개요
ISMS-P 인증을 준비 중인 보안 담당자라면 한 번쯤 이런 상황을 마주했을 것입니다. 재택근무 직원이 원격제어 도구로 사내 서버에 접속하고 있고, 심사관이 ‘접속 이력을 기업 관리자가 직접 조회·제출할 수 있습니까?’라고 묻는 상황입니다. 이 질문 하나가 인증 결함 여부를 가릅니다.
원격접근 통제란 보호구역 외부에서 내부 정보시스템에 접근하는 행위를 체계적으로 관리·제한하는 보안 통제 체계입니다. KISA(한국인터넷진흥원)의 ISMS-P 2.6.6은 보호구역 이외 장소에서의 정보시스템 관리 및 개인정보 처리를 원칙적으로 제한하며, 불가피한 경우에는 승인·접근 통제·기록 관리 등 보호대책을 갖추도록 요구합니다.
재택근무·장애 대응·외부 협력사 원격지원 등 원격접근이 넓게 활용되는 환경에서는, 기업이 사용 중인 원격제어 솔루션으로 ISMS-P 요구사항을 실제로 이행·증빙할 수 있는지 확인하는 것이 중요합니다.
링크미마인, 팀뷰어, 애니데스크, 리모트뷰는 국내외에서 널리 쓰이는 원격제어 도구입니다. 각 제품은 저마다 보안 기능과 관리 기능을 제공하지만, ‘보안 기능을 제공한다’는 것과 ‘우리 기업 환경에서 ISMS-P 심사에 제출 가능한 이행 근거를 확보할 수 있다’는 것은 구분해서 검토해야 하는 문제입니다.
이 글은 KISA 인증기준 2.6.6과 관련 안내서의 내용을 기준으로, 주요 원격제어 솔루션이 각 보호대책에 어떤 기능으로 대응하는지를 각 벤더의 공식 정보를 토대로 비교·정리합니다. 솔루션 도입 전 또는 인증 갱신 전 실무 담당자가 반드시 확인해야 할 사항을 정리했습니다.
ISMS-P 원격접근 통제 보호대책, 솔루션별 대응 기능 한눈에 비교
ISMS-P 2.6.6이 요구하는 주요 보호대책을 축으로, 주요 원격제어 솔루션이 제공하는 대응 기능을 각 벤더 공식 자료를 토대로 정리했습니다. 아래 표의 항목 구분은 인증기준 본문과 안내서 내용을 실무 관점에서 재구성한 것이며, KISA가 정한 고정된 항목 번호 체계는 아닙니다. 제공 기능은 버전·라이선스·플랜(예: 기업용/엔터프라이즈)에 따라 달라지고, 동일 기능이라도 심사에서 요구하는 수준의 정책 강제·이력 추출이 가능한지는 별도 확인이 필요하므로 도입 전 반드시 벤더 공식 문서를 통해 재확인하시기 바랍니다.
| ISMS-P 2.6.6 보호대책 항목 |
링크미마인 | 팀뷰어 | 애니데스크 | 리모트뷰 |
|---|---|---|---|---|
| 책임자 승인 | 승인 프로세스 지원 | 별도 프로세스 필요 | 별도 프로세스 필요 | 관리 콘솔 기반 통제 |
| 접근 단말 지정 | 접속 허용 IP 설정 | 기업 플랜 정책 지원 | 접근제어목록(ACL) | IP·MAC 제한 지원 |
| 접근 범위·기간 설정 | 승인 시간·대상 제한 | 기업 플랜 정책 지원 | 권한 그룹 설정 | 접속 가능 시간·범위 설정 |
| 강화된 인증 | 2단계 인증 지원 | 2FA 지원·전사 강제 | 2FA 지원 | OTP 2단계 인증 |
| 구간 암호화 | AES-256/TLS | TLS/AES-256 | TLS/AES-256 | TLS + 전용 릴레이 |
| 접속 단말 보안 | 별도 조치 병행 | 별도 조치 병행 | 별도 조치 병행 | 보안 상태 사전 점검 |
| 접속 이력 관리 (안내서 권고) |
통계·이력 중앙 관리 | 연결 리포트·CSV 내보내기(상위 플랜) | 세션 로그(플랜별) | 중앙 관리 콘솔 조회·필터 |
비교표에서 확인할 수 있듯이, 링크미마인·팀뷰어·애니데스크·리모트뷰는 모두 기본적인 암호화와 강화 인증(2단계 인증)을 제공하며, 접근 제한·이력 관리 등에 대응하는 기능도 갖추고 있습니다. 다만 어떤 기능이 어느 플랜에서 제공되는지, 그리고 기업 관리자가 정책을 일괄 강제하고 이력을 직접 추출·제출할 수 있는지는 제품·플랜·도입 방식에 따라 차이가 있으므로, 실제 운영 환경 기준으로 검증이 필요합니다.
