check 3d gpu
바로가기
메뉴로 이동
본문으로 이동

[정경섭 대표-The Dark Side Of ISMS 시리즈①] ITO의 딜레마

ISMS 인증 준비하는 기관과 ITO 서비스 제공자간 합리적 협의 이루어져야

길민권 기자 mkgil@dailysecu.com 2019년 04월 19일 금요일

block-chain-3572402_640.jpg
정보보호 컨설팅 전문기업 이지시큐 정경섭 대표는 5회에 걸쳐 ISMS와 관련된 현실적인 이야기들을 데일리시큐 독자 그리고 국내 정보보호 실무자들과 공유하기 위해 아래 순서로 연재를 시작한다. ISMS 인증을 받았거나 준비하는 공공기관과 기업 보안담당자들에게 도움이 되길 바란다. -편집자 주-

[연재순서]
-The Dark Side Of ISMS 연재를 시작하며
-The Dark Side Of ISMS(1)-ITO의 딜레마
-The Dark Side Of ISMS(2)-ISMS인증 의무대상도 조정이 필요하다
-The Dark Side Of ISMS(3)-정보보호 공시제도를 들어보셨습니까?
-The Dark Side Of ISMS(4)-ISMS인증 과태료는 어디로?
-The Dark Side Of ISMS(5)-하나가 될 수 없는 운명. ISMS와 -P

많은 고객사를 만나 정보보호컨설팅을 하다 보면 각각 ISMS인증 범위와 시스템 운영 형태는 다양하다. 기본적으로 자체 개발 및 운영 조직을 구성하고 정보 자산도 직접 소유하고 관리, 운영하기도 하지만 최근 다양하게 등장한 IT 인프라 서비스에 따라 그 유형과 케이스가 갈수록 복잡해지고 있는 것을 체감할 수 있다. 임대 호스팅, IT플랫폼 서비스, 국내외 클라우드 서비스까지 각 고객사마다 여러 이유와 선호도에 따른 선택으로 구성된 IT 서비스 인프라 환경은 정보보호 컨설팅을 하는데 있어 그 이해와 경험이 선행되어야만 적절한 피드백과 고객이 만족할 만한 결과를 낼 수 있게 한다.

이러한 다양한 시스템 운영유형을 정확히 파악하는데는 복잡하고 세밀한 분석과 기술적 이해를 필요로 하고 정보통신망법 또는 개인정보보호법 등에서 요구하는 법적 준수 요구사항의 적용 해석이 난이도를 가중시키기도 한다. 그래서 전문가들 조차 명쾌한 정답을 내는 것이 어려운 문제들도 종종 발생한다. 오늘은 그러한 기술적, 법리적 문제 보다는 ISMS 인증을 취득, 유지하고자 하는 조직이 인증범위 내에 있는 IT 인프라의 관리나 운영을 비용, 속도, 확장성 등의 이유로 구축, 유지, 운영을 자체적으로 하지 않고 외부에 위탁(이하 ITO)했을 때 ISMS인증에 끼치는 영향에서 오는 현실적인 고민과 개선 방향에 대한 생각을 함께 해보았으면 한다.

'ITO'는 IT Outsourcing(아웃소싱)의 약자다. 글자 그대로 IT 시스템 또는 인력, 서비스를 직접 구축, 운영관리하지 않고 아웃소싱하는 것을 말하는데, ITO는 현재 다양한 형태로 서비스 되며 그 제공 서비스의 지원 범위와 상품은 더욱 세분화 되어있다. 코로케이션부터 호스팅 서비스, 이미 고객의 요구 수준에 맞게 다양하게 완전한 상품화로 구축되어 있는 플랫폼 서비스도 있고,사용자가 자원의 구성과 할당을 실시간으로 설정할 수 있으면서 보안 요소를 부가서비스로 제공하기도 한다.

개별 계약에 따라 서비스의 다양성은 더욱 확장된다. 이러한 ITO를 적용하고 있는 다수의 ISMS 인증 보유 기관들은 정보보호의 수준이 결국 ITO 서비스 제공자의 정보보호에 대한 인식과 기술적 보안 구현 가능 수준, 고객의 정보보호 요구에 대한 공감과 지원 마인드에 따라 승패가 갈린다고 봐도 무방하다. 때로는 그 의존도가 커서 인증보유 기관이 아니라 위탁 ITO사업자가 인증을 받는 것이 옳지 않은가 생각을 하게 될 정도다.

데이터 센터 서비스 또는 클라우드 서비스를 제공하거나 유지 보수, 운영, 관리 인적 서비스를 제공하는 ITO사업자 및 그룹사의 IT서비스전문 지원 계열 회사 등은 고객에게 안정적이고 품질 좋은 서비스를 제공하기 위해 ITIL이나 ISO20000등 표준 서비스 체계를 구축하기도 한다. 최근에는 27001이나 ISMS를 자발적으로 구축해 서비스 신뢰도를 강화하기도 한다. 다만 이들도 사업자이며 이윤 추구를 목적으로 하는 기업이라는 것이다.

