[컴플라이언스⑤] ISMS 의무 확대…컨설팅 시장 단비 내린다
상태바
[컴플라이언스⑤] ISMS 의무 확대…컨설팅 시장 단비 내린다
  • 김선애 기자
  • 승인 2016.06.22 08:31
  • 댓글 0
이 기사를 공유합니다

의료·교육기관 ISMS 의무대상 추가·금융기관 제외…금융권 자율보안체계 위한 컨설팅 증가 ‘기대’

지능화된 사이버 공격 위협과 사이버 테러 위협이 고조되면서 정보보호 컴플라이언스도 강화되고 있다. 국내 규제 중에서는 중복되는 부분이 많아 관리자의 업무 효율을 떨어뜨리는 주요 원인으로 지목된다. 효과적인 정보보호 규제 준수 활동을 제안하고, 정보보호 규제의 현재 문제를 지적해본다.<편집자>

ISMS 의무대상 확대…금융기관 제외

정보보안 관련 컴플라이언스로 기업/기관이 반드시 주목해야 할 것으로 정보보호관리체계(ISMS) 인증을 들 수 있다. 개정 정보통신망법에 따라 의료·교육기관이 새롭게 ISMS 인증 의무기관으로 추가되고 금융기관은 제외됐다.

정보통신망법에서는 ISMS 인증 신규 의무대상으로 세입 1500억 이상인 의료법상 상급종합병원 및 고등교육법상 재학생수 1만명 이상인 학교를 추가해 의무대상을 기존 영리목적의 정보통신서비스 제공자에 한정하지 않고, 의료·교육 등 민감정보를 다루는 비영리기관으로 확대했다.

대신 금융회사는 규제개혁위원회에서 중복규제 등의 우려를 이유로 인증 의무대상에서 제외하도록 개선권고함에 따라 인증 의무대상에서 제외시켰다. 지난해 하반기부터 금융기관 ISMS 인증 심사를 전담해 온 금융보안원은 자율적으로 ISMS 인증을 받고자 하는 금융기관에게 계속 서비스를 진행할 계획으로, 수요조사를 진행하고 있다.

개정 정통망법에 따라 ISMS 의무 대상은 크게 늘어나 2012년 ISMS 대상 기업이 140개 가량이었으며, 올해는 412개 가량으로 무려 300개 정도의 대상 기업이 늘어나면서 본격적인 궤도에 오르기 시작했다.

기존의 ISMS 의무화 대상 기업은 인증을 완료했으나 새롭게 의무화 대상이 된 기업들은 컨설팅부터 진행해야 하기 때문에 컨설팅 시장의 호재로 여겨지고 있다. 이에 따라 새로운 기업들이 이 시장 진출 속도를 올리고 있는데, 대표적으로 시큐브를 들 수 있다. 시큐브는 보안인증컨설팅사업부를 신설하고, KISA에서 ISMS 심사를 책임져 온 김학범 상무를 영입해 컨설팅 사업을 본격화하고 있다.

김학범 상무는 “새로 ISMS 대상이 된 기업이 기존 의무대상 기업의 3배 이상으로 늘었다. 또한 기존 ISMS 인증 획득 기관의 유지보수 수요도 있어 시장에서의 기회는 크게 높아질 것이라고 기대한다”고 말했다.

▲정보보호 관리체계 인증 심사 기준(자료: KISA)

ISMS 인증 유지 도와주는 솔루션도 주목

컨설팅 기업이 ISMS에 관심을 두는 이유는 의무 대상이 크게 확대된 점 외에도 매년 인증 사후검사를 수행해야 하고, 3년에 한 번씩 갱신 심사를 새롭게 진행해야 하기 때문이다. 이 수요를 모두 합하면 600개 이상 기업에서 ISMS 컨설팅 수요가 발생할 것으로 예상돼 컨설팅 시장에 단비를 내려 줄 것으로 기대하고 있다.

ISMS는 인증을 획득한 후 매년 사후심사를 받아야 하는데, ISMS 인증을 받았을 때와 동일한 심사항목을 체크하도록 돼있어, 인증 담당자의 업무가 폭증한다. ISMS는 업무상에서 보안을 지키도록 프로세스화 하는 것에 중점을 두기 때문에 보안관리자 뿐만 아니라 현업에서도 확인해야 할 항목이 많다.

인증 업무는 대부분 한명 혹은 소수의 조직이 담당하고 있으며 다른 업무를 병행하고 있어 인증을 수행할 때 마다 업무가 폭증하고, 보안 정책을 제대로 준수하지 않는 현업과의 마찰도 발생한다.

ISMS 인증 업무를 담당하는 담당자들이 업무 폭증과 현업과의 갈등을 이기지 못하고 퇴사하는 일이 비일비재하게 일어나 매년 새로운 담당자가 인증업무를 진행해야 해 업무 연속성이 떨어지고 인증을 유지하는데 어려움을 겪게 된다.

이 문제는 ISMS 전용 솔루션으로 해결할 수 있는데, 대부분의 경우 체크리스트 기반 제품으로, ISMS 인증 항목을 업무 담당자가 업무를 진행하는 과정에서 확인하고 검토하도록 만들고 있으며, 자동화된 보고서 생성으로 인증업무를 줄일 수 있다.

컨설팅 기업에서는 컨설턴트의 업무를 줄이기 위해 자체적으로 솔루션을 개발하기도 하고, 전문 솔루션을 구입해 사용하거나 솔루션 기업과 협업을 통해 시장을 공동개척하기도 한다.