특히 접속 이력 관리는 인증기준 본문에 명시된 핵심 통제 항목이라기보다, 안내서에서 권고되는 중요한 운영 요소로 볼 수 있으며, 심사 시 증빙으로 활용되는 경우가 많습니다.팀뷰어는 라이선스와 관리 구성에 따라 연결 리포트 조회나 CSV 내보내기 같은 기능을 제공할 수 있으므로, 실제 사용 중인 플랜의 기능 범위를 확인해야 합니다. 리모트뷰는 관리자 콘솔에서 접속 이력을 조회·필터링하고 다운로드할 수 있어 심사 증빙 제출에 활용할 수 있습니다.
이 비교는 ‘어떤 솔루션이 절대적으로 우수하다’는 단순 우열이 아니라, ISMS-P 심사 시 ‘우리 기업 환경에서 이행 근거 제출이 가능한가’라는 실무적 기준에서 작성되었습니다. 현재 사용 중인 솔루션이 어느 항목·어느 플랜에서 보완이 필요한지 파악하는 출발점으로 활용하시기 바랍니다.
ISMS-P가 요구하는 ‘원격접근 통제’ 보호대책 상세 해설
ISMS-P 2.6.6은 원격접근을 원칙적으로 금지하되 불가피한 경우 아래와 같은 보호대책을 수립·이행하도록 요구합니다. 각 항목의 실무적 의미를 정확히 이해해야 솔루션 선택과 운영 정책 수립이 가능합니다. 참고로 아래 ①~⑥은 인증기준 본문에 예시로 열거된 보호대책이며, ⑦ 접속 이력 관리는 안내서에서 권고되는 관련 사항입니다.
-
1 책임자 승인
원격접근을 허용하기 전, 담당 책임자의 명시적 승인 절차가 문서화되어야 합니다. 단순히 ‘구두 허가’가 아니라 시스템 내에서 기록·추적할 수 있어야 심사 시 증빙이 가능합니다.
-
2 접근 단말 지정
내부 네트워크를 통해 원격으로 정보시스템을 운영하는 경우 특정 단말에 한해서만 접근을 허용해야 하며, 접속 가능한 단말을 IP·MAC 주소 등으로 제한하고 우회 접속경로를 차단해야 합니다. 특히 개인정보처리시스템을 관리·운영·개발·보안 목적으로 원격 접속하는 단말은 관리용 단말로 지정하고 목록 관리, 임의 조작 및 목적 외 사용 금지 등 안전조치를 적용해야 합니다.
-
3 접근 허용범위·기간 설정
접근 가능한 정보시스템과 네트워크 구간을 최소화하고, 상시 개방이 아닌 한시적 허용 방식으로 운영해야 합니다. 사용자별로 접근 가능한 네트워크 구간·시스템을 제한하지 않아 전체 내부망에 과도하게 접근이 가능한 구조는 결함 지적을 받을 수 있습니다.
-
4 강화된 인증
아이디·패스워드만으로는 부족합니다. 인증서·OTP 등 강화 인증 수단을 적용해야 하며, 이를 전사적으로 강제할 수 있는 정책 설정이 가능한지 확인해야 합니다.
-
5 구간 암호화
원격접속 통신 구간이 암호화되어야 합니다. VPN·TLS 등 안전한 접속수단 지원 여부뿐 아니라, 실제 연결 경로에서 암호화가 적용되는지 기술 문서로 확인해야 합니다.
-
6 접속 단말 보안
원격접속에 사용하는 단말에 백신 설치, 보안 패치 적용 등 기본 보안 조치가 이행되어야 합니다. 이는 대부분 원격제어 솔루션 기능만으로 완결되지 않으므로, 단말 관리(EDR·자산관리 등) 정책과 함께 병행 운영하는 것이 일반적입니다.
