본문 바로가기
일반IT/IT보안

🔐 ISO 27001 완전 정복 — CPPG 시험에 나오는 모든 것을 한 방에!

by gasbugs 2026. 4. 13.

정보보호, 이제 국제 표준으로 말한다. ISO 27001이 뭔지 모르면 CPPG 합격도 없다.

 

🎯 이 글에서 다루는 것

  • ISO 27001이 무엇이고 왜 생겼는지
  • PDCA 사이클 기반의 ISMS 구조
  • 2022년 개정판의 핵심 변경사항 (114개 → 93개)
  • Annex A 4가지 통제 테마 전체 정리
  • CPPG 시험 빈출 포인트 총정리

📌 도입 — 왜 ISO 27001인가?

정보보안 담당자라면 한 번쯤 들어봤을 이름, ISO/IEC 27001. 그런데 막상 "ISO 27001이 뭐예요?"라고 물어보면 명확하게 대답하지 못하는 경우가 많습니다.

 

ISO 27001은 정보보호관리체계(ISMS, Information Security Management System)를 구축하고 운영하는 데 필요한 요구사항을 정의한 국제 표준입니다. 쉽게 말하면, 기업이 "우리는 정보보안을 이렇게 체계적으로 관리하고 있다"는 것을 전 세계가 인정하는 방식으로 증명하는 수단이죠.

 

국내에서는 KISA의 ISMS(-P) 인증이 법적 의무 대상 기업에게 강제되지만, ISO 27001은 자발적 국제 인증입니다. 글로벌 비즈니스를 하는 기업일수록 거래 조건으로 ISO 27001 인증을 요구하는 경우가 많습니다.

 

🔑 CPPG 시험에서는 ISO 27001의 개념, 구조, 통제 항목의 분류 체계를 중점적으로 묻습니다.

🔍 ISO 27001 기본 개념 완전 정리

📋 풀네임과 발행 이력

구분 내용
정식 명칭 ISO/IEC 27001 Information Security Management Systems - Requirements
발행 기관 ISO(국제표준화기구) + IEC(국제전기기술위원회)
최초 발행 2005년
1차 개정 2013년 (ISO/IEC 27001:2013)
2차 개정 2022년 10월 25일 (ISO/IEC 27001:2022)

🎯 CIA 3요소 — ISO 27001의 핵심 목표

ISO 27001이 보호하고자 하는 정보의 세 가지 속성입니다. CPPG 시험 단골 출제 항목입니다.

속성 영문 의미
기밀성 Confidentiality 인가된 사람만 정보에 접근 가능
무결성 Integrity 정보가 허가 없이 변경되지 않음
가용성 Availability 인가된 사람이 필요할 때 접근 가능

 

이 세 가지의 앞 글자를 따서 CIA 트라이어드(Triad)라고 부릅니다.

🔄 PDCA 사이클 — ISMS의 뼈대

ISO 27001은 PDCA(Plan-Do-Check-Act) 사이클 기반의 지속적 개선 모델을 따릅니다. 이 구조는 ISO 경영시스템 표준 전반에 공통으로 적용되는 HLS(High Level Structure) 프레임워크와 연결됩니다.

Plan(계획)  →  Do(실행)  →  Check(점검)  →  Act(개선)
    ↑                                              ↓
    └──────────────── 지속적 개선 ─────────────────┘

 

단계 해당 조항 주요 활동
Plan 4항~6항 조직 상황 파악, 리더십, 위험평가 및 처리 계획
Do 7항~8항 지원 자원 확보, 운용 실행
Check 9항 성과 평가, 내부 심사, 경영 검토
Act 10항 부적합 처리, 지속적 개선

📐 ISO 27001:2022 구조 — 10개 조항 완전 해부

ISO 27001은 1항~3항(적용범위, 인용표준, 용어정의)4항~10항(요구사항 본문)으로 구성됩니다. CPPG 시험에서는 특히 4항~10항이 중요합니다.

📌 4항 — 조직 상황 (Context of the Organization)

조직이 ISMS를 구축하기 전에 먼저 자신의 상황을 파악하는 단계입니다.