컨설팅 역량·솔루션 기술력 통합 서비스 제공

정보보호 감리업체 씨에이에스는 오랜 기간 수행해 온 정보보호 컨설팅 역량을 녹여낸 솔루션 ‘시큐어GRC’와 자사의 컨설팅 역량을 활용해 ISMS를 포함한 정보보호 컴플라이언스 시장을 공략한다.

시큐어GRC는 기업/기관이 준수해야 하는 규제를 분석하고, 통제항목의 중복과 누락을 제거하며 규제의 변경사항을 적용해 수시로 바뀌는 규제에 대응할 수 있도록 한다. 정보보호업무의 부문별 시스템화와 자동화 구현으로 각 기능별 시스템의 상호관계 기능을 제공한다.

에이쓰리시큐리티도 컨설팅 전문성을 녹여낸 ‘컴플라이언스 매니지먼트 시스템(CMS)’를 이용해 복잡한 컴플라이언스에 대응할 수 있도록 한다. CMS는 중복되는 인증심사 항목을 체계화 해 인증 업무를 간소화하며, 정보보호 거버넌스 관점에서 정보보호 체계를 수립할 수 있도록 도와준다.

한재호 에이쓰리시큐리티 대표는 “에이쓰리의 CMS는 보안 통제가 제대로 작동되는지 CISO가 한눈에 보고 관리할 수 있도록 해 정보보호 시스템 전반을 체계적으로 운영할 수 있도록 돕는다”며 “또한 전사 통합보안 관리 플랫폼 ‘엔터프라이즈 시큐리티 플랫폼(ESP)’를 제공해 자산관리, 위험관리, 취약점 관리, 교육 훈련 인식제고 관리 등 정보보호를 위해 필요한 기능을 확인할 수 있도록 한다”고 설명했다.

중복되는 규제준수 항목, 효율적으로 수행해야

정보보호 규제가 지속적으로 강화되고 새로운 보안 규제가 제정되면서 중복되는 규제 항목이 늘어나게 된다. 그러나 규제를 관장하는 정부부처가 다르기 때문에 보안팀은 같은 작업을 몇 번씩 반복해야 하며, 동일한 결과보고서이지만 정부부처에서 요구하는 다른 포맷으로 작성해야 하는 등의 어려움을 겪는다.

정부에서는 규제마다 적용되는 업무 범위가 다르기 때문에 중복되는 항목은 거의 없다고 주장하고 있으며, 정확하게 일치하는 항목에 대해서는 인증을 동시에 수행할 때 중복항목에 대한 검토를 제외하겠다고 설명한다.

이상철 SK인포섹 수석컨설턴트는 “중복규제에 대응하기 위한 가장 현명한 방법은 R&R을 제대로 수립하는 것”이라며 “규제마다 일부 중복되는 부분이 있으므로 업무 내에서 중복되는 부분을 효율적으로 수행할 수 있도록 업무분장을 하도록 한다”고 조언했다.

그는 이어 “컴플라이언스 관리 시스템을 통해 업무를 자동화 하는 것도 업무를 줄일 수 있는 좋은 방법”이라며 “SK인포섹은 컨설팅 시 체크리스트를 제공해 일상 업무에서 감사 매뉴얼을 통해 보안 활동을 조사할 수 있도록 한다. 이를 제대로 준수하면 감사를 줄일 수 있는 요인으로 작용할 수 있다”고 말했다.

자율보안체계로 컨설팅 수요 늘어것

최근 컨설팅 시장에서는 금융권 자율보안체계를 위한 컨설팅 수요가 늘고 있어 호재로 여기고 있다. 자율보안체계 수립을 위한 가장 이상적인 방법은 자사 비즈니스 특성을 파악하고 최적의 보안체계를 만드는 것인데, 대부분의 기업들은 컨설팅 기업에게 일임한다.

이로 인한 컨설팅 수요는 늘어났지만, 컨설팅 결과를 기업이 적극적으로 받아들여 정보호호 정책을 체계화하는지 여부는 다른 문제다. 기업이 보호해야 하는 비즈니스를 파악하고 이를 보호할 수 있는 체계를 구상해야 한다.

이상철 SK인포섹 수석은 “자율보안체계를 위해서는 집중해서 보안을 강화할 부분을 반영해 정보보안 체계를 수립하며, 컴플라이언스의 요구사항을 검토해 통합점검 체크리스트를 만들어야 한다. 이 체크리스트를 기반으로 정보보호 활동을 전개하며, 지속적으로 점검하면서 상황에 따른 변경을 적용하는 것이 좋다”고 말했다.

한재호 에이쓰리시큐리티 대표는 “자율보안체계는 금융권 뿐 아니라 산업계 전반으로 확산되는 트렌드를 보이고 있다. 이 트렌드가 계속 이어지기 위해서는 기업/기관이 내부 역량을 강화하는 한편, 전문 컨설팅을 통해 지속가능한 보안체계를 수립하는 것이 바람직하다”고 설명했다.

김학범 시큐브 상무는 “관리자의 업무를 줄일 수 있는 컴플라이언스 솔루션도 필요하지만, 컨설팅을 기반으로 한 솔루션 구축이 요구된다. 규제가 복잡해질수록 컨설팅은 필수가 될 것이다. 단순 체크리스트만으로는 변하는 규제를 준수할 수 없다”며 “또한 컨설팅 이후 컨설팅 결과를 실제 비즈니스에 반영하고 지속적으로 유지하는 것도 중요하다”고 덧붙였다. 



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.