정보보안 대표 미디어 데일리시큐가 주최한 PASCON 2015(2015년 공공기관-기업 개인정보보호&정보보안 컨퍼런스)가 10월 28일 양재동 더케이호텔서울 가야금홀에서 공공, 금융, 의료, 교육기관, 일반 기업 개인정보보호 및 정보보안 실무자 600여 명이 참석한 가운데 성황리에 개최됐다.
 
이 자리에서 지란지교에스앤씨 이성표 과장(사진)은 ‘똑똑한 보안 감사 및 인증 관리 방법(국정원 실태조사, ISMS, PIMS 등)’을 주제로 발표를 진행했다.

 
이성표 과장은 “국정원보안실태조사, 정보보호관리체계(ISMS), 개인정보보호관리체계(PIMS), 국제보안규정(ISO27001), 개인정보보호인증제(PIPL), 개인정보영향평가(PIA), PCI DSS(Payment Card Industry Data Security Standard) 등 각각의 인증규정들이 존재하고 기업들은 서비스유형이나 범위에 따라 인증을 받고 있고 또는 그 이상 획득 운영하고 있다”며 “하지만 이러한 규정들은 중복되는 항목들과 업무들이 다수 존재하기 때문에 인증관리 업무들을 운영하기에는 현실적으로 인력, 지원이 부족한 것이 현실”이라고 지적했다.  
 
또 그는 “공공기관의 경우 이러한 복수 규정에 대한 운영에 있어서는 기업 내 정보보호 인력이 부족하고 관리해야 할 항목도 많기 때문에 시간이 지날수록 업무도 누락되고 증적도 유실되기도 한다”며 “또한 보안업무에 대한 수행현황이 가시화되지 않는 부분들이 많기 때문에 이행에 대한 현황관리가 어려운 것도 사실이다. 실제로 공공기관은 수시로 국정원에서 실태 감사를 받고, 금융기관은 금융감독원에서 감사를 받고 있다. 특히 금융기관의 경우 정보통신망 기반 전자금융서비스로 인한 매출이나 이용자 수 기준에 따라 파악된 의무화 대상 금융사는 40여곳이고, 기존에 ISMS 인증을 받았던 금융사를 포함해 사후심사 또는 신규심사 대상이 되는 금융사는 50곳이다. 은행 대부분은 인터넷 뱅킹 운영부문에서, 증권사 경우 온라인 트레이딩시스템 부문에서 ISMS 인증을 취득한 경우가 많다”고 전했다.
 
공공기관과 많은 기업들은 이러한 어려움을 해결하고 지속적인 보안 관리체계가 유지되기 위해서 점검항목 이행에 필요한 업무를 정의하고 담당자를 정확히 지정하며 이행에 대한 현황을 관리 할 수 있도록 시스템화가 필요하다.
 
또한 보안담당자의 부재나 변경이 있을 때 업무의 연속성을 확보할 수 있도록 정책이 명확하게 정리되어 관리되어야 한다. 또한 기업 내 자산현황에 대한 변경 이력관리와 변경이나 추가된 자산에 대한 위험분석을 통해 지속적으로 관리해야 정보자산에 대한 관리보안이 지속적으로 유지된다.
 
이러한 보안에 대한 문화가 정착되려면 다소 시간이 소요될 수도 있으나 명확한 업무정의, 업무분장, 현황관리가 지속적으로 이루어지면 점차 보안업무의 생활화가 정착될 것이다. 당장 귀찮고 힘든 일이라고 여기고 보안사고가 불가항력적인 일이라고 생각하여 관리체계가 느슨해진다면 막을 수 있는 사고도 막지 못하게 된다.
 
이 과장은 “이제는 기술적, 물리적 보안뿐만 아니라 관리적 보안도 중요성이 커졌기 때문에 기술, 물리, 관리적 보안 3박자가 골고루 이루어져야 기업보안의 체계가 잡혔다고 말할 수 있을 것”이라며 “더 나아가 효율적인 관리를 위해서는 기업 내 보안 인식이 전사적으로 갖추어 져야 하고, 관리자 입장에서는 인지하지 않고 하는 업무 조차 보안 프로세스 상에서 움직여 행해 질 수 있도록 자동화 되어야 현실적인 관리가 될 것”이라고 조언했다.
 
