정보보호관리체계(ISMS) 인증이 하반기 정보보안 컴플라이언스 시장의 주목할 만한 사업으로 떠오르고 있다. 금융기관의 자율보안체계 구축과 함께 ISMS 인증을 신청하는 금융 관련 기업들이 늘고 있는 것이다. 보험·카드사 등 의무대상 기관 뿐 아니라 VAN사 등 의무대상이 아닌 기업들도 ISMS 인증을 신청하고 있는데, ISMS 수립을 통해 보안사고를 예방하며, 만일 사고가 발생했을 때에도 정보보호 체계를 유지해왔다는 사실을 어필하면서 책임을 덜기 위해서다. ISMS 인증 시장을 살펴보고 인증과 유지관리를 지원하는 솔루션·컨설팅을 시리즈로 소개한다.<편집자>
금융보안원이 7월 미래창조과학부로부터 정보보호관리체계(ISMS) 인증과 인증심사를 일괄 수행하는 인증기관으로 지정받은 후 9월 금융사와 전자금융업자를 대상으로 설명회를 열고 ISMS 인증사업을 본격화하고 있다. 최근 금융기관이 자율보안체계를 구축하는 과정에서 정보보호 관련 컴플라이언스 요건을 맞춰가고 있는 상황으로, 하반기 ISMS 컨설팅과 솔루션 시장이 성장의 기회를 맞을 수 있을 것이라는 기대가 높다.
김영태 금융보안원 ISMS 인증센터 팀장은 “최근 금융보안원에 ISMS 인증 관련 문의를 해오는 기업 중에서는 ISMS 의무규정에 적용되는 기관 뿐 아니라 VAN사 등 의무대상이 아닌 기업들도 다수 있다. 이들은 ISMS 인증과 유지를 통해 정보보호를 위한 노력을 기울여왔다는 사실을 인정받고자 한다”고 말했다.
ISMS, 인증보다 사후 유지관리가 더 중요
ISMS 인증심사 기준은 총 5단계의 정보보호 관리과정, 13가지의 정보보호 대책으로 이뤄지며, 총 104의 통제사항으로 구성돼 있다. 따라서 정보보호 요구사항, 위험 분석, 위험 관리 등 해당 통제 항목에 대해 먼저 이해하는 것이 중요하며, 이 항목에 대한 이해를 바탕으로 104개의 통제항목의 기준에 맞춰 현업부서와 협력하여 업무를 수행하고 해당 증적을 쌓아야 한다.
ISMS 인증보다 사후 유지관리가 더욱 중요하다. ISMS 인증 획득 후 매년 사후심사를 받아야 하며, 3년이 지나면 재심사를 받아야 한다. 사후심사에서는 ISMS 인증을 받은 관리항목이 꾸준히 지켜지고 있다는 사실을 입증해야 한다.
ISMS 의무화 적용대상 기업 중 일부는 자체인력만으로 ISMS 인증을 수행하기도 했다. 그 중 일부는 ISO27001 인증 획득 경험이 있기 때문에 자체 리소스만으로 ISMS 인증이 가능하다고 주장하기도 했다.
그러나 이러한 기업 중 상당수가 사후심사를 위해 ISMS 준수를 도와주는 자동화된 시스템을 구축하고 있다. ISMS 외에 다른 정보보안 규제를 통합해 정보보안 컴플라이언스를 체계화하려는 노력도 진행되고 있다.
이성표 지란지교에스앤씨 과장은 “고객 중에서는 ISMS 인증 업무를 담당하는 직원들이 인증과 사후심사만 완료되면 퇴사하는 일이 반복된다고 토로하기도 한다. ISMS 인증과 사후심사를 위해 점검해야 하는 수많은 항목을 관리하는 과정에서 많은 업무부담을 지게 되기 때문”이라며 “ISMS 인증 및 유지를 위해 자체 인력과 조직에만 의존하기보다 전문기업의 서비스와 솔루션의 지원을 받는 것이 바람직하다”고 말했다.
ISMS 인증·유지관리 자동화 솔루션 부상
ISMS의 통제항목은 개인정보보호관리체계(PIMS), 개인정보보호인증제(PIPL), 개인정보영향평가(PIA) 등 다른 정보보호 컴플라이언스와 상당부분 중복되거나 유사한 면이 있다. 그러나 각 컴플라이언스별로 주관하는 기관이 다르고, 증적자료와 보고서 형태가 다르기 때문에 통제항목 준수를 위해 같은 업무를 몇 번 반복해야 한다는 문제가 있다.
또한 수백가지에 이르는 통제항목을 보안관리자가 이메일, 메신저 등을 이용해 해당 담당자에게 알려주는 방식으로는 보안관리자의 업무가 과중해지며 현업의 담당자로부터 업무증가에 대한 불만을 사게 돼 큰 스트레스를 받게 된다.
이러한 문제를 해결할 수 있는 자동화된 패키지 솔루션이 공급되고 있어 정보보안 관련 인증업무를 담당하는 보안관리자는 관심을 갖고 검토해 볼만하다. ISMS 솔루션은 정보보호 활동을 자동화하거나 대신해 주지는 않지만, ISMS 인증과 유지관리, 증적자료 관리 등을 지원해 정보보호 체계 개선이나 인증심사를 도와준다.
이 제품은 ▲보안활동을 증명할 수 있는 증적 통합 관리 ▲정보보호 체계의 지속적 유지를 위한 관련 자료 DB화 ▲담당자의 업무 부담 해소 및 업무 효율성 증대를 위한 주기별 업무수행 알림 ▲전사 정보보호 수준 파악 및 점검현황 파악을 위한 모니터링 등의 기능을 제공하며, 주요 활동 중심의 프로세스를 시스템화해 관리하므로 보안체계 및 보안수준을 지속적으로 유지할 수 있다.
김휘영 씨드젠 대표이사는 “ISMS 솔루션이 단순한 체크리스트나 산출물 업로드 기능에 머물러서는 안된다. 증적관리·인증업무 자동화와 변경되는 통제항목을 반영할 수 있어야 하고, ISMS 각 단계별 태스크를 지원하고 보고서의 자동생성시키며, 심사원들의 권한을 따로 만들어 인증시에 문서 출력을 최소화하고 자동화된 형태를 지원 하는 등의 기능을 갖춰야 한다”고 설명했다.
