[이성표 지란지교에스앤씨 과장] 최근 몇 년 사이 국내에 보안컴플라이언스가 많이 생겨났고 이에 대한 기업의 반응은 가지각색이었다. 보안에 대한 투자나 관심이 높아진 것은 분명 좋은 일이지만 적은 인력으로 보안규정들을 이행하고 지속적으로 관리하기가 현실적으로 힘들다는 반응이 점차 늘어나고 있다.
 
실제로 정보보호관리체계(ISMS), 개인정보보호관리체계(PIMS), 개인정보보호인증제(PIPL), 개인정보역량평가(PIA), 국제보안규정(ISO27001), PCI DSS(Payment Card Industry Data Security Standard) 등 각각의 인증규정들이 존재하고 기업들은 서비스유형이나 범위에 따라 인증을 하나 또는 그 이상 획득 운영하고 있다. 하지만 이러한 규정들은 중복되는 항목들과 업무들이 다수 존재하기 때문에 인증관리 업무들을 운영하기에는 현실적으로 인력, 지원이 부족한 것이 현실이다.
 
그뿐만 아니라 공공기관의 경우 수시로 국정원에서 실태 감사를 받고 있고 금융기관은 금융감독원에서 감사를 받고 있다. 이러한 현실을 반영하여 인증기관이 인증 통합에 대한 의견들이 나오고 계획도 세우고 있지만 인증제도의 안정화를 위해 점차적으로 통합의 움직임이 일어날 것 같다. 통합시점이 명확하지 않기 때문에 결론적으로 기업들은 의무 또는 권고에 의해 당분간은 각 인증별 운영을 해야 한다.
 
이러한 복수 규정에 대한 운영에 있어서는 기업 내 정보보호 인력이 부족하고 관리해야 할 항목도 많이 때문에 시간이 지날수록 업무도 누락되고 증적도 유실되기도 한다. 또한 보안업무에 대한 수행현황이 가시화되지 않는 부분들이 많기 때문에 이행에 대한 현황관리가 어려운 것도 사실이다.
 
이러한 어려움을 해결하고 지속적인 보안 관리체계가 유지되기 위해서는 점검항목 이행에 필요한 업무를 정의하고 담당자를 정확히 지정하며 이행에 대한 현황을 관리 할 수 있도록 시스템화가 필요하다. 또한 보안담당자의 부재나 변경이 있을 때 업무의 연속성을 확보할 수 있도록 정책이 명확하게 정리되어 관리되어야 한다.
 
또한 기업 내 자산현황에 대한 변경 이력관리와 변경이나 추가된 자산에 대한 위험분석을 통해 지속적으로 관리해야 정보자산에 대한 관리보안이 지속적으로 유지된다. 이러한 보안에 대한 문화가 정착되려면 다소 시간이 소요될 수도 있으나 명확한 업무정의, 업무분장, 현황관리가 지속적으로 이루어지면 점차 보안업무의 생활화가 정착될 것이다.
 
당장 귀찮고 힘든 일이라고 여기고 보안사고가 불가항력적인 일이라고 생각하여 관리체계가 느슨해진다면 막을 수 있는 사고도 막지 못하게 된다. 결론적으로 이제는 기술적, 물리적 보안뿐만 아니라 관리적 보안도 중요성이 커졌기 때문에 기술, 물리, 관리적 보안 3박자가 골고루 이루어져야 기업보안의 체계가 잡혔다고 말할 수 있을 것이다.
 
인증운영의 현실적인 어려움을 극복하기 위해 대외적 모바일 서비스를 하는 기업은 복수의 인증업무관리를 통합으로 운영할 수 있는 솔루션을 올해 도입했다. 국내 규정인 ISMS, PIMS와 해외규정인 PCI DSS를 해당 서비스별로 운영하는 이슈가 발생하여 보안인력이 일일이 수작업으로 관관리하는 것이 아니라 솔루션으로 규정을 관리하고 이행에 대한 점검과 통합 증적관리까지 시스템화했다. 솔루션 도입으로 업무연속성이 확보되고 정책배포 및 업무가이드가 되어 전반적인 보안관리체계가 시스템화 되어 지속적이고 체계적이게 관리될 것으로 예상된다.
 
또한 대형유통업체도 솔루션 도입으로 복수규정을 운영함과 동시에 전국에 있는 각 지점에 대한 중앙통제관리를 하게 됨으로써 비정형화된 업무를 처리하는 그룹웨어로 통제하는 것보다 인증업무관리 솔루션을 도입함으로써 정형화된 업무를 지속적으로 통제관리해 관리자들의 부담을 덜어줄 것으로 기대된다.
 
참고로 ISMS 인증심사는 최초심사, 사후심사로 구분되는데 최초심사 후 인증획득을 하게 되면 인증유효기간은 3년이지만 매년 사후심사를 받아야만 인증유효가 된다. 인증심사는 서면심사와 현장심사를 병행하게 되며 규모에 따라 차이는 나겠지만 최초심사는 1주일, 사후심사는 3~4일정도 하게 된다. ISMS의 시행근거는 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제47조(정보보호 관리체계의 인증)이며, 의무대상자는 정보통신망서비스 제공자(ISP), 집적정보통신시설 사업자(IDC), 주요 정보통신서비스 제공자가 대상이다.
 
의무대상임에도 불구하고 인증을 획득하지 않은 기업은 정보통신망법 제76조(과태료) 규정에는 1천만원 이하의 과태료 부과가 되도록 되어있다. ISMS는 정보자산 전반에 관한 관리체계이지만 개인정보 이슈가 증가하면서 개인정보보호법률에 기반한 PIMS나 PIPL이 확대 운영될 예정이다.
 
[글. 지란지교에스앤씨 이성표 과장]
 
★정보보안 대표 미디어 데일리시큐!★