디지털 통합 마케팅과 IT서비스 개발을 전문으로 하는 라텔앤드파트너즈(강구견 대표)는 국제표준화기구(ISO)와 국제전기기술위원회(IEC)가 제정한 ISO/IEC 27001 정보보안경영시스템(ISMS) 국제표준 규격 인증을 취득하고, 인증서 전달식을 지난 28일 개최했다고 밝혔다.

정보보안경영시스템의 국제 표준인 ISO 27001 인증은 주요 정보자산의 유출 및 피해 예방을 위한 정보보안 관리체계를 수립하고 일정 수준 이상이 되어 지속적으로 유지·관리를 위한 요건이 적합한지를 인증하는 정보보안 분야에서 가장 권위 있는 국제표준 인증제도이다.

라텔앤드파트너즈은 호주/뉴질랜드 공동 인정기구 JAS-ANZ에 등록된 TQCSI 인증원을 통하여 심사가 진행되었으며 ST1 문서심사의 10개 분야 26개 통제항목과 ST2 현장심사의 정보보호 정책·관리적·물리적·기술적 보안 통제 등 14개 분야 114개 통제항목에 대하여 적합성 심사를 통과하고 '소프트웨어 개발 및 IT 운영 관리 시스템(Development of software and IT service operation management system)' 부문에 대하여 인증서를 받게되었다.

강구견 대표는 “금번 국제인증을 획득하고자 ISO 27001 내부인증심사원 7명, 정보보호최고책임관리사(CISO) 2명을 양성하여 국제표준 ISMS 인증을 준비하였으며, 자사 디지털 통합 마케팅과 IT서비스 개발 운영관리에 대한 보안 정책의 적정성과 ISO 27001의 구축 및 운영 관리시스템 대한 적합성을 검증받았다. 라텔앤드파트너즈 내부 역량만으로 인증을 취득하게 되어 그 의미가 크며, 고객사의 중요정보를 국제표준에서 요구하는 수준이상으로 보호하고 관리하기 위하여 최선을 다하겠다”라고 말했다.

인증심사를 진행한 공병철 선임심사원은 “최근 우크라이나에서 러시아가 전쟁을 일으킨 것에 항의한다는 의미로 오픈소스 모듈인 노드아이피씨(node-ipc)에 악성 기능을 업로드한 사실이 밝혀졌다. 글로벌 오픈소스 커뮤니티에서 노드아이피씨는 1주일에 100만 번 이상 다운로드 되던 모듈로서 단 한 명의 관리자가 파일을 감염시킨 후 이 사실을 숨기고 유포되도록 방치했을 경우 소프트웨어 공급망 공격이 이어지면 매우 심각한 보안 위험성이 발생할 수 있다. 작년 역사상 가장 치명적인 취약점이라는 평가를 받았던 '아파치 서버 로그4j' 보안 취약점처럼 기존 소프트웨어를 개발하고 공유하는 방식에 본질적인 문제점이 있음을 다시 한번 수면 위로 드러났다”라고 밝혔다.

이어 ”오픈소스를 다운로드 받고자 하는 관리자가 어떤 사람(단체)인지, 어떤 라이선스를 가지고 있는지, 보안 취약점에 대한 히스토리가 있는지, 개발 프로젝트의 관리절차가 있는지를 파악하고 소프트웨어 공급망이 가지고 있는 보안의 위험성을 개발책임자, 스타트업, 대기업 등 모든 주체가 S/W 개발시 보안 관리체계를 수립하여 운영·관리될 수 있도록 노력해야 한다"라고 덧붙였다.

★정보보안 대표 미디어 데일리시큐!★