check 3d gpu
바로가기
메뉴로 이동
본문으로 이동

[박나룡 칼럼] 'ISMS+PIMS=ISMS-P', 인증 제도 통합의 기대와 과제

"정보보호 수준 한 단계 높일 수 있는 통합 인증 기준 수립...글로벌 정보보호 플랫폼으로 성장 기대"

길민권 기자 mkgil@dailysecu.com 2018년 09월 12일 수요일

▲ 박나룡 브로콜리 CISO〮CPO/보안전략연구소 소장
▲ 필자. 박나룡 브로콜리 CISO〮CPO/보안전략연구소 소장
중복운영에 따른 기업‧기관부담 해소 및 행정비용을 절감하고 고도화‧융합화되는 사이버 공격에 효과적으로 대응할 수 있는 환경을 마련하자는 취지에서 ISMS와 PIMS 인증 제도가 새롭게 출범하게 되었다.

조직의 정보보호 관리 플랫폼으로 볼 수 있는 인증 제도는 2002년 이후 현재까지 국내 정보보호 분야에서 많은 역할을 수행하고 있고 또한, 가장 성공한 사례로 볼 수 있다.

ISMS를 시작으로, 국가·공공기관을 위한 G-ISMS 제도가 있었고, 개인정보보호 인증을 위한 PIPL인증, PIMS 인증 등 다양하게 특화된 정보보호 인증 제도가 경쟁적으로 운영되던 시기도 있었다.

이제는 ISMS-P(정보보호 및 개인정보보호 관리체계 인증)로 통합해 새로운 기술적 환경에 대한 인증 항목도 추가하고, 인증 의무 이행 기간을 기존 ‘매년 1월~12월’에서 ‘차년도 8월 31일까지’로 변경해 인증 쏠림 현상의 완화를 통해 심사 품질 향상도 기대해 볼 수 있을 것으로 보인다.

최근에 조직의 정보보호 수준을 판단하는 기본적인 척도로서 인증의 보유 여부가 중요한 판단기준으로 자리 잡고 있으며 '특정 금융거래정보의 보고 및 이용 등에 관한 법률' 개정안에도 특정 대상에 대해 정보보호 관리체계 인증을 받도록 하는 등 인증 제도를 활용하는 폭이 넓어지고 있는 상황이다.

kk.jpg
이렇듯 인증 제도가 다양한 이해관계자로부터 신뢰를 확보하고 앞으로도 정보보호 관리에 최적의 플랫폼으로서 역할을 유지하기 위해서는 몇 가지 과제도 함께 고민해 봐야 할 것으로 보인다.

첫 번째, KISA(한국인터넷진흥원)의 역할 재정립 필요

인증 제도가 안정화 단계를 지나 활용의 폭이 넓어지는 현 시점에서 KISA의 역할도 재정립할 부분이 있어 보인다.

현재는 인증 심사를 위한 인력 투입이 과도하고 민간 심사기관이 해야 할 부분까지 처리해야 하는 부담을 안고 있으나 앞으로는 심사 품질 관리나 심사 기관 관리/감독, 인증 받은 기업에 대한 관리, 심사원 품질 교육 등 더욱 중요한 부분에 역량을 집중해야 한다.

특히 글로벌 인증체계인 ISO(International Organization for Standardization)는 인정기구와 심사기관을 엄격하게 분리해 독립적이고 객관적인 심사가 될 수 있는 체계를 유지하고 있는 것과 비교되는 상황이다.

따라서 현재 KISA의 심사는 중요한 국가기관 등에 한정하는 방식으로 최소화 하고 실질적인 인정기구로서의 역할을 늘려나갈 필요가 있다. 이는 국내 정보보호 인증 제도가 세계적으로 인정받을 수 있는 가장 기본적인 시작이다.

두 번째, 글로벌 개인정보보호 강화에 역행한다는 우려

최근 EU에서 시행하고 있는 GDPR의 경우, 개인정보 처리자의 개인정보 보호를 위한 적극적 활동을 중요시 하고 이에 대한 판단 기준의 하나로 인증 제도를 활용할 수 있다. 하지만 통합 인증 기준이 이에 대한 기준을 적절하게 충족할 수 있는지에 대한 부분도 고려가 필요하다. 그렇지 않을 경우 국내 기업은 다른 외국의 개인정보 인증을 별도로 취득해야 하는 부담이 발생할 수 있을 것이다.

세 번째, 심사원 관리 문제...개선 필요해

심사원은 인증 제도의 핵심으로, 심사원의 품질이 인증 제도의 품질이라고 할 수 있을 것이다. 이에 따라, 심사원에 대한 지속적 교육과 관리를 통해 새로운 보안 위협과 다양한 분야에서 적절하게 심사할 수 있도록 관리해 나가는 것이 중요하다.

또한 국가적으로 양성하려 해도 많은 비용과 시간이 필요할 수 있는 정보보호 전문가를 심사원으로 확보하고 있는 만큼 다양한 활용방안을 고민하고, 전문 심사원 인력 양성과 품질 향상을 위한 적절한 재정적 지원도 필요하다.

네 번째, 실질적인 통합 인증으로 발전

이번 통합의 경우 ISMS와 PIMS인증을 물리적으로 통합하다보니 제도 운영이 분리되어 있는 부분이 있지만(3개 부처 협의회, ISMS, PIMS 별도 운영 등) 장기적으로 정보보호와 개인정보보호에 대한 구분을 제거하고 실질적으로 정보보호 수준을 한 단계 높일 수 있는 통합 인증 기준을 수립해 단일 인증기준, 단일 운영 방식의 진정한 융합을 이룰 필요가 있다.

변화하는 시대의 요청에 따라 오랜만에 개정이 된 만큼 개정의 취지와 같이 심사를 받는 조직에서 중복 운영에 따른 비용 절감이 가능하고 사이버 공격에 효과적으로 대응할 수 있는 환경을 만들어 줄 수 있는 제도로 정착되어야 한다. 더불어 국내 정보보호 발전에 큰 영향을 끼치고 있는 만큼 지속적인 개선과 인증 대상 확대를 통해 글로벌한 정보보호 플랫폼으로서 성장하길 기대한다.

[글. 박나룡 브로콜리 CISO·CPO/보안전략연구소 소장/isssi@daum.net]


<저작권자 © 데일리시큐, 무단 전재 및 재배포 금지>
목록