정보보호관리체계(ISMS) 인증이 하반기 정보보안 컴플라이언스 시장의 주목할만한 사업으로 떠오르고 있다. 금융기관의 자율보안체계 구축과 함께 ISMS 인증을 신청하는 금융 관련 기업들이 늘고 있는 것이다. 보험·카드사 등 의무대상 기관 뿐 아니라 VAN사 등 의무대상이 아닌 기업들도 ISMS 인증을 신청하고 있는데, ISMS 수립을 통해 보안사고를 예방하며, 만일 사고가 발생했을 때에도 정보보호 체계를 유지해왔다는 사실을 어필하면서 책임을 덜기 위해서이다. ISMS 인증 시장을 살펴보고 인증과 유지관리를 지원하는 솔루션·컨설팅을 소개한다.<편집자>
ISMS 솔루션은 유와이즈원 ‘와이즈원ISMS’, 이볼케이노 ‘SWS(Secure Work System)’, 지란지교에스엔씨 ‘MISO(Management of Information Security Objects)’ 등이 대표적으로 꼽힌다. 정보보호 컨설팅 기업 씨드젠과 에이쓰리시큐리티는 컨설팅 경험을 자동화한 ‘솔리드 ISMS’, ‘알파인더-CMS’를 각각 공급하고 있다.
유와이즈원은 ISMS 솔루션 시장을 최초로 개척해왔으며, 가장 많은 고객사에 납품됐다는 점을 강점으로 내세운다. 이볼케이노는 비즈니스 프로세스 관리(BPM)과 밀접하게 연동된 ISMS 솔루션으로 업무를 수행하는 과정에서 ISMS 통제항목을 준수할 수 있게 한다는 점이 차별점이라고 강조한다.
보안기술 기반으로 설계한 ISMS 솔루션 ‘주목’
지란지교에스엔씨는 ISMS 솔루션 시장의 후발주자이지만, 계열사인 지란지교시큐리티의 보안기술을 적용해 이상적인 정보보호체계를 수립·유지할 수 있다는 점을 적극적으로 내세운다.
이성표 과장은 “ISMS 솔루션은 업무 담당자가 ISMS 인증 규정에서 적시하고 있는 통제항목을 수행하는지 체크하는 기능을 제공하고 있어 기술적인 장벽이 높지 않은 것이 사실”이라면서도 “그러나 ISMS 솔루션 3사 중 정보보호 기술을 기반으로 개발된 제품은 ‘MISO’가 유일하다. 이 점이 경쟁사 대비 차별점으로 인정받아 국내 대표적인 통신사, 금융사, 유통기업 등 대형 엔터프라이즈 고객에 적용됐다”고 말했다.
MISO는 ISMS 뿐만 아니라 PIMS, PIPL 등 다른 컴플라이언스도 통합지원할 수 있으며, 관리자가 통제항목을 추가·수정할 수 있어 비즈니스 특성에 따라 관리해야 하는 항목을 자유롭게 선택해 운영할 수 있다.
MISO는 지란지교에스앤씨가 유통을 담당하고 있는 다른 솔루션과 통합·연계될 수 있다는 점도 장점으로 꼽힌다. ▲지란지교소프트의 취약점 점검 솔루션 ‘브이필터’ ▲DDoS 모의훈련 솔루션 ‘넷스피어’ ▲외주인력 관리 시스템 ‘제이탑스’ ▲DB접근제어 ‘페트라’ ▲데이터 완전삭제 솔루션 ‘브란코’ ▲통합 로그관리 솔루션 ‘이너버스 로그센터’ ▲DB 암호화 솔루션 ‘시큐어DB’ 등과 연계해 ISMS에서 요구하는 기술·관리적 측면의 정보보호 체계 구성을 지원한다.
지란지교에스앤씨는 고객의 요구를 수용해 MISO를 통해 임직원 개인마다 보안정책 수행 수준을 진단할 수 있는 기능을 추가하는 한편 업무 프로세스에 보다 긴밀하게 연계될 수 있도록 제품의 기능을 업그레이드 할 방침이다.
