올해 새롭게 시작되는 정보보호 컴플라이언스 중 정보보호관리체계(ISMS)는 기존의 정보보호 안전진단 제도를 개편한 것으로, 대상 기업/기관은 반드시 연내 인증을 받아야 한다. 단 지난 2월까지 유지된 안전진단 인증을 획득한 곳은 내년 2월까지 인증이 유지되므로 의무 기간이 유예된다.
ISMS 인증 의무기한이 3개월 앞으로 다가왔지만, 인증을 획득한 기업은 그리 많지 않다. 인증기관인 한국인터넷진흥원에 따르면 정보보호 안전진단을 포함해 ISMS 인증을 획득한 기업/기관은 총 165개이며, 올해 인증을 획득한 곳은 14개에 불과하다. 의무화 대상이 350여곳으로 파악되고 있는데, 인증을 획득한 기관은 절반에도 미치지 않는다.
ISMS 인증에 기업/기관이 소극적인 태도를 보이는 가장 큰 이유는 제도에 대한 이해 부족 때문이라고 볼 수 있다. 자사가 인증대상 기관인지조차 모르는 기업이 상당히 많다.
안랩 컨설팅사업본부장 방인구 상무는 “기존 안전진단 의무대상 기관은 공공·통신·금융 등 대기업이 주를 이뤘으며, 보안조직이나 시스템이 잘 갖춰져 있었기 때문에 정보보안 관련 인증이나 규제에 대한 이해가 높았다. 그러나 ISMS로 변경되면서 새롭게 추가된 곳은 중견 서비스 기업들이 많아 규제에 대한 이해가 상당히 낮은 편이며, 규제를 이행하고자 하는 의지도 상당히 약하다”고 말했다.
실제로 많은 기업들이 ISMS 인증 대상이라는 사실을 알고도 이행을 미루는 경우가 많은데, 규제준수를 위해 투자해야 하는 비용보다 과태료가 더 낮기 때문이라고 변명한다. ISMS를 위해 컨설팅을 하고 필요한 보안 시스템을 구축하는 비용, 인증 수수료, 인증을 완료하기 까지 투입돼야 하는 전담인력 등을 감안하면, 차라리 규제 미준수로 인한 과태료가 훨씬 경제적이라고 생각한다.
중복되는 규제 많아 규제준수 의지 약화
보다 근본적인 문제는 규제를 이행하고자 하는 정부의 의지가 보이지 않는다는 것이다. 지능형 공격이 성행하고, 대다수 국민의 개인정보를 탈취당하면서 정부는 수많은 정보보호 관련 규제를 쏟아냈다. 그러나 대상 기업/기관들이 규제를 준수하는지 관리·감독하는 기관이 없어 규제가 효과를 발휘하지 못하는 실정이다.
중복되는 규제가 너무 많아 기업/기관의 규제준수 의지를 약화시킨다는 부정적인 결과가 나타나는 것도 가볍게 볼 수 없는 문제다. 정부에 정보보호 컨트롤타워가 없는 상황에서 각 부처에서 제각각 규제를 신설하고 있지만, 실제 규제준수 대상 기업/기관의 이행 의지는 상당히 약한 편이다.
ISMS는 ISO27001을 기반으로 국내 상황에 맞게 조정한 것으로, 미래창조과학부에서 주관한다. 정부·공공기관을 대상으로 하는 G-ISMS가 별도로 있으며, 내년에 통합된다. 방송통신위원회에서는 개인정보보호관리체계(PIMS) 인증제도를 마련해 기업이 개인정보 보호 활동을 체계적·지속적으로 수행할 수 있도록 한다. PIMS는 국제표준을 추진하고 있다.
공공기관을 대상으로 안전행정부가 개인정보 영향평가(PIA) 제도를 마련해 이행중이다. 안행부는 민간기업을 대상으로 한 개인정보 보호수준 인증제(PIPL)를 마련해 연내 시행할 예정이다. PIPL은 기업/기관의 개인정보 보호체계와 개인정보 보호활동의 수준을 측정해 공공기관, 대기업, 중소기업, 소상공인용으로 인증마크를 구분해 발급한다.
ISMS는 기업/기관의 정보보호 체계가 전반적으로 잘 구축됐는지, 보안 수준을 지속적으로 유지할 수 있는지 살펴보는 것이며, PIM, PIA, PIPL은 개인정보 보호 체계를 갖췄는지 살펴본다. 그러나 세부 내용은 크게 다르지 않으며, 인증에 필요한 비용만 중복해서 투입된다는 지적이 있다. 기업들은 규제완화를 통한 경제 활성화를 주장하면서 의무화 시점을 미루거나 재개정을 강력하게 요구하고 있는 상황이다.
중복되는 규제가 많다고 해서 규제준수를 위한 노력을 소홀히 해서는 안 된다. 단지 컴플라이언스만을 위해서가 아니라 기업의 경쟁력에 치명적인 영향을 받을 수 있기 때문이다. 보안사고가 발생하면 기업의 자산이 파괴되거나 경쟁사에 유출돼 엄청난 피해를 입게 될 뿐 아니라 기업 신뢰도가 하락해 장기간 회복하기 어려운 상황에 직면할 수 있다.