-
7 접속 이력 관리(안내서 권고)
안내서는 원격접속 기록의 로깅 및 주기적 분석을 권고합니다. 누가, 언제, 어떤 시스템에 접속했는지 기록하고 정기적으로 모니터링하며, 이 이력을 기업 관리자가 직접 조회·제출할 수 있어야 심사 증빙에 활용할 수 있습니다.
범용 원격제어 솔루션이 ISMS-P 심사에서 자주 지적되는 지점은?
원격제어 솔루션이 ISMS-P 심사에서 지적받는 이유는 대체로 ‘보안 기능이 아예 없어서’가 아니라, 사용 중인 플랜·구성에서 기업 단위 통제와 이행 근거 제출이 충분히 이뤄지지 않아서인 경우가 많습니다. 아래는 실무에서 자주 검토되는 지점입니다.
-
1 플랜에 따른 중앙 통제 기능 차이
많은 원격제어 솔루션은 상위 기업용 플랜에서 단말 지정·접근 범위 제한·정책 강제·이력 리포트 등을 제공하지만, 하위 플랜이나 개인 계정 기반 구성에서는 이러한 기능이 제한될 수 있습니다. 팀뷰어의 경우 장치 연결 리포트와 정책 기반 관리가 Corporate/Tensor 등 상위 라이선스에서 제공되므로, 사용 중인 라이선스가 요구 기능을 포함하는지 확인이 필요합니다.
-
2 접속 이력의 저장 위치와 추출 가능 여부
접속 이력이 기업 관리자가 직접 조회·추출할 수 있는 형태로 관리되는지가 핵심입니다. 팀뷰어는 관리 콘솔에서 연결 리포트를 CSV로 내보낼 수 있고, 링크미마인·리모트뷰는 통계·이력을 중앙에서 조회할 수 있습니다. 다만 개인 계정 기반으로만 운영되거나 로그 보관 기간·범위가 제한되는 구성이라면, 심사에서 요구하는 수준의 이력 제출이 어려울 수 있으므로 사전 확인이 필요합니다.
-
3 해외 서버 경유 및 데이터 국외 이전 리스크
일부 글로벌 원격제어 솔루션은 해외 릴레이 서버를 경유하는 연결 구조를 사용할 수 있습니다. 이 경우 구간 암호화 통제 측면의 검토뿐 아니라, 개인정보보호법상 개인정보의 국외 이전 요건과의 교차 리스크도 검토 대상이 될 수 있습니다. 사용 중인 솔루션의 공식 네트워크 아키텍처 문서를 통해 실제 연결 경로와 데이터 처리 위치를 사전에 확인하는 것이 권장됩니다.
-
4 이행 근거 문서화 지원 여부
ISMS-P 인증을 보유하거나 준비 중인 기업이라면, 사용 중인 원격제어 솔루션이 ‘이행 근거 문서화’를 지원하는지 여부를 반드시 확인해야 합니다. 기능이 있더라도 심사 시 제출 가능한 형태로 기록을 추출할 수 없거나, 관련 기술 문서를 벤더로부터 확보할 수 없다면 증빙에 어려움이 생길 수 있습니다.
이러한 지점이 발견된다고 해서 해당 솔루션의 사용이 즉시 불가능한 것은 아닙니다. 그러나 상위 플랜으로의 전환, 수기 승인 문서·별도 이력 관리 등 보완 프로세스를 추가로 운영해야 할 수 있으며, 이는 운영 부담 증가와 심사 시 이행 일관성 증명의 어려움으로 이어질 수 있습니다.
리모트뷰가 ISMS-P ‘원격접근 통제’ 기준에 대응하는 방법
알서포트의 리모트뷰(RemoteView)는 ISMS-P 2.6.6의 보호대책 항목에 대응하는 보안 기능을 갖추고 있습니다. 각 요건별로 어떤 기능이 대응하는지 정리합니다.
강화된 인증 + 접근 단말 지정: OTP 기반 2단계 인증을 제공하며, IP 주소 및 MAC 주소 기반 접근 제한 기능을 통해 지정된 단말에서만 접속이 가능하도록 설정할 수 있습니다. 이 두 기능의 조합으로 ‘강화된 인증’과 ‘접근 단말 지정’ 요건에 대한 이행 근거를 확보할 수 있습니다.
