[ISMS-P①] 현업 협조·실행이 성공 요소
상태바
[ISMS-P①] 현업 협조·실행이 성공 요소
  • 김선애 기자
  • 승인 2018.10.29 16:42
  • 댓글 0
이 기사를 공유합니다

인증 기준 통합·현실화 한 ISMS-P 시행…규제준수만을 위한 인증은 실효 없어

ISMS와 PIMS가 통합된 ISMS-P가 시행되면서 정보보호 컴플라이언스 시장이 들썩이고 있다. 또한 글로벌 기준에 맞춘 개인정보보호법 개정안이 논의되고 있으며, 개인정보 비식별화와 비식별 정보의 보호에 대한 내용도 논의되고 있어 관련 업계에서도 촉각을 곤두세우고 있다. 정보보호 컴플라이언스 시장과 컨설팅 시장을 분석한다<편집자>

정보보호 컴플라이언스인 정보보호 관리체계(ISMS)와 개인정보보호 관리체계(PIMS) 인증이 통합된 ‘정보보호 및 개인정보보호 관리체계(ISMS-P)’가 시행된다. ISMS-P는 ISMS 인증기준 104개와 PIMS 인증기준 86개의 유사·중복 항목을 통합하고, 최신 보안요구사항을 반영해 102개의 인증 기준을 마련했다. ISMS 의무대상자는 ISMS와 ISMS-P 중 선택할 수 있으며, 개인정보의 흐름이 있는 조직인 ISMS-P 인증을 받는 것이 권고된다.

ISMS-P와 ISMS 비교 (자료: 한국인터넷진흥원)

‘인증만을 위한 인증’, 무용지물

ISMS 인증 제도에 대해서는 초기부터 많은 문제가 지적돼왔다. ISMS 인증을 받은 KT, 인터파크 등이 잇달아 해킹으로 인한 고객정보 유출사고를 일으키면서 ‘ISMS 무용론’이 급속히 확산됐다. 그러나 ISMS는 지속적으로 정보보호를 위한 업무 프로세스를 수립하고 유지하고 있다는 점을 검증하는 것이지, ‘해킹당하지 않는 안전한 시스템’이라는 사실을 보장하는 것은 아니다.

김영준 파이오링크 보안컨설팅사업실장은 “ISMS는 기업 전반의 정보보호 관리체계에 대한 보편적인 기준을 제안한 것이다. ISMS 인증을 받았다고 해서 보안을 잘 갖췄다고 할 수 없다. 인증 심사 시점에 맞춰 규제준수 항목만을 만족시키는 방식으로 한다면 ISMS 인증을 받았다 해도 보안이 잘 갖춰진 조직이라고 할 수 없을 것”이라고 지적했다.

ISMS가 가진 한계 중 가장 해결하기 어려운 난제로 꼽히는 것이 인증심사원 문제이다. 실력있는 전문 심사원은 대부분 관련 컨설팅·서비스 기업에 소속돼 있어 현장 점검을 위한 시간을 내기가 어렵다. 또한 대부분의 인증 심사가 연말에 몰려 심사원을 확보하는 것이 쉽지 않으며, 짧은 기간 동안 방대한 범위의 정보보호 체계 점검이 쉽지 않다.

이러한 문제를 개선하기 위해 ISMS-P에서는 심사원 등급을 재산정해 ISMS, PIMS 심사 경력을 합산해 신규 등급으로 조정하며, 선임심사원 등급도 초기화해 ISMS-P 심사참여로 개선하고 등급을 새롭게 지정하도록 했다.

김선미 한국인터넷진흥원 보안수준인증팀장은 “인증 심사원과 심사기간이 부족하다는 것은 해결하기 매우 어려운 문제다. 전문 심사원을 투입해 충분한 기간 동안 제대로 인증 업무를 수행하기 위해서는 인증심사원의 심사비를 현실화해야 하는데, 그렇게 되면 인증심사 수수료가 높아져 기업에 부담이 된다”며 “ISMS-P 인증심사원은 심사 횟수, 일수 등을 고려해 새로운 심사원 등급을 마련해 현실적인 문제를 일부 개선하고자 하고 있다. 앞으로도 관계부처와 협의해서 실제 효과가 있는 인증 심사 업무가 될 수 있도록 노력하겠다”고 말했다.