김휘영 씨드젠 대표이사는 “최근 새롭게 신설되거나 개정·강화되는 많은 규제로 인해 기업/기관이 어려움을 호소하는 것은 당연하다. 정부 부처들이 제각각 규제를 발표하는데, 정보보안 체계를 각 규제에 맞추려 하다보면 중복되는 부분이 많을 수 밖에 없다”며 “그러나 대부분의 인증 제도가 처음 인증 받을 당시의 정보보호 체계를 지속적으로 유지할 수 있는지 살펴보고, 정기적으로 재인증을 수행하기 때문에 기업/기관의 정보보호 체계를 일정한 수준으로 유지할 수 있다는 것은 매우 중요하다”고 말했다.
ISMS 의무 대상은 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률(정통망법)’에 의해 기간통신사업 허가를 받은 서울시·광역시에서 정보통신망 서비스 제공사업자와 인터넷 데이터센터(IDC), 전년도 매출액 100억원 이상 또는 전년도말 기준 3개월간 일일평균 이용자 수 100만 명 이상인 정보통신서비스 제공 사업자 등이 대상이다. 온·오프라인 물품판매를 병행할 경우 정보통신망을 이용한 서비스에서 발생된 매출을 기준으로 대상자를 선정한다.
인증심사는 최초심사, 재심사, 사후관리, 갱신심사로 구분되며, 기본적으로 인증유효기간은 3년, 인증취득 후 1년 에 1회 이상 사후 심사를 받아야 한다. 인증을 신청한 기관이 인증심사 신청을 하고 인증서 발급을 받기까지 약 3개월이 소요된다. 인증심사는 기술심사와 문서심사로 구분되며 기본적으로 하루 4명의 심사원이 참여해 심사를 진행한다. 인증심사에서 발견된 결함에 대해서는 신청기관이 보완조치를 할 수 있도록 한달의 시간을 주며 보완조치가 완료된 후 인증위원회를 개최해 심사결과에 대한 최종 심의를 한 후 인증여부를 결정한다.
이성표 유와이즈원 ISMS 매니저는 “ISMS를 준비하는 많은 기업들이 인증만을 위해 ISMS 체계를 구축하기 때문에 인증획득 이후 정보보호 활동을 소홀히 한다는 문제가 있다. 이처럼 형식적으로 ISMS 체계를 수립해서는 안 되며, 지속적이고 실질적인 정보보호관리체계를 구축해야 재인증 시 시간과 비용을 절약할 수 있다”며 “정보보호 업무 및 활동에 대해 ISMS 요건별로 구분하고 직무분장과 R&R 정의를 명확하게 해 체계적으로 구성해 업무를 수행하고 증적을 쌓도록 해야 한다”고 조언했다.
ISMS는 인증에만 3개월이 소요되기 때문에 컨설팅과 시스템 구축, 2개월의 증적을 쌓는 기간까지 감안하면 6개월 내외의 기간이 소요될 것으로 예상해야 한다. ISMS 인증 준비를 통해 전임직원이 정보보호의 생활화와 정보보호 의식을 제고할 수 있어야 하며, 무엇보다 의사결정권자의 강력한 의지가 필요하다.
규제준수 위한 컨설팅 필수
보안업계에서 ISMS 시장은 300억원에 이를 것으로 예상한다. 컨설팅과 시스템 구축, 인증 획득 후 유지관리까지 포함한 것으로, ISMS에서 요구하는 프로세스를 자동화하는 패키지 시스템도 속속 출시되면서 컨설팅 시간과 비용을 절감할 수 있는 방법을 제안하기도 한다.
현재 ISMS 심사 업무는 KISA에서 진행하고 있는데, 전문위원이 부족해 인증 요청을 해도 몇 개월을 기다려야 하는 상황이다. ISMS 인증을 위한 준비를 일찌감치 마쳤다 해도 KISA 업무 과부하로 인해 연내 인증 획득은 어려운 상황이다. 이 때문에 ISMS 인증 심사 기관을 민간에 위탁하는 방안도 제안되고 있으나 미래부는 PIPL이라는 새로운 규제를 마련하고 있는 상황이어서 민간위탁까지 이뤄질지는 예측하기 어렵다.
ISMS 컨설팅 시장도 수요에 비해 공급이 턱없이 부족한 상황이다. 인증 기준이 수시로 바뀌고 있으며, 정부부처가 계속 다른 규제를 만들어내고 있어 일반 기업에서는 이를 정확하게 따라가기 어렵다. ISO와 같은 국제인증을 획득한 기업 일부에서 자체적으로 ISMS를 준비하고 있지만, 국내 기준이 상당히 까다로운 편이어서 전문기관의 컨설팅 서비스가 필수적으로 요구된다.
방인구 안랩 상무는 “아무리 정보보안 체계가 잘 갖춰진 조직이라 해도 ISMS에서 요구하는 업무에 대한 정보보호 체계를 완벽하게 갖추기는 어렵다. 프로세스와 시스템을 정비한 후 사후 관리는 기업 자체에서 진행한다 해도, 초기 컨설팅은 반드시 필요하다”며 “특히 여전히 수기에 의존해 정보자산을 관리하는 조직이 많아 세부적인 부분까지 꼼꼼하게 따져보려면 컨설팅을 받는 것이 좋다”고 조언했다.