접근 허용범위·기간 설정 + 접속 이력 관리: 해외 로그인(IP) 차단, 사용자별 접속 가능 시간 설정, 접속 이력·로그 중앙 관리 기능을 통해 ‘접근 허용범위·기간 설정’과 ‘접속 이력 관리’ 관련 이행 근거를 문서화할 수 있습니다. 관리자 콘솔에서 접속 이력을 조회·필터링하고 다운로드할 수 있어 심사 시 증빙 자료 제출에 활용할 수 있습니다.
정보 유출 방지 + 추가 보호대책: 원격PC 화면 잠금, 마우스/키보드 입력 잠금, 화면 워터마크, 특정 프로세스(exe) 실행 제한 기능은 원격접속 중 정보 유출을 방지하고, 심사 시 추가 보호대책 이행 증빙으로 활용할 수 있습니다.
접속 단말 보안: 원격 접속 단말의 보안 상태를 사전 점검하는 기능을 제공하여, 단말 보안 조치 이행을 뒷받침할 수 있습니다. 다만 백신·패치 등 단말 자체 보안은 조직의 단말 관리 정책과 함께 병행 운영하는 것이 권장됩니다.
구간 암호화: TLS 암호화 및 전용 릴레이 서버 기반의 구간 암호화 방식을 적용하여 구간 암호화 요건에 대응합니다.
도입 유연성: 클라우드(SaaS) 및 On-premise 구축 방식을 모두 지원하여, 기업의 보안 정책과 인프라 환경에 맞는 도입이 가능합니다. 데이터 처리 위치에 민감한 기업이라면 온프레미스 구축은 데이터 처리 위치를 자사 환경으로 통제하는 데 유리하며, 국외 이전 리스크를 줄이는 데 도움이 됩니다.
리모트뷰의 상세 보안 기능은 리모트뷰 기능 소개 페이지에서 확인하실 수 있습니다.
ISMS-P 인증 담당자가 원격제어 솔루션 선택 시 반드시 확인해야 할 체크포인트
솔루션 도입 또는 갱신 전, 아래 4가지 질문에 벤더로부터 명확한 답변을 받아야 합니다. 단순한 기능 소개가 아니라, 사용 중인(또는 도입 예정) 플랜 기준의 공식 기술 문서 또는 기능 명세서 형태로 제공받는 것이 중요합니다.
보안 구현 체크리스트
-
체크포인트 1. 접속 이력 직접 조회·제출 가능 여부
「우리가 사용하는 플랜에서 접속 이력을 기업 관리자가 직접 조회하고 다운로드(예: CSV)할 수 있는가? ISMS-P 심사 시 이력 제출이 가능한가?」
이 질문에 ‘예’라고 답할 수 없다면, 상위 플랜으로의 전환이나 별도의 이력 관리 방안을 검토해야 합니다.
-
체크포인트 2. 중앙 관리 콘솔의 정책 강제 적용 가능 여부
「단말 지정 및 IP/MAC 기반 접근 제한, 2단계 인증 등을 중앙 관리 콘솔에서 정책으로 설정하고 전사에 강제 적용할 수 있는가?」
개별 사용자가 설정을 임의로 변경할 수 있는 구조라면, 기업 단위의 일관된 보안 정책 적용이 어렵습니다.
-
체크포인트 3. 강화 인증의 전사 강제 적용 가능 여부
「OTP 등 강화 인증 수단이 제공되며, 인증 우회 없이 전사 적용이 강제되는가?」
일부 직원만 2단계 인증을 사용하는 구조는 ISMS-P 요건을 충족하기 어렵습니다.
-
체크포인트 4. 데이터 처리 위치·암호화 기술 문서 제공 가능 여부
「데이터 처리 위치(국내/국외), 연결 경로, 구간 암호화 방식에 대한 기술 문서를 벤더로부터 공식적으로 제공받을 수 있는가?」
심사관은 구두 설명이 아닌 공식 문서를 요구하는 경우가 많습니다. 벤더가 기술 문서 제공을 거부하거나 제공이 어렵다면, 심사 시 증빙에 어려움이 생길 수 있습니다.