  • 4.1 조직과 상황 이해 — 내부/외부 이슈 파악
  • 4.2 이해관계자의 니즈와 기대 파악 (2022 개정: 4.2 c) 신설 — ISMS를 통해 처리되는 이해관계자 요구사항 추가)
  • 4.3 ISMS 적용 범위 결정
  • 4.4 ISMS 수립 및 운용 (2022 개정: 프로세스와 상호작용 포함 명시)

📌 5항 — 리더십 (Leadership)

  • 5.1 리더십과 의지표명 — 최고경영진의 역할
  • 5.2 정보보안 방침(Policy) 수립
  • 5.3 조직의 역할, 책임 및 권한 — (2022 개정: 조직 내 할당 명시)

💡 시험 포인트: 최고경영진이 정보보안 방침을 직접 수립·승인해야 하며, 이를 문서화해야 합니다.

📌 6항 — 계획 (Planning)

  • 6.1 위험과 기회를 다루는 활동
    • 6.1.2 정보보안 위험평가(Risk Assessment)
    • 6.1.3 정보보안 위험처리(Risk Treatment) + 적용성 보고서(SoA) 작성
  • 6.2 정보보안 목표
  • 6.3 변경의 기획 (2022 신설 — 계획된 방식의 변경 관리)

💡 시험 포인트: SoA(Statement of Applicability, 적용성 보고서)는 Annex A의 93개 통제 항목 중 적용/비적용 여부와 그 근거를 문서화한 핵심 문서입니다. 반드시 기억해야 합니다.

📌 7항 — 지원 (Support)

  • 7.1 자원
  • 7.2 역량
  • 7.3 인식
  • 7.4 의사소통 (2022 개정: d, e항이 d)의사소통 방법으로 병합)
  • 7.5 문서화된 정보

📌 8항 — 운용 (Operation)

  • 8.1 운용 기획 및 관리 (2022 개정: 프로세스 기준 정의 명시)
  • 8.2 정보보안 위험평가 수행
  • 8.3 정보보안 위험처리 수행

📌 9항 — 성과 평가 (Performance Evaluation)

  • 9.1 모니터링, 측정, 분석 및 평가
  • 9.2 내부 심사 (2022 개정: 9.2.1~9.2.2로 세분화)
  • 9.3 경영 검토 (2022 개정: 9.3.1~9.3.3으로 세분화)

📌 10항 — 개선 (Improvement)

  • 10.1 지속적 개선 (2022 개정: 10.1과 10.2의 순서 변경)
  • 10.2 부적합 및 시정 조치

🗂️ Annex A — 93개 보안 통제 완전 정리

ISO 27001의 핵심 중의 핵심이 바로 Annex A(부록 A)입니다.

2022년 개정으로 통제 항목이 기존 114개에서 93개로 줄었습니다. 단순히 줄어든 것이 아니라 현대 환경에 맞게 재편되었습니다.

 

📊 2013 vs 2022 비교

구분 2013년 버전 2022년 버전
통제 항목 수 114개 93개
분류 체계 14개 영역 4개 테마
신규 추가 - 11개
병합 - 57개 → 24개
기존 유지 - 35개

 

🏷️ 4가지 테마 분류

 

2022년 버전에서는 통제 항목들을 4가지 주요 테마로 체계적으로 분류했습니다.

 

🏢 테마 1 — 조직적 통제 (Organizational Controls) · A.5 · 37개

조직이 정보보안에 어떻게 접근하고 관리하는지에 관한 정책·제도·체계 전반을 다룹니다.

주요 항목 예시:

  • A.5.1 정보보안 정책
  • A.5.2 정보보안 역할 및 책임
  • A.5.7 위협 인텔리전스 (2022 신설)
  • A.5.10 정보 및 기타 관련 자산의 허용 가능한 사용
  • A.5.19 공급망 보안
  • A.5.23 클라우드 서비스 이용을 위한 정보보안 (2022 신설) ⭐
  • A.5.24 정보보안 사고 관리 계획 및 준비
  • A.5.30 비즈니스 연속성을 위한 ICT 준비 (2022 신설)
  • A.5.31 법적, 규제적 및 계약적 요구사항
  • A.5.36 정보보안 정책, 규칙 및 표준 준수

💡 시험 포인트: A.5.23 클라우드 보안 통제는 클라우드 확산을 반영한 2022년 신설 항목으로, CPPG·ISMS-P 모두 출제 가능성이 높습니다.