더불어 “컨플라이언스 관리 시스템과 수탁사 관리시스템을 연계해 외부로 유출될 수 있는 개인정보 등 중요 정보에 대한 점검항목을 이행 점검할 수 있는 계획, DB접근제어 등 기술적 보안솔루션 연계를 통한 관련 증거자료 관리계획 등 기술적 솔루션과 연계 요청도 많이 있다”며 “컴플라이언스 운영관리 시스템을 도입하는데 기업의 관리자와 업무 담당자 사이에 많은 갭이 있는 것도 사실이다. 가령 관리자는 인력으로도 할 수 있는 일이고 컨설팅을 받았으니 간단히 운영만 하면 된다는 생각을 가지고 있는 반면, 실제 업무 담당자들은 컨설팅은 받았으나 운영관리 범위나 조직 구성에 따른 업무분장의 어려움 때문에 업무과중의 어려움이 있다. 약 200여개의 업무이행을 관리해야 하기 때문에 노동집약적 업무 특성상 지속적인 관리 운영이 현실적으로 힘들다. 요즘 컴플아이언스 시스템을 도입하는 고객들은 관리자부터 이러한 현실적 어려움을 파악하고 앞서 도입을 검토하고 있으며, 도입 후 관리자 분들도 이행에 대한 파악이 편리해져서 추후 지속적 운영에 대한 기대가 높아지고 있다”고 전했다.

한편 이성표 과장은 자사 MISO 솔루션을 소개하며 “MISO는 평가항복 관리, 업무프로세스 관리, 데시보드를 통해 보안업무 현황을 관리할 수 있도록 설계된 보안규정 업무관리시스템”이라며 “복잡한 업무 링크 관계를 ISMS증적관리시스템을 통해 간소화해 담당자의 업무 부하를 경감시키고 보안규정 업무관리시스템 기반의 중앙 집중 관리를 통한 업무 효율성 증대, 체계적 업무 증적 생산, 관리를 통해 차기 보안규정 인증 컨설팅(갱신심사) 비용을 크게 절감할 수 있다”고 평가했다.

지란지교에스앤씨 이성표 과장의 PASCON 2015 발표자료는 데일리시큐 자료실에서 다운로드 가능하다.
 
한편 데일리시큐는 2016년에도 실무에 필요한 핵심적인 정보보안 컨퍼런스를 개최한다. 항상 실무자 중심의 교육 및 정보공유 차원에서 개최되며 정보보호 기업 비즈니스에도 도움이 될 수 있도록 준비하고 있다. 그래서 공공, 금융, 의료, 교육, 기업 개인정보보호 및 정보보안호 실무자들의 참석률이 가장 높은 컨퍼런스로 유명하다.
 
◇데일리시큐 2016년 컨퍼런스 개최 안내
①2016년 1월: 2016년 모바일 정보보호 컨퍼런스(MISCON 2016)
②2016년 2월: 제4회 금융정보보호 컨퍼런스(SFIS 2016)
③2016년 3월: 제4회 공공-기업 개인정보보호 컨퍼런스(G-Privacy 2016)
④2016년 5월: 제3회 의료기관 개인정보보호&정보보호 컨퍼런스(MPIS 2016)
⑤2016년 9월: 제2회 대한민국 정보보호 인텔리전스 컨퍼런스(K-ISI 2016)
⑥2016년 10월: 제4회 공공-기업 개인정보보호&정보보안 컨퍼런스(PASCON 2016)
위 컨퍼런는 데일리시큐 사이트에 시기별로 등록사이트 배너가 올라간다. 참가업체 및 참관문의는 데일리시큐 길민권 기자(mkgil@dailysecu.com)에게 하면 된다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com