[ISMS③] 금융권 중심 ISMS 시장 성장 ‘기대’
상태바
[ISMS③] 금융권 중심 ISMS 시장 성장 ‘기대’
  • 김선애 기자
  • 승인 2015.10.08 16:27
  • 댓글 0
이 기사를 공유합니다

현업 함께 참여해 ISMS 인증·사후관리 프로세스 정립해야…통합 컴플라이언스로 규제준수 효율 높여

정보보호관리체계(ISMS) 인증이 하반기 정보보안 컴플라이언스 시장의 주목할만한 사업으로 떠오르고 있다. 금융기관의 자율보안체계 구축과 함께 ISMS 인증을 신청하는 금융 관련 기업들이 늘고 있는 것이다. 보험·카드사 등 의무대상 기관 뿐 아니라 VAN사 등 의무대상이 아닌 기업들도 ISMS 인증을 신청하고 있는데, ISMS 수립을 통해 보안사고를 예방하며, 만일 사고가 발생했을 때에도 정보보호 체계를 유지해왔다는 사실을 어필하면서 책임을 덜기 위해서이다. ISMS 인증 시장을 살펴보고 인증과 유지관리를 지원하는 솔루션·컨설팅을 소개한다.<편집자>

통합 컴플라이언스 솔루션으로 발전

현재 시장에 공급되고 있는 ISMS 솔루션 자체의 기술적인 수준이 높은 편이라고 할 수는 없다. 그러나 단순한 기능이라고 해서 쉽게 개발해 사용할 수 있는 것도 아니다. ISMS에서만 관리해야 할 항목이 100개가 넘으며, 다른 컴플라이언스에서도 요구하는 항목까지 추가하면 수백개에 이르는 항목을 업무에 통합시켜야 한다.

기업과 비즈니스의 특성에 따라 요구되는 컴플라이언스가 각각 다르고, 일부 규제는 충돌이 일어나는 부분도 있기 때문에 다양한 기업에 구축한 경험도 중요한 기술적 고려사항이 된다.

ISMS 의무대상은 대부분 공공·엔터프라이즈 등 대규모 조직이기 때문에 수많은 현업 담당자의 업무 특성에 맞출 수 있는 유연한 아키텍처가 필요하다는 점도 간과해서는 안된다. 엔터프라이즈에서는 하루에도 수시로 입·퇴사자와 업무 및 보직이 변경되는 사람들이 있으며, 수많은 프로젝트가 결성됐다 해제되면서 업무가 변경되고 협업이 진행됐다가 종료되는 일이 발생한다.

비정형적이며, 수시로 바뀌는 업무 상에서 정보보호 통제항목을 준수할 수 있도록 지원하기 위해서는 대규모 사용자 환경에서 ISMS 솔루션을 구축·운영해 본 경험이 중요하게 평가될 수 있다. 이상적인 아키텍처로 솔루션을 설계했다 해도 현업에 적용했을 때는 예상하지 못했던 문제가 발생하기 마련이며, 이를 해결하기 위해서는 다양한 경험을 통해 축적된 노하우가 필요한 것이다.

김진우 유와이즈원 ISMS 팀장은 “와이즈원ISMS가 ISMS 솔루션의 ‘원조’”라며 “시장을 처음으로 만들고 확장하는 과저에서 축적된 전문성을 후발업체가 따라올 수 없다. ISMS 솔루션의 기술적인 장벽이 높지 않기 때문에 구축과 운영의 전문성이 더 중요하다”고 강조했다

와이즈원ISMS는 보안 담당자는 물론이고 현업의 담당자들이 ISMS 통제항목을 제대로 파악하지 못하고 있다고 해도 시스템에서 자동으로 처리해준다. 업무를 진행하는 과정에서 할당되는 정보보호 업무를 수행하면 인증심사를 위한 증적자료로 남게 되며, 이를 자동으로 수집해 인증심사에 활용할 수 있게 된다.

유와이즈원은 컨설팅을 통해 업무체계를 정립하고, ISMS 솔루션을 통해 집중 관리해 조직의 보안수준을 지속적으로 향상시킬 수 있도록 지원한다. 담당자의 업무부하를 낮추고 차기 ISMS 인증에 소요되는 비용과 기간을 단축시킬 수 있다.