👥 테마 2 — 인적 통제 (People Controls) · A.6 · 8개

직원의 채용부터 퇴직까지 전 생애주기에 걸친 보안 관리를 다룹니다.

  • A.6.1 선발(배경 조사)
  • A.6.2 고용 조건
  • A.6.3 정보보안 인식, 교육 및 훈련
  • A.6.4 징계 프로세스
  • A.6.5 고용 종료 또는 변경 후 책임
  • A.6.6 비밀유지 또는 기밀 유지 계약
  • A.6.7 원격 근무
  • A.6.8 정보보안 사건 보고 (모든 직원의 의무)

🏗️ 테마 3 — 물리적 통제 (Physical Controls) · A.7 · 14개

물리적 공간과 장비를 보호하는 통제입니다.

  • A.7.1 물리적 보안 경계
  • A.7.2 물리적 입장 통제
  • A.7.3 사무실, 방 및 시설 보안
  • A.7.4 물리적 보안 모니터링 (2022 신설 — CCTV 등)
  • A.7.5 물리적 및 환경적 위협으로부터 보호
  • A.7.6 보안 구역 내 작업
  • A.7.7 클린 데스크 및 클린 스크린
  • A.7.8 장비 배치 및 보호
  • A.7.9 구외 자산 보안
  • A.7.10 저장 매체 보안
  • A.7.11 지원 유틸리티
  • A.7.12 케이블링 보안
  • A.7.13 장비 유지보수
  • A.7.14 장비의 안전한 폐기 또는 재사용

💻 테마 4 — 기술적 통제 (Technological Controls) · A.8 · 34개

시스템·네트워크·애플리케이션의 기술적 보안 통제입니다.

  • A.8.1 사용자 엔드포인트 장치
  • A.8.2 특권 접근 권한
  • A.8.3 정보 접근 제한
  • A.8.4 소스코드 접근
  • A.8.5 안전한 인증
  • A.8.6 용량 관리
  • A.8.7 악성코드 대응
  • A.8.8 기술적 취약점 관리
  • A.8.9 구성 관리 (2022 신설)
  • A.8.10 정보 삭제 (2022 신설)
  • A.8.11 데이터 마스킹 (2022 신설)
  • A.8.12 데이터 유출 방지(DLP) (2022 신설)
  • A.8.15 로깅
  • A.8.16 모니터링 활동
  • A.8.23 웹 필터링 (2022 신설)
  • A.8.28 안전한 코딩 (2022 신설)
  • A.8.24 암호화 사용
  • A.8.32 변경 관리
  • A.8.33 테스트 정보

🆕 2022년 신설 11개 통제 — 시험 핵심 포인트

2022년 개정에서 신설된 11개 통제 항목은 CPPG·ISMS-P 시험 모두에서 특히 주목해야 할 내용입니다.

번호 통제명 테마
A.5.7 위협 인텔리전스 조직
A.5.23 클라우드 서비스 이용을 위한 정보보안 조직
A.5.30 비즈니스 연속성을 위한 ICT 준비 조직
A.7.4 물리적 보안 모니터링 물리
A.8.9 구성 관리 기술
A.8.10 정보 삭제 기술
A.8.11 데이터 마스킹 기술
A.8.12 데이터 유출 방지(DLP) 기술
A.8.16 모니터링 활동 기술
A.8.23 웹 필터링 기술
A.8.28 안전한 코딩 기술

📋 SoA(적용성 보고서) — 반드시 알아야 할 핵심 문서

SoA(Statement of Applicability)는 ISO 27001 인증의 핵심 산출물입니다.

93개의 통제 항목 각각에 대해 다음을 문서화합니다.

