“마스터 컴플라이언스로 정보보안 규제 요건 만족”
상태바
“마스터 컴플라이언스로 정보보안 규제 요건 만족”
  • 김선애 기자
  • 승인 2015.10.01 17:45
  • 댓글 0
이 기사를 공유합니다

황재윤 이볼케이노 대표이사 “표준 워크플로우 기반 ISMS 인증 솔루션으로 업무 자동화”

정보보호체계(ISMS) 인증 의무화가 본격적으로 시행된지 2년여 지나면서 의무화 대상 기업들이 ISMS 인증 유지를 위해 자동화된 솔루션을 찾기 시작했다.

ISMS 인증은 초기 인증을 받은 후 매년 사후심사를 받아야 하며, 3년 후 재심사를 받아야 한다. 사후심사에서는 ISMS 인증을 받은 관리항목이 꾸준히 지켜지고 있다는 사실을 입증해야 하는데, 처음 인증 받은 것과 동일하게 총 5단계의 정보보호 관리과정, 13가지의 정보보호 대책 총 104개의 통제항목이 지속적으로 관리되고 있다는 사실을 보여줘야 한다.

이 104개의 통제항목이 각 해당 업무부서에서 준수될 수 있도록 관리해야 하며, IT나 보안조직에서 일일이 체크하고 관리하기가 쉬운 일이 아니다. 가장 이상적인 방법은 BPM에 ISMS 통제항목을 접목시키는 것이다. 그러나 BPM은 정형화된 업무 체계로 시스템화 된 것이며, ISMS는 규제항목의 변경이나 업무 특성 변경 등 상황에 따라 유연하게 변화·적용돼야 하기 때문에 BPM에 녹이는 것은 어려운 일이다.

황재윤 이볼케이노 대표이사는 “비즈니스 부서에서는 조직개편, 인사이동을 통해 매번 변경되고 있으며, 한시적으로 진행되는 프로젝트가 발생하는 등 시시각각 많은 변화가 일어난다. 매번 변경이 일어날 때 마다 ISMS 통제항목에서 해당하는 규제사항을 찾아내는 것은 매우 번거로울 뿐 아니라 실수에 의한 누락이 발생할 가능성이 높다”며 “이러한 문제를 해결하기 위해 ISMS 인증과 사후유지를 도와주는 자동화된 솔루션이 필요하다”고 말했다.

중복되는 보안규제 효과적인 지원 솔루션 필요

황 대표는 “국내에서 경쟁하고 있는 ISMS 솔루션 자체의 기술적 차별점이 없는 것처럼 보이지만, 장기적으로는 업무를 진행하면서 규제를 준수할 수 있도록 하는 방법이 선택되게 될 것”이라며 “단순히 104개 통제항목 준수 여부만 체크하는 방식은 현재 당면한 문제는 해결할 수 있지만, 기업이 지켜야 하는 수많은 컴플라이언스를 지원하는데 한계가 있을 수 밖에 없다”고 말했다.

현재 기업들은 ISMS, PIMS, PIPL 등 다양한 정보보안 규제를 준수해야 하며, 금융기관은 금융감독당국의 수많은 규제를 만족시켜야 한다. 정보통신망법, 개인정보보호법 등에서 정하고 있는 규제도 상당수에 이르며, 이 중 상당부분은 중복되는 내용이지만 관할기관이 다르고 요구하는 보고서의 형식 등이 달라 규제준수 업무에 비효율성이 매우 심하다.

황 대표는 “대부분의 규제 내용은 대부분 중복되는 내용으로, 이를 표준화된 워크플로우로 만든 다음, 개별 규제를 만족시킬 수 있는 내용을 업무에 녹이는 방법이 가장 이상적이다. BPM은 정형화된 업무만을 규정할 수 있지만, 표준 워크플로우를 기반으로 유연성을 높인 비즈니스 프로세스를 만들면 업무를 수행하면서 규제준수 요건도 만족시킬 수 있는 현실적인 대안이 될 수 있다”고 설명했다.

황 대표는 ‘마스터 컴플라이언스’를 통해 70~80%의 컴플라이언스를 만족시킬 수 있으며, 기업/기관의 비즈니스 특성에 따라 준수해야 하는 규제를 적용하면 보다 쉽게 규제준수가 가능하다고 제안했다.

이러한 이상에 따라 개발된 SWS는 KISA와 중앙정부기관, 국내 대표적인 통신사, 금융기관 등에 공급됐다. 이볼케이노는 SWS에 취약점 관리 솔루션을 연동시켜 취약점 관리 요건도 준수할 수 있도록 한다.

황 대표는 “정보보안 사고로부터 비즈니스를 보호하기 위해서는 보안 시스템과 체계를 만드는 것도 중요하지만 컴플라이언스 준수를 통해 평소 정보보안을 위해 최선의 노력을 다해왔다는 사실을 증명해야 한다. 수많은 컴플라이언스 요건을 효과적으로 준수할 수 있는 방법이 시급히 필요한 시점”이라고 덧붙였다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.