개인화된 보안지수화 기능은 각 개인이 이수한 정보보호 교육 수준, 외부저장매체 이용빈도 등 각 개인이 업무상 진행한 행위를 분석해 정보보호 정책을 얼마나 지켰는지 지수화해 자발적인 보안정책 준수를 유도하도록 한다.
업무에 ISMS 통제항목 녹여야
ISMS는 기업 전반의 정보보호체계를 수립하는 것을 핵심내용으로 하고 있으며, 비즈니스 프로세스에 긴밀하게 통합돼 있는 것이 가장 이상적이다. 그러나 현실에서 BPM에 컴플라이언스 통제항목을 결합시키는 것은 어려운 일이다. BPM은 정형화된 업무를 규정하고 있기 때문에 수시로 변경되는 규제준수를 적용하는 것은 적절하지 못하다.
김진우 유와이즈원 ISMS 팀장은 “ISMS 솔루션은 비즈니스 특성과 업무 성격에 맞게 통제항목이 변경되기 때문에 정형화된 업무를 규정한 BPM에 연동시키는 것은 적절하지 않다. 다만 표준화된 업무 절차에 따라 ISMS 규제항목을 적용하고 상황에 따라 보안관리자와 업무 담당자가 수정·변경할 수 있도록 하는 것이 바람직하다”고 설명햇다.
일부 ISMS 솔루션은 전자결재 시스템이나 인사정보 시스템과 연동돼 업무 권한 변경에 따른 정보보호 준수항목을 자동으로 변경시킬 수 있도록 하고 있지만, 이러한 작업은 SI로 진행되는 대규모 프로젝트로 확대될 가능성이 있다. 또한 전자결재·인사정보 시스템도 업무를 정형화하기 때문에 컴플라이언스의 유연성을 지원하는데 한계가 있다.
김휘영 씨드젠 대표는 “ISMS 솔루션은 담당자가 사용하기에 편해야 한다. 전자결재시스템·인사정보 시스템과의 연동을 시도하려다가 시스템 구축과 커스터마이징에 많은 돈과 시간을 쓰는 것은 합리적이지 못하다”며 “ISMS 준수 항목을 제대로 수행하고 필요한 형식의 보고서를 산출할 수 있도록 자동화·단순화 하는 것이 좋다”고 설명했다.
표준화된 워크플로우 상에서 규제준수
그러나 ISMS 솔루션을 너무 단순하게 접근하다보면 체크리스트 수준의 솔루션으로 캘린더 수준에 머물게 된다는 문제가 있다. 단순 체크리스트 수준의 ISMS 솔루션이라면 입·퇴사하는 직원에 대한 정보보호 규제 항목, 인사·보직변경으로 인해 변경되는 통제항목, 조직 내외부와 협업시 정의해야 하는 통제항목 등을 모두 관리자가 다시 정의하고 배포하는 업무를 반복하게 된다.
황재윤 이볼케이노 대표이사는 “체크리스트 수준의 ISMS 솔루션은 도입 실효성이 없다. 정형화된 BPM에 ISMS를 통합하는 것은 어려운 일이지만, 어느 정도 표준화된 워크플로우를 정립한 후 이 안에서 컴플라이언스에서 요구하는 정보보호 절차가 준수될 수 있도록 하는 것이 좋다”고 설명했다.
그는 “대부분의 정보보호 컴플라이언스는 상당부분이 중복되는 업무를 규정하고 있기 때문에 중복되는 업무를 컴플라이언스의 통제항목과 매핑시켜 표준 업무 절차를 만드는 것이 좋다. 이와 같은 마스터 컴플라이언스를 중심에 두고, 개별 컴플라이언스에서 요구하는 통제항목을 추가하는 방식의 아키텍처가 가장 이상적인 컴플라이언스 솔루션”이라고 강조했다.
이볼케이노의 SWS는 자체개발한 BPM 엔진을 기반으로 ISMS, ISO27001, PIMS, PIPL 등 정보보호 관리체계를 지원한다. 이 제품은 테너블의 취약점 관리 솔루션 네서스와 연계돼 관리적 보안업무를 현업에 적용시킬 수 있다. 이 제품은 KISA 등 공공기관과 금융기관, 일반 기업 등 다양한 산업군에서 고객을 확보하고 있다.