즉, 고객이 ISMS 인증을 위해 보안 강화를 위한 여러 기술적, 물리적, 인적 자원의 추가 투입 혹은 지원을 요청했을 때, 그것은 사업적인 채널 확장이 될 수도 있고, 파트너쉽의 유지나 서비스 차원에서의 예상치 못했던 추가적인 부담이 될 수도 있다. 이것을 요구하는 입장에서도 현실성을 고려해 요청해야 하고 ITO사업자는 서비스 계약 범위 내에서 보안에 대한 책임과 의무를 다하면서 이를 초과하는 경우에는 합당한 추가 비용을 적절히 청구할 수 있어야 한다. 즉 합리적인 협의가 동시에 이루어져야 한다.

예를 들어 ISMS 인증을 필요로 하는 기관이 ITO에게 기술적 보안 요소 적용과 인적 자원 투입 요청이 필요할 경우 발생하는 비용을 예측해 이를 적절히 부담하고, ITO사업자는 앞으로도 계속 늘어날 ISMS 인증 수요 고객을 위하여 전사적인 ISMS인증을 자발적으로 취득해 정보보호 활동을 통한 상시 지원 조직을 별도로 운영하거나 자체적으로 ISMS교육을 실시해 서비스를 최전방에서 제공하는 임직원들에게 정보보호 인식과 공감을 고취시켜 적극적인 지원을 독려하고 서비스 제공 수준을 높여주는 것도 가능할 것이다.

필자가 이러한 이야기를 하는 이유는 현실에서 ISMS 인증을 준비하는 기관과 ITO 서비스 제공자간에 흔히 발생하는 보안 서비스 지원 수준에 대한 생각의 차이와 상호간의 공감과 이해 부족에서 오는 협조 미흡, 감정적인 소모 등의 좋지 않은 상황이 발생하는 것을 심심치 않게 보아왔기 때문이다.

대다수의 ISMS 인증 유지 기관들은 매년 인증수수료와 컨설팅비용, 정보보호 전담 인력에 충당할 정보보호 예산을 마련하기에도 부담스럽고 빠듯하다. 그런데 매년 ISMS 인증 심사가 매년 거듭 될수록 점점 세밀하면서도 높은 보안 수준의 결함들 즉, 어려운 결함들을 마주하게 된다. 이때 적극적이고 협조적인 결함 보완 조치를 통해 ISMS 인증 성패의 키를 쥐고 있는 쪽은 ITO인 경우가 많다.

다행히도 IDC사업자는 ISMS인증 의무 대상이고 최근에는 클라우드 사업자들도 자발적인 ISMS 인증을 취득하기도 하며 플랫폼 사업자들도 정보보호에 중요한 비중을 두고 적극적으로 지원하고 있는 모습이다. 우리나라에 ISMS 제도의 도입 이후 몇 번의 개선을 거쳐 현재까지 인증 취득 기관이 많이 증가하면서 IT 업계 전반의 정보보호에 대한 인식과 참여가 확산되어 왔고 제도 초창기에 비해 상당한 긍정적인 성과들이 나타나고 있지만 더욱 구체적 제도적 기준과 보완이 필요한 시점에 온 것으로 보인다.

기술의 발전과 수요에 따라 IT 인프라 서비스제공 환경이 시시각각 변하고 다양해지는 만큼 거기에 보안을 적용할 여러 참여자들의 인식과 이해가 함께 발을 맞추어야 시대적 흐름을 거스르지 않을 수 있을 것이다. 필자는 앞으로 여러분과 함께 ISMS의 현실적인 이야기들을 계속적으로 해나갈 수 있길 바라며, 이는 개인의 외침에서 끝나지 않고 작은 공감과 관심들이 모여 ISMS가 대한민국에 시간이 지날수록 긍정적이고 유익한 제도로 자리잡을 수 있도록 가시적인 정책 변화를 이끌어 내기 위함이다.

▲ 필자. 정경섭 이지시큐 대표이사.
▲ 필자. 정경섭 이지시큐 대표이사.









[글. 정경섭 이지시큐 대표]


[의료기관 컨퍼런스 안내]
국내 최대 의료기관 개인정보보호&정보보안 컨퍼런스 MPIS 2019
-MPIS 2019 사전등록:
http://conf.dailysecu.com/conference/mpis/2019.html
▶의료기관 및 메디컬 관련 기업 개인정보보호 및 정보보안 실무자만 참석 가능
-참가문의: 데일리시큐 길민권 기자 / mkgil@dailysecu.com

★정보보안 대표 미디어 데일리시큐!★


<저작권자 © 데일리시큐, 무단 전재 및 재배포 금지>
관련기사
목록