을 비롯한 보다 구체적인 구현 지침을 제공하는 다른 프레임워크 및 표준과 함께 사용되도록 설계되었습니다.
ISO 27001 – 정보 보안 관리 시스템 표준
ISO 27001은 경영 시스템 표준입니다. 이 표준은 정보 보안 경영 시스템(ISMS)을 수립, 구현, 유지 및 지속적으로 개선하기 위한 요구 사항을 규정하고 있습니다. NIST CSF와 달리 ISO 27001은 인증이 가능한 표준으로, 조직은 자사의 ISMS가 해당 표준의 요구 사항을 충족한다는 것을 입증하기 위해 독립적인 제3자 인증을 받을 수 있습니다. 이러한 인증은 감사 대상이 되며 전 세계적으로 인정받고 있습니다.
ISO 27001은 NIST CSF보다 더 구체적인 지침을 제시합니다. CSF 2.0이 조직이 자산을 식별하고 위험 노출 정도를 파악하기 위한 프로세스를 갖춰야 한다고 명시하는 반면(식별 기능), ISO 27001은 위험 평가 방법론, 처리 계획, 문서화된 절차, 내부 감사 프로세스, 경영 검토 등 구체적인 통제 수단과 관리 시스템 요구 사항을 명시하며, 이러한 요소들이 종합되어 제대로 작동하는 관리 시스템을 구성합니다.
실질적인 차이점은 다음과 같습니다. ISO 27001 인증은 조직이 검증된 표준에 따라 특정 정보 보안 관행을 도입하고 지속적으로 유지하고 있음을 입증합니다. 반면 NIST CSF 준수 여부는 조직이 사이버 보안 위험을 체계적으로 이해하고 관리하고 있음을 보여줍니다. 두 가지 모두 가치가 있으며, 대부분의 조직에게 있어 이는 서로 대립하는 개념이라기보다는 상호 보완적인 관계에 있습니다.
이 두 표준 간의 관계를 이해하는 데 도움이 되는 관점은 다음과 같습니다. NIST CSF 2.0은 목표 지점을 제시하고 그곳으로 가는 지도를 제공합니다. 반면 ISO 27001은 그곳에 도달하는 구체적인 방법을 상세히 설명하고, 목표에 도달했음을 입증할 수 있는 방법을 제시합니다.
어떻게 협력하는가
많은 조직이 NIST CSF 2.0을 주요 사이버 보안 위험 관리 프레임워크로 활용하여, 이 프레임워크의 6가지 기능과 관련 성과 지표를 바탕으로 사이버 위험을 식별, 평가 및 관리하는 체계를 구축하는 한편, 정보 보안 관리 시스템의 구현 표준으로는 ISO 27001을 사용하고 있습니다. 이 두 프레임워크는 서로 잘 연계되어 있으며, NIST는 이러한 연계 관계를 명확히 설명하는 참고 자료를 공개했습니다.
ESG 전문가들에게 있어 이러한 관계를 이해하는 것은 조직이 두 가지 모두를 언급하는 이유를 설명해 주기 때문에 중요합니다. 거버넌스 공시나 ESG 보고서에서 NIST CSF를 언급하는 것은 해당 조직이 사이버 보안 위험 관리를 체계화하기 위해 공인된 프레임워크를 사용하고 있음을 의미합니다. ISO 27001 인증을 언급하는 것은 해당 조직이 자사의 정보 보안 관리가 특정 표준을 충족한다는 사실을 독립적으로 검증받았음을 나타냅니다. 두 가지 모두 의미가 있으며, 어느 한쪽이 다른 쪽을 불필요하게 만드는 것은 아닙니다.
ISO 27001은 또한 ESG 전문가들이 이미 잘 알고 있을 법한, 보다 광범위한 ISO 경영 시스템 계열과 자연스럽게 연계됩니다. ISO 9001(품질 경영), ISO 14001(환경 경영), ISO 45001(직업 안전보건) 및 ISO 42001(AI 경영)은 모두 ISO 27001과 동일한 상위 구조를 공유합니다. 이 구조는 '통합 구조(Harmonised Structure)'라고 불리며, 조직이 여러 경영 시스템을 개별적으로 운영하기보다 통합하여 관리하기 쉽게 해줍니다.