자주 묻는 질문(FAQ)
Q1. 원격접근 통제란 무엇인가요?
A. 원격접근 통제란 보호구역 외부에서 내부 정보시스템에 접근하는 행위를 체계적으로 관리·제한하는 보안 통제 체계입니다. ISMS-P 인증기준 2.6.6에 해당하며, 원격접근을 원칙적으로 금지하되 불가피하게 허용하는 경우 책임자 승인, 접근 단말 지정, 접근 허용범위·기간 설정, 강화된 인증, 구간 암호화, 접속단말 보안(백신·패치 등) 등의 보호대책을 수립·이행하도록 요구하고 있습니다. 아울러 안내서에서는 원격접속 기록의 로깅 및 주기적 분석 등도 함께 권고하고 있습니다.
Q2. ISMS-P 2.6.6 원격접근 통제 항목에서 결함을 받으면 어떤 영향이 있나요?
A. 심사에서 결함(부적합)이 지적되면 결함 조치(보완조치) 계획을 제출하고 정해진 기간 내에 개선해야 하며, 이를 완료하지 못하면 인증 취득·유지에 영향을 미칠 수 있습니다. 원격접근 통제는 개인정보보호와 연계된 항목으로 심사관의 주요 점검 대상이 됩니다.
Q3. 범용 원격제어 솔루션을 사용 중인데 추가 보완 조치만으로 ISMS-P를 통과할 수 있나요?
A. 수기 승인 문서나 별도 이력 관리 절차로 보완하는 것은 가능하지만, 사용 중인 플랜과 솔루션에 따라 운영 부담이 커질 수 있고 심사 시 이행 일관성을 증명하기 어려울 수 있습니다. 요건을 기능적으로 내재화한 솔루션을 도입하고 실제 이행 근거를 문서로 확보하는 것이 근본적인 해결 방향입니다.
Q4. 재택근무 직원이 개인 PC로 사내 시스템에 접속하면 ISMS-P상 어떤 조치가 필요한가요?
A. 원격접근 시 강화된 인증, 구간 암호화, 접근 범위 제한, 접속 이력 관리 등의 보호대책이 필요하며, 접속 단말에는 백신 설치·보안 패치 적용 등 단말 보안 조치가 요구됩니다. 특히 개인정보처리시스템을 관리·운영·개발·보안 목적으로 원격 접속하는 단말은 관리용 단말로 지정하고 목적 외 사용을 금지하는 안전조치를 적용해야 합니다. 보호대책 없이 개인 PC로 무분별하게 접속하는 경우 ISMS-P 결함 사유가 될 수 있습니다.
Q5. 원격접근 솔루션을 On-premise로 구축하면 ISMS-P 대응에 유리한가요?
A. 데이터가 자사 인프라 내에서 처리되므로 국외 이전 이슈와 구간 암호화 통제 측면에서 유리할 수 있습니다. 다만 클라우드(SaaS) 방식도 국내 데이터센터 기반이고 충분한 보안 기능을 제공한다면 ISMS-P 요건 충족이 가능하며, 중요한 것은 도입 방식보다 보호대책 이행 근거를 실제로 제공할 수 있는지 여부입니다.
결론
ISMS-P 2.6.6 원격접근 통제 요건을 솔루션 기능으로 내재화하고자 하는 기업들 사이에서, 국내 데이터센터 기반의 원격제어 솔루션에 대한 검토가 늘고 있습니다. 리모트뷰(RemoteView)는 IP/MAC 기반 접근 제한, OTP 2단계 인증, 해외 로그인(IP) 차단, 접속 이력 중앙 관리, 화면 워터마크, 화면·입력 잠금 등 ISMS-P 항목에 대응하는 보안 기능을 갖추고 있으며, 클라우드(SaaS)와 On-premise 구축 방식을 모두 지원합니다. 솔루션의 상세 기능은 리모트뷰 기능 소개 페이지에서 확인하실 수 있습니다.
원격접근 통제 ISMS-P 기준,
우리 회사 원격제어 솔루션은 준비되어 있나요?
인증 결함 리스크를 줄이기 위한 보안 통제 지금 리모트뷰로 손쉽게 구축하세요.
blog