  1. 적용 여부 — 우리 조직에 해당 통제가 필요한가?
  2. 적용 근거 — 왜 이 통제를 선택했는가? (위험평가 결과, 법적 요구사항 등)
  3. 비적용 사유 — 적용하지 않는다면, 그 이유는 무엇인가?

⚠️ 중요: 93개 모두를 적용할 필요는 없습니다. 단, 비적용으로 결정한 경우 반드시 SoA에 그 근거를 명시해야 합니다.

🔗 ISO 27001과 국내 ISMS(-P)의 관계

구분 ISO 27001 ISMS-P
발행 기관 ISO/IEC (국제) KISA (국내)
인증 의무 자발적 일부 기업 의무
통제 체계 Annex A (93개) 80개 통제 + 개인정보 22개
적용 범위 전 세계 국내 중심
유사성 ISMS(-P)의 기반이 된 국제 표준  

 

ISMS-P는 ISO 27001을 기반으로 국내 법규(개인정보보호법, 정보통신망법)를 반영하여 설계되었습니다.

⚠️ CPPG 시험 자주 나오는 함정들

❌ 자주 틀리는 것 1 — 통제 항목 개수

  • 2013년 버전: 14개 영역, 114개 통제 (이미 구버전)
  • 2022년 버전: 4개 테마, 93개 통제

❌ 자주 틀리는 것 2 — Annex A 적용 방식

  • 93개 전부 적용하는 것이 아닙니다. 조직의 위험평가 결과에 따라 선택 적용합니다.

❌ 자주 틀리는 것 3 — ISO 27001의 성격

  • ISO 27001은 요구사항(Requirements) 표준입니다.
  • ISO 27002는 실무 지침(Guidelines) 표준입니다.
  • 인증은 ISO 27001 기준으로 받습니다.

❌ 자주 틀리는 것 4 — CIA와 추가 속성

  • 기본 3요소: 기밀성, 무결성, 가용성
  • 추가 속성(ISO 27000 정의): 진정성(Authenticity), 책임추적성(Accountability), 부인방지(Non-repudiation), 신뢰성(Reliability)

✅ 정리 — CPPG 시험 전 최종 체크리스트

핵심 암기 포인트를 한 번 더 정리합니다.

  • ✔️ ISO 27001은 ISMS 구축 요구사항 국제 표준
  • ✔️ 보호 목표: CIA (기밀성, 무결성, 가용성)
  • ✔️ 구조: PDCA 사이클 + HLS 10개 조항 (4항~10항이 핵심)
  • ✔️ 2022년 개정: Annex A 114개 → 93개, 4개 테마 (조직 37 + 인적 8 + 물리 14 + 기술 34)
  • ✔️ 신설 11개 통제 중 클라우드·DLP·데이터마스킹·안전한코딩 주목
  • ✔️ SoA(적용성 보고서) = 6.1.3에서 작성, 적용/비적용 근거 문서화
  • ✔️ ISO 27001(요구사항) vs ISO 27002(실무 지침) 구분 필수

다음 단계로는 ISO 27701(개인정보보호 관리체계, PIMS)과의 연계성을 학습하면, CPPG뿐 아니라 ISMS-P 인증심사원 준비에도 큰 도움이 됩니다. 🚀

저작자표시 비영리 변경금지 (새창열림)

'일반IT > IT보안' 카테고리의 다른 글

클로드가 갑자기 펜테스트를 거부한다고? — Anthropic CVP 완전 정복 🛡️  (1) 2026.04.25
🔍 방패를 고르는 시간 — 2026년 무료 웹 스캐너 TOP 5  (0) 2026.04.18
주민번호가 사라진 자리에 생긴 것 — CI(연계정보)의 정체 🔐  (0) 2026.04.07
🔐 SSH로 Docker 소켓에 안전하게 접근하기 — 포트 2375 열지 마세요!  (0) 2026.03.31
🔒 내 개인정보가 '비식별'이라고? 프라이버시 보호 모델 완벽 가이드  (0) 2026.03.04

관련글

티스토리툴바