다른 표준의 적용 범위
완전성을 기하기 위해, ESG 전문가들이 접할 수 있는 다른 몇 가지 프레임워크가 이 분야에서 어떤 위치를 차지하는지 간략히 살펴보는 것이 좋습니다. SOC 2는 미국공인회계사협회(AICPA)가 개발한 보고 기준으로, 서비스 조직의 시스템에 대한 보안, 가용성, 처리 무결성, 기밀성 및 개인정보 보호를 감사합니다. 이는 기술 공급업체 및 클라우드 서비스 제공업체와 가장 밀접한 관련이 있으며, 공급망 실사 과정에서 흔히 요구되는 사항입니다.
CIS Controls는 인터넷 보안 센터(Center for Internet Security)에서 개발한 우선순위가 지정된 사이버 보안 모범 사례 집합입니다. 이 지침은 실용성이 뛰어나고 실제 적용에 중점을 두고 있어, 구체적인 기술적 지침을 필요로 하는 조직에 유용합니다. 또한 NIST CSF와 잘 부합하며, CSF 성과 지표를 위한 실질적인 구현 가이드로 볼 수 있습니다.
COBIT(정보 및 관련 기술에 대한 통제 목표)는 ISACA에서 개발한 기업 IT 거버넌스 프레임워크입니다. 이는 사이버 보안 프레임워크보다 더 포괄적이며, 비즈니스 목표와의 연계, 가치 창출, 위험 관리, 성과 측정 등을 포함하여 IT 거버넌스의 전 영역을 다룹니다. 거버넌스 배경을 가진 ESG 전문가라면 COBIT의 구조가 익숙하게 느껴질 수 있습니다.
ESG 전문가들이 실제로 알아야 할 사항
대부분의 ESG 전문가에게 있어, 이러한 프레임워크 중 어느 하나에 대한 심도 있는 전문 지식은 필수적이지도 않고 현실적으로도 실용적이지 않습니다. 필요한 것은 적절한 수준의 이해력을 바탕으로 적절한 질문을 던지고, 기술팀의 답변을 해석하며, 조직의 사이버 보안 거버넌스가 이해관계자들이 기대하는 기준에 부합하는지 평가할 수 있는 능력입니다.
ESG 전문가가 물어봐야 할 가장 유용한 질문은 다음과 같습니다. 해당 조직이 사이버 보안 위험 관리를 체계화하기 위해 공인된 프레임워크를 사용하고 있는가? 만약 그렇다면, 어떤 프레임워크인가? ISO 27001과 같은 사이버 보안 관련 인증을 보유하고 있는가? 그리고 해당 인증은 어떤 내용을 다루고 있는가? 사이버 보안 위험 정보는 이사회와 고위 경영진에게 어떻게 전달되는가? 조직은 공급망 내 사이버 보안 위험을 어떻게 관리하고 있는가? 또한 사이버 사고 발생 시 어떻게 대응하고 복구하는가?
이러한 질문들은 NIST CSF 2.0의 6가지 기능 및 주요 ESG 보고 프레임워크의 거버넌스 공개 요건과 직접적으로 부합합니다. 이러한 질문에 명확하고 구체적으로 답변할 수 있는 조직은 투자자, 규제 당국, 고객, 지역사회 구성원 등 이해관계자들이 점점 더 기대하는 수준의 사이버 보안 거버넌스 성숙도를 입증하는 것입니다.
표준 체계가 결코 어렵게 느껴질 필요는 없습니다. 이는 일종의 도구 상자와 같으며, ESG 전문가의 역할은 그 안에 있는 모든 도구를 완벽하게 숙달하는 것이 아니라, 어떤 도구가 어떤 목적에 적합한지 파악하고, 그 도구가 어떻게 활용되고 있는지에 대해 올바른 질문을 던지는 것입니다.
핵심 요점: NIST CSF 2.0과 ISO 27001은 경쟁 관계가 아니라 상호 보완적인 관계입니다. CSF 2.0은 위험 관리 프레임워크와 공통 언어를 제공하며, ISO 27001은 구현 표준과 독립적인 인증을 제공합니다. 이 두 가지는 ESG 공시 목적상 효과적인 사이버 보안 거버넌스가 어떤 모습이어야 하는지를 함께 설명합니다.