ISO/IEC 21827 (SSE-CMM)

개요

ISO/IEC 21827은 정보 시스템의 보안성을 체계적으로 확보하기 위한 표준 모델로, 조직의 보안 엔지니어링 프로세스 성숙도를 평가하고 개선하는 데 사용된다. SSE-CMM(Security System Engineering - Capability Maturity Model)은 다양한 산업 환경에서 보안 프로세스의 일관성, 반복 가능성, 효율성을 보장하기 위한 글로벌 기준이다.

---

1. 개념 및 정의

ISO/IEC 21827은 보안 시스템 엔지니어링 프로세스를 위한 성숙도 모델로서, 프로세스 중심의 보안 품질 개선을 위한 프레임워크를 제공한다. 이는 ISO/IEC 15504(SPICE) 및 CMMI 모델과 유사한 구조를 가지고 있으며, 조직이 보안 관행을 정량적이고 지속적으로 향상시킬 수 있도록 설계되었다.

• 목적: 조직의 보안 역량 성숙도 평가 및 개선
• 필요성: 반복 가능한 보안 프로세스 확보 및 인증 요구 대응

---

2. 특징

특징	설명	비교 모델
성숙도 기반 모델	5단계 성숙도 레벨 구조	CMMI, ISO 15504와 유사
범용성	산업, 조직, 프로젝트 유형에 무관하게 적용 가능	IT, 국방, 제조 등 다양성 확보
프로세스 중심	조직의 보안 관행을 '프로세스'로 정의	단순 기술 적용 모델과 차별화

보안 활동을 문서화, 반복 가능, 최적화된 상태로 만들기 위한 구조적 접근을 제공한다.

---

3. 구성 요소

구성 요소	설명	예시
22개 보안 프로세스 영역	정책 관리, 위험 분석, 취약점 평가 등	위험 관리, 인증·인가, 시스템 구현 등
성숙도 5단계	초기 → 관리 → 정의됨 → 정량적 관리 → 최적화됨	지속 개선 기반의 단계적 평가 체계
공통 기능 영역	수행, 관리, 측정, 검토 및 개선 등 공통 기능 요구	CMM 모델과 구조적 유사성 있음

이 모델은 각 프로세스를 반복 가능하고 정량화할 수 있도록 유도한다.

---

4. 기술 요소

기술 요소	설명	적용 기술
위험 관리 프레임워크	위험 식별 및 평가 프로세스 표준화	ISO 27005, NIST RMF 활용
보안 요구 사항 분석	시스템 요구사항 단계에서 보안 요건 통합	Threat Modeling, STRIDE 등
인증 및 검증 절차	보안성 검증을 위한 체계적 테스트 절차	ST&E(Security Test & Evaluation), penetration test

이러한 기술은 ISO/IEC 21827 프로세스를 실현하기 위한 핵심 도구로 작용한다.

---

5. 장점 및 이점

장점	설명	기대 효과
보안 역량 가시화	조직의 현재 보안 성숙도 파악 가능	객관적 평가 및 개선 방향 도출
인증 기반 대응력 향상	외부 감사 및 국제 인증 요건 충족 가능	정부·공공 입찰 대응력 강화
지속적 개선 체계 구축	보안 프로세스의 반복 가능성 확보	장기적 보안 수준 향상

보안 정책과 운영을 지속적으로 성숙시킬 수 있는 기반을 마련해준다.

---

6. 주요 활용 사례 및 고려사항

사례	설명	고려사항
국방 시스템 보안 인증	미 국방부, NATO 등에서 시스템 보안 평가에 활용	고신뢰성 요구 시스템에서 유효
금융기관 보안 체계 개선	금융 IT 서비스 보안 수준 측정 지표로 활용	내부 감사 및 규제 대응 체계 강화 필요
공공부문 입찰 인증	정부 조달 사업의 보안 요건으로 반영	문서화 수준 및 증적 관리 필수

모델 적용 시 조직의 문서화 역량, 이해관계자 협업, 기술 스택 간 연계 등을 고려해야 한다.

---

7. 결론

ISO/IEC 21827(SSE-CMM)은 조직의 보안 엔지니어링 프로세스를 체계적으로 진단하고 개선할 수 있도록 돕는 국제 표준이다. 반복 가능한 보안 프로세스를 기반으로 신뢰성과 인증 요건을 동시에 충족시키며, 특히 고신뢰 환경 및 규제 산업에서 강력한 효과를 발휘한다.