지난 6월 13일 ISO TC 307 블록체인 및 분산원장기술(DLT) 기술위원회에서 한국이 주도한 ISO/IEC 27002 기반 블록체인 서비스 보안 통제 표준에 대한 사전연구항목이 승인되었다.

이 사전연구를 주도한 오경희 TCA 서비스 대표는 사단법인 한국정보시스템감사통제협회(ISACA)의 연구책임자로서 산업통상자원부가 지원하는 국제표준 개발 과제의 일환으로 이를 추진하고 있으며 ITU-T SG 17에서는 분산원장기술 보안 연구과제(Q14)의 라포처로서 블록체인 보안 표준의 개발을 이끌고 있다.

ISO/IEC 27002는 ISO/IEC 27001과 함께 국제 정보보호관리체계(ISMS) 인증을 위한 기반 표준이며 2022년 3차 개정이 완료되어 작년 한 해 ISO 표준 중 가장 많이 판매된 표준으로 꼽혔다.

이 표준은 클라우드 보안 인증에 활용되는 ISO/IEC 27017, 통신사 보안을 위한 ISO/IEC 27011 등 분야별 보안 표준의 기반으로 사용되고 있다. 이번 사전연구항목은 이의 일환으로 블록체인 분야 인증을 위한 표준의 개발을 위한 것이다.

ISO의 정보보호관리체계 관련 표준은 정보보호, 사이버보안 및 개인정보보호 기술위원회인 SC 27의 정보보호관리체계 작업반(WG 1)에서 개발하는 것이 원칙이다. 이에 따라 한국은 지난 4월 SC 27 WG1에 이 사전연구항목을 제안하였다. 그러나 TC 307 기술위원회는 블록체인 분야에 대한 전문성을 강력히 주장하여 TC 307과 SC 27의 공동 작업반인 블록체인 보안, 개인정보보호 및 신원 작업반(JWG4)에서 연구를 진행하도록 결의하였다.

이러한 진행에 따라 지난 7월 12일 열린 후속 회의에서는 TC 307과 SC 27 회원 전문가들에게 새로운 블록체인 보안인증 표준의 필요성과 내용에 대한 질의서를 배포하기로 하였다. 이 결과는 9월에 열릴 차기 TC 307 JWG 4 회의에서 검토될 것이며 이에 기초하여 신규 표준 개발 제안을 진행할 예정이다.

그러나 이 표준을 최종적으로 어느 기술위원회에서 개발하게 될지는 아직 결정되지 않았다. 블록체인 기술위원회(TC 307)는 블록체인 기술 전문성을 내세워 이 표준을 TC 307의 것으로 만들고자 하나 정보보호관리체계 기술위원회(SC 27)는 ISO 적합성 평가위원회(CASCO)의 규정에 따라 보안 인증 표준에 대한 소유권을 주장하고 있다. 블록체인 보안 인증을 위한 표준의 필요성에 대해서는 어느 쪽에서도 반론이 없으나 이러한 기술위원회 간 분쟁이 신규 표준 개발을 지연시킬 걸림돌이 될 수 있다는 우려가 나타나고 있다.

한국정보시스템감사통제협회는 한국정보통신기술협회의 지원을 통해 분산원장기술표준포럼(의장 박수용 서강대 교수)을 운영하고 있으며 8월 중 한국 전문가들의 의견을 수렴하기 위한 포럼 회의를 개최할 예정이다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★