AWS CloudTrail로 ISMS-P 접속기록 요건 충족하는 법
핵심 요약
ISMS-P는 정보시스템 접속기록을 생성하고 안전하게 보관하며 위·변조를 방지하고 정기적으로 검토할 것을 요구합니다. AWS에서는 CloudTrail을 전 리전에 활성화해 관리·데이터 이벤트를 기록하고, 로그 파일 무결성 검증과 KMS 암호화·비공개 S3 보관·접근통제를 적용하면 이 요건을 기술적으로 충족할 수 있습니다. 보관 기간은 단정하지 말고 적용 대상 법령·내부 기준에 맞춰 S3 수명주기 정책으로 설정하는 것이 안전합니다.
ISMS-P가 요구하는 접속기록·로그 관리 요건
이 요건들은 정책 문서만으로는 충족되지 않으며, 실제 클라우드 환경에서 기술적 통제가 작동하고 그 증적을 즉시 제시할 수 있어야 합니다. AWS 환경에서 이 역할을 담당하는 대표 서비스가 CloudTrail입니다.
AWS CloudTrail이란 무엇이고 어떤 기록을 남기는가
CloudTrail은 trail을 생성해 이벤트를 지속적으로 S3 버킷에 전달하도록 구성할 수 있으며, 이 trail 구성을 어떻게 설계하느냐가 ISMS-P 요건 충족의 핵심입니다.
CloudTrail로 ISMS-P 접속기록 요건을 충족하는 설정
보관 기간·접근통제 고려사항
가디언넷 gnFortress는 CloudTrail의 활성화 여부, 전 리전 적용, 로그 파일 무결성 검증, 로그 버킷의 보관·접근통제 설정 등을 ISMS-P 점검 항목으로 자동 확인합니다. 고객이 배포하는 읽기 전용(read-only) IAM 역할로 안전하게 연결되어 구성 상태를 점검하고, ISMS-P 기준 186개 항목에 대한 셀프 점검 결과를 증적 리포트로 자동 산출합니다.
점검 포인트 체크리스트와 요건 매핑
| ISMS-P 로그 요건 | CloudTrail 설정 |
|---|---|
| 접속기록 생성 | 전 리전 trail 활성화, 관리·데이터 이벤트 기록 |
| 안전한 보관 | 전용 S3 버킷 보관, 수명주기 정책, KMS 암호화 |
| 위·변조 방지 | 로그 파일 무결성 검증(digest), 버전 관리·객체 잠금 |
| 접근통제 | 버킷 퍼블릭 차단, 최소 권한 정책, 로깅 계정 분리 |
| 정기 검토·모니터링 | CloudWatch Logs 연계, 메트릭 필터·경보 구성 |
이러한 설정은 한 번 구성했다고 끝나는 것이 아니라, 변경이 빈번한 클라우드 환경에서 무결성 검증이 꺼지거나 버킷 정책이 느슨해지는 등 시간이 지나며 기준에서 벗어날 수 있습니다. 따라서 구성을 기준선과 지속적으로 대조하고 자동으로 점검하는 체계가 인증 유지에 효과적입니다.
gnFortress의 제공사 가디언넷은 국내 금융권 1위 클라우드 보안 사업자로 4,000개 이상의 워크로드를 보호하고 있어, 금융권 특유의 ISMS-P 로그 요건과 AWS 운영 환경을 함께 고려한 점검 기준을 제공합니다.