ISO 27001 인증을 준비하면서 가장 먼저 막히는 부분이 어디인지 아시나요? 많은 기업들이 정책 문서 작성이나 위험 평가를 어렵게 생각하지만, 인증 준비의 실질적인 출발점은 IT 자산 목록입니다.

“우리 회사에 어떤 IT 자산이 있고, 누가 사용하고 있으며, 어떻게 관리되고 있는가?” 이 질문에 즉시 답할 수 없다면 인증 준비는 사실상 시작도 못 한 셈입니다. 이번 글에서는 ISO 27001 인증과 IT 자산 관리가 어떻게 연결되는지, 그리고 실제로 어떻게 대응하면 되는지를 정리해 드립니다.

ISO 27001이 요구하는 것, 핵심은 자산 관리

ISO 27001은 정보보안 관리체계(ISMS)에 대한 국제 표준입니다. 인증을 받으려면 조직이 보유한 정보 자산을 체계적으로 파악하고, 그 자산에 대한 위험을 관리한다는 것을 증명해야 합니다.

표준의 부속서 A에는 93개의 보안 통제 항목이 있는데, 그 중 A.5.9 정보 및 기타 관련 자산의 목록 항목은 모든 조직이 필수로 이행해야 하는 통제입니다. 요구 사항을 단순하게 풀면 다음과 같습니다.

• 조직이 보유한 정보 자산의 목록을 만들고 유지한다
• 각 자산의 소유자(책임자)를 지정한다
• 자산의 중요도에 따라 분류하고 보호 수준을 결정한다

여기서 말하는 ’자산’에는 하드웨어(노트북, 서버, 모바일 기기)뿐 아니라 소프트웨어 라이선스, SaaS 구독, 데이터까지 모두 포함됩니다. 결국 IT 자산 목록이 곧 인증의 토대가 됩니다.

자산 관리가 안 되어 있을 때 생기는 문제

ISO 27001 심사를 앞두고 자산 목록을 급하게 만들기 시작한 기업들이 공통으로 겪는 어려움이 있습니다.

어디에 무엇이 있는지 파악이 안 된다

부서마다 별도로 관리하던 엑셀 파일이 제각각이거나, 담당자가 바뀌면서 자산 이력이 사라진 경우가 많습니다. 퇴사자가 사용하던 노트북이 창고에 방치되어 있거나, 해지하지 않은 SaaS 계정이 여전히 활성 상태인 사례도 흔합니다.

자산 소유자를 특정하기 어렵다

ISO 27001은 각 자산에 책임자를 지정하도록 요구합니다. 하지만 자산 목록 자체가 없거나 오래된 경우, 현재 어떤 구성원이 어떤 기기와 소프트웨어를 사용하는지 파악하는 데만 수 주가 걸립니다.

미승인 소프트웨어가 곳곳에 있다

구성원들이 개인적으로 설치한 소프트웨어나 검토 없이 도입된 SaaS가 회사 네트워크에서 사용되고 있는 경우가 많습니다. 이른바 섀도우 IT 문제입니다. 이 상태로는 어떤 정보가 어디로 나가고 있는지 통제할 수 없습니다.

인증 준비를 위한 IT 자산 관리 3단계

1단계: 자산 목록 확보

가장 먼저 해야 할 일은 조직 내 모든 IT 자산을 한 곳에 모으는 것입니다. 기기(노트북, 데스크톱, 모바일), SaaS 구독, 소프트웨어 라이선스를 빠짐없이 등록합니다. 이때 중요한 것은 단순히 목록을 만드는 것을 넘어, 각 자산에 사용자(소유자)를 연결하는 것입니다.

심플리를 활용하면 기기와 SaaS, 구성원 정보를 하나의 플랫폼에서 연결해 관리할 수 있습니다. 에이전트를 설치하면 구성원 PC에서 사용 중인 소프트웨어를 자동으로 감지하기 때문에, 수기로 일일이 조사하는 수고를 줄일 수 있습니다.

2단계: 자산 분류와 책임자 지정

목록이 만들어졌다면 자산의 중요도에 따라 분류하고, 각 자산의 책임자를 지정합니다. ISO 27001은 자산 소유자가 자산의 보호 수준을 결정하고 유지하는 역할을 해야 한다고 명시합니다.

실무에서는 다음과 같은 방식으로 적용할 수 있습니다.