표준 컴플라이언스 중심의 규제준수 전략

(자료: 금융보안원)

ISMS 인증 심사와 사후 관리를 자체적으로 하는 기업도 있지만, 최근에는 정보보호 컴플라이언스를 통합해 비즈니스 전략 차원의 컴플라이언스를 시도하는 기업들도 늘고 있다. 개별 컴플라이언스에 매달리다보면 비즈니스의 장기적인 비전과 전략을 수립하기 어려우며, 규제항목이 수정될 때 마다 개별 컴플라이언스 전략을 일일이 수정해야 한다는 문제가 있다.

성경원 SK인포섹 컨설팅2팀장은 “수많은 규제준수 요건에 직면해 있는 금융기관이 통합컴플라이언스를 구축하고자 하는 의지를 보이고 있다. 금융기관이 자율보안체계를 확립하도록 하면서 보안사고가 발생하면 해당 기관과 CEO에게 책임을 묻게 돼 있기 때문에 상위 의사결정권자가 모든 컴플라이언스를 체계적으로 관리할 수 있기를 바라고 있다”고 설명했다.

그러나 그는 “통합 컴플라이언스 체계 구축은 결코 쉬운 일이 아니며, 앞선 선례를 찾아봐도 성공적으로 진행된 사례로 꼽을 수 있는 케이스가 거의 없다. 해당 기업과 컨설팅 기업, 법무법인, IT 기술기업 등이 협업해서 진행해야 하며, 장기간에 걸쳐 막대한 비용이 투입돼야 하기 때문에 쉽게 시도할 수 있는 작업은 아니다”고 말했다.

통합 컴플라이언스가 추구하는 이상에 도달하지는 못하지만, 복수의 정보보호 규제들이 요구하는 가장 중요한 요소를 표준화해 비즈니스에 적용하는 수준의 통합은 현재도 가능할 것으로 보인다. 정보보호 컨설팅과 규제준수를 도와주는 솔루션을 도입하면 효과를 더욱 높일 수 있다. 컴플라이언스에서 요구하는 규제요건을 솔루션을 통해 자동화함으로써 담당자의 업무부담을 경감시킬 수 있으며, 실수로 인한 누락이나 잘못된 규제 적용으로 인한 문제를 해결할 수 있다.

김진우 유와이즈원 팀장은 “ISMS를 포함해 정보보호 관련 인증을 수행할 때 시스템을 완성한 후 일정기간 동안 운영해 봐야 인증심사 요건을 갖출 수 있다. 인증심사를 준비하는 과정에서부터 컨설팅과 솔루션을 함께 고려하면 컨설팅 결과에 따라 솔루션과 시스템을 구축하고, 규제준수를 자동화시켜 시범운영기간 동안 증적자료를 확보해 인증심사를 용이하게 통과할 수 있다”며 “인증 획득 후에도 시스템을 지속적으로 운영하면 사후심사와 재심사에 소요되는 시간과 비용을 크게 줄일 수 있다”고 설명했다.

보험·카드사 ISMS 인증 수요 발생

(자료: 금융보안원)

현재 ISMS는 금융권에서 가장 많은 수요가 발생하고 있다. 제1금융권과 증권사는 대부분 ISMS 인증을 완료했으며, 보험사, 카드사에서 ISMS 인증을 준비하고 있으며, 2013년 인증을 획득한 기업들이 사후심사를 거쳐 내년 재심사를 앞두고 있어 이와 관련된 시장의 수요가 늘어날 것으로 기대된다.

성경원 SK인포섹 컨설팅2팀장은 “이미 2013년과 2014년 의무대상 기업이 ISMS 인증을 완료했으며, 현재는 매년 사후심사를 진행하는 상황으로, 초기와 같은 대규모 투자가 발생하지는 않을 것”이라면서도 “그러나 자체 리소스만으로 최초 인증을 수행한 기업에서 추가적인 컨설팅과 솔루션 구축 수요가 발생하고 있는 것도 사실이다. 올해 하반기 이후 ISMS 시장은 다시 활기를 찾게 될 것”이라고 내다봤다.