임직원 참여·이행 의지 ‘절실’

ISMS와 ISMS-P 인증을 받기 위해서는 가장 먼저 인증 범위와 그에 따른 예산을 준비해야 한다. ISMS는 정보서비스 전반의 안정성과 신뢰성 확보를 위한 것이고, ISMS-P는 이에 더해 개인정보의 흐름에서 처리 단계별 보안을 위한 것이다. ISMS 대상과 ISMS-P 대상을 분석·분류하고 전담 부서와 인력을 배치해야 한다.

특히 ISMS-P는 개인정보를 취급·처리하는 현업부서가 포함되기 때문에 현업의 참여를 독려해야 한다. 기존에 정보호호 조직과 개인정보보호 조직이 각각 따로 ISMS와 PIMS 인증 업무를 수행했다면 ISMS-P에 맞게 통합·연계하는 과정도 필요하다.

양미향 SSR 관리컨설팅그룹 이사는 “ISMS-P는 현업부서의 협조와 실행이 핵심성공 요소다. 정보자산의 소유주체는 그 정보를 생성하고 활용하는 사람이다. 현업부서가 그러한 사항을 인식하는 것이 정보보호 관리의 시작이다”라고 조언했다.

ISMS/ISMS-P 인증을 획득한 후 유지관리를 도와주는 솔루션을 이용하는 것도 좋은 방법이다. 이러한 솔루션은 사람이 직접 관리하기 어려운 정책 이행 사항을 자동화한다. 규제에서 요구하는 증적관리, 보고서 작성, 업무별·단계별 이행사항 점검 등을 수행해 관리자의 실수, 부주의 혹은 고의로 인해 규제준수 위반 요건이 발생하지 않도록 도와준다.

이와 같은 컴플라이언스 시장에서는 지란지교에스앤씨 ‘미소’, 인성정보 ‘와이즈ISMS’, 씨에이에스 ‘시큐어GRC’ 등이 경쟁하고 있으며, ISMS를 비롯한 국내 주요 보안 규제, ISO27001, PCI DSS, EU GDPR 등 글로벌 주요 보안 규제까지 지원할 수 있다.

정세웅 지란지교에스앤씨 이사는 “ISMS 인증을 획득한 기업/기관이 늘어나면서 규제준수 요건을 자동화하는 솔루션에 대한 수요도 꾸준히 늘고 있다. 특히 최근 국내외 보안관련 규제가 강화되면서 솔루션을 찾는 고객도 다양해지고 있다”며 “지란지교에스앤씨는 관련 컨설팅과 솔루션을 함께 제공하면서 경쟁력을 얻고 있다. 내년에는 정보보호 전문기업 지정을 신청하고 본격적으로 서비스 시장에 진출할 것”이라고 말했다.

보안관제의 관점에서 규제준수와 보안 관리 업무 효율성을 높이는 제품도 등장해 주목받는다. 시야인사이트는 정보보호 업무관리 솔루션 ‘시야 ISMS’, 증적관리 솔루션 ‘시야 히스토리’를 출시하면서 컴플라이언스 시장에 뛰어들었다.

임형준 시야인사이트 대표는 “업계에 이미 많은 경쟁사가 컴플라이언스를 지원하는 솔루션을 내놓고 있지만, 전사 통합 관점의 솔루션이 아니라 규제준수만을 위한 포인트 솔루션에 그치고 있다”며 “시야인사이트의 솔루션은 이종 시스템을 연동하고 통합해 전사 차원의 규제준수 업무를 돕는다. 다양한 인증에 필요한 업무와 증적관리 시스템을 자동으로 알려줘 관리 소홀로 인한 규제준수 위반 소지를 막을 수 있다”고 설명했다. 



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.