• 기기: 할당된 구성원이 소유자, 구매 및 폐기 이력 관리는 IT 담당자
• SaaS 구독: 실제 사용 부서의 담당자가 소유자, 비용 관리는 경영지원팀
• 공용 라이선스: 해당 소프트웨어를 주로 사용하는 팀의 리더

3단계: 지속적인 모니터링과 정책 적용

자산 목록은 한 번 만들고 끝나는 것이 아닙니다. 입사자가 오면 자산이 추가되고, 퇴사자가 나가면 자산이 회수되어야 합니다. SaaS 구독이 갱신되거나 해지될 때도 목록이 업데이트되어야 합니다.

ISO 27001 심사에서 중요하게 평가되는 항목 중 하나가 바로 이 자산 관리의 지속성입니다. 인증 취득 시점의 상태가 아니라, 정기적으로 자산 현황을 점검하고 이상 징후에 대응하는 프로세스가 있는지를 봅니다.

심플리의 라이선스 정책 기능을 활용하면 미사용 라이선스, 미승인 소프트웨어 사용, 라이선스 초과 배정 같은 이슈를 자동으로 감지하고 알림을 받을 수 있습니다. 이런 이슈 대응 이력이 쌓이면 심사 시 실질적인 근거 자료로 활용할 수 있습니다.

실제 인증 준비 기업이 겪은 변화

IT 스타트업 A사는 50명 규모로 성장하면서 고객사 요청으로 ISO 27001 인증 취득을 추진했습니다. 준비를 시작하자마자 자산 목록 문제에 부딪혔습니다. 부서별로 따로 관리하던 엑셀 파일의 내용이 서로 달랐고, SaaS 구독 현황은 아무도 정확히 알지 못했습니다.

심플리를 도입하고 약 2주간 자산 등록 작업을 진행한 결과, 기기 72대와 SaaS 34종의 목록이 구성원별로 연결된 형태로 정리되었습니다. 에이전트 설치 후에는 기존에 파악하지 못했던 소프트웨어 9종이 추가로 발견되었습니다. 이 중 3종은 보안 검토가 필요한 소프트웨어로 분류되어 즉시 조치를 취했습니다.

자산 목록이 정리되자 나머지 인증 준비 작업의 속도가 빨라졌습니다. 위험 평가를 위한 자산 목록 제출, 접근 통제 현황 확인, 구성원별 권한 검토가 모두 심플리의 데이터를 기반으로 진행되었기 때문입니다.

ISO 27001과 ISMS, 무엇이 다른가요?

국내 기업이라면 ISO 27001 외에 국내 인증인 ISMS(정보보호 관리체계) 또는 ISMS-P도 함께 고려하는 경우가 많습니다. 두 인증 모두 IT 자산 관리를 핵심 요건으로 요구한다는 점은 동일합니다.

ISMS는 과학기술정보통신부와 한국인터넷진흥원(KISA)이 운영하는 국내 인증으로, 일정 기준 이상의 정보통신 서비스 사업자에게는 의무 취득 대상이기도 합니다. ISO 27001은 해외 고객사나 파트너와 협업할 때 국제적으로 인정받는 인증입니다.

어떤 인증을 목표로 하든, 체계적인 IT 자산 목록 확보와 지속적인 관리는 공통된 출발점입니다. 이미 자산 관리가 잘 되어 있는 조직이라면 인증 준비 기간도 눈에 띄게 단축됩니다.

정리하며

ISO 27001 인증은 보안 정책 문서를 잘 만드는 것보다, 실제로 자산을 파악하고 관리하는 체계가 갖춰져 있는지를 증명하는 과정입니다. 엑셀로 관리하던 자산 목록이 현실과 맞지 않거나, 구성원별 자산 현황을 즉시 꺼내 보기 어렵다면 지금이 바로 점검할 시점입니다.

심플리는 기기, SaaS, 구성원 정보를 하나의 플랫폼에서 연결해 관리할 수 있도록 도와줍니다. 자산조사 캠페인, 에이전트 기반 소프트웨어 감지, 라이선스 정책 알림까지 활용하면 컴플라이언스 대응에 필요한 데이터를 체계적으로 쌓아갈 수 있습니다.

인증 준비를 시작하기 전, 혹은 이미 진행 중이라면 심플리 무료 체험으로 현재 자산 현황을 먼저 점검해 보세요.