자체 인력으로 ISMS 인증을 받은 기업들이 현재 직면해 있는 문제는 ISMS 인증업무를 담당했던 직원이 계속 해당 업무를 맡지 않는다는데 있다. 매년 다른 사람이 해당 업무를 맡다보면 업무 연속성이 떨어지고 실수와 관리소홀로 인한 규제 미준수가 발생할 수 있다. 따라서 제대로 된 컨설팅을 통해 정보보호 관리체계를 수립한 후 솔루션의 도움을 받아 규제준수 요건을 유지할 수 있도록 하는 것이 바람직하다.

성 팀장은 “기업이 자체 리소스로 인증을 완료한다 해도 해당 업무에만 집중할 수 있는 인력을 충분히 고용하지 못한다. 대부분 한두명의 인력이 인증업무를 담당하는데, 퇴사나 인사이동으로 업무가 바뀌었을 때 업무 연속성을 유지할 수 없다. 컴플라이언스를 위해서는 외부 전문가의 도움을 받아 꾸준히 규제준수 요건을 유지할 수 있는 기반을 만드는 것이 좋다”고 설명했다.

SK인포섹은 국내 대표적인 정보보안 컨설팅 전문기업으로, 가장 고도화된 컨설팅 전문가를 확보하고 있으며, 가장 많은 경험을 축적하고 있다는 점을 경쟁사 대비 차별화된 점으로 꼽는다.

씨드젠 역시 컨설팅 전문기업으로, 전문화된 ISMS 컨설팅과 ‘솔리드ISMS’ 솔루션을 제공해 인증 획득 후 사후관리까지 지원한다는 점을 경쟁력있는 차별점으로 소개한다.

김휘영 씨드젠 대표이사는 “ISMS 인증은 스냅샷을 찍어서 그 시점에 잘하고 있는 것을 보는게 아니라 관리과정을 통해서 해당 조직의 보안이 관리되고 있는지를 평가하는 것”이라며 “씨드젠은 전문 컨설팅을 통해 ISMS 인증에 필요한 요소를 기업이 갖추도록 도와주고 있으며, 인증 자동화 솔루션 솔리드ISMS를 통해 인증획득과 유지를 자동화 시켜준다. 이 제품은 사람이 할일과 컴퓨터가 할일을 나누고 컴퓨터가 할일은 자동화해 사람이 할일을 최소화한다”고 설명했다.

보안·현업 참여하는 TF로 전사 규제준수 전략 수립해야

ISMS 인증을 준비할 때 기업이 가장 많이 겪게 되는 시행착오는 보안팀에 인증업무를 전적으로 맡긴다는 것이다. ISMS는 보안조직은 물론이고 현업에서 준수해야 할 정보보호 통제항목이 있기 때문에 각 비즈니스 부서와 IT 조직, 보안팀이 함께하는 TF를 중심으로 진행돼야 한다.

인증을 주도하는 주체는 보안조직이지만, 각 업무조직에서도 해당 업무 특성과 해당하는 규제에 맞춰 업무에서 정보보호 통제항목에 적용되는 것을 찾아 적용하도록 하며, 기존의 업무 프로세스를 해치지 않으면서 규제준수를 만족시킬 수 있어야 한다.

무엇보다 경영진의 강력한 의지가 필요한데, 보안팀이 현업과의 갈등을 벌이지 않도록 경영진에서 보안팀에 권한을 부여하고, 인증 획득과 유지를 위한 업무절차 수립을 적극적으로 지원해야 한다.

김영태 금융보안원 ISMS 인증센터 팀장은 “많은 기업들이 ISMS를 인증을 위한 인증으로 여기고 있는데, ISMS 인증을 단발성 이벤트로 여겨서는 안된다. 보안위협은 지속적으로 변하고 있기 때문에 보안 활동을 일상화 할 수 있도록 지속적인 운영이 가능한 체계를 만들어야 한다”고 말했다.

그는 ISMS 인증을 위한 정보보호 5단계 관리과정을 언급하며 ▲정보보호 정책 수립 및 범위 설정 ▲경영진 책임 및 조직 구성 ▲위험관리 ▲정보보호 대책 구현 ▲사후관리 등의 요건을 만족시켜야 한다고 강조한 후 “ISMS는 최초 인증 획득보다 사후관리가 더욱 중요한 요소로, 전사적인 정보보호 관리체계 준수 노력이 필요하다”고 조언했다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.