국내 최대 개인정보보호 컨퍼런스 G-Privacy 2016이 지난 4월 6일 양재동 더케이호텔서울 가야금홀에서 정부, 공공, 금융, 교육, 일반기업 개인정보보호 실무자 850여 명이 참석한 가운데 성황리에 개최됐다.
 
이 자리에서 이성표 지란지교에스앤씨 과장은 ‘국정원 실태조사 대비 효율적인 증적 관리 방안’을 주제로 발표를 진행했다. 이성표 과장의 발표내용을 요약하면 다음과 같다.

 
국정원보안실태조사, 정보보호관리체계(ISMS), 개인정보보호관리체계(PIMS), 국제보안규정(ISO27001), 개인정보역량평가(PIA), PCI DSS(Payment Card Industry Data Security Standard) 등 각각의 인증규정들이 존재하고 기관, 기업들은 서비스유형이나 범위에 따라 인증을 하나 또는 그 이상 획득 운영하고 있다.
 
하지만 이러한 규정들은 중복되는 항목들과 업무들이 다수 존재하기 때문에 인증관리 업무들을 운영하기에는 현실적으로 인력, 지원이 부족한 것이 현실이다. 그뿐만 아니라 공공기관의 경우 이러한 복수 규정에 대한 운영에 있어서는 기관 내 정보보호 인력이 부족하고 관리해야 할 항목도 많이 때문에 시간이 지날수록 업무도 누락되고 증적도 유실되기도 한다.
 
또한 보안업무에 대한 수행현황이 가시화되지 않는 부분들이 많기 때문에 이행에 대한 현황관리가 어려운 것도 사실이다. 실제로 공공기관은 수시로 국정원에서 실태 감사를 받고, 금융기관은 금융감독원에서 감사를 받고 있다. 특히 금융기관의 경우 정보통신망 기반 전자금융서비스로 인한 매출이나 이용자 수 기준에 따라 파악된 의무화 대상 금융사는 40여곳이고, 기존에 ISMS 인증을 받았던 금융사를 포함해 사후심사 또는 신규심사 대상이 되는 금융사는 50곳이다. 은행 대부분은 인터넷 뱅킹 운영부문에서, 증권사 경우 온라인 트레이딩시스템 부문에서 ISMS 인증을 취득한 경우가 많다고 한다.
 
공공기관과 많은 기업들은 이러한 어려움을 해결하고 지속적인 보안 관리체계가 유지되기 위해서 점검항목 이행에 필요한 업무를 정의하고 담당자를 정확히 지정하며 이행에 대한 현황을 관리 할 수 있도록 시스템화가 필요하다.
 
또한 보안담당자의 부재나 변경이 있을 때 업무의 연속성을 확보할 수 있도록 정책이 명확하게 정리되어 관리되어야 한다. 또한 기업 내 자산현황에 대한 변경 이력관리와 변경이나 추가된 자산에 대한 위험분석을 통해 지속적으로 관리해야 정보자산에 대한 관리보안이 지속적으로 유지된다.
 
이러한 보안에 대한 문화가 정착되려면 다소 시간이 소요될 수도 있으나 명확한 업무정의, 업무분장, 현황관리가 지속적으로 이루어지면 점차 보안업무의 생활화가 정착될 것이다. 당장 귀찮고 힘든 일이라고 여기고 보안사고가 불가항력적인 일이라고 생각하여 관리체계가 느슨해진다면 막을 수 있는 사고도 막지 못하게 된다.
 
결론적으로 이제는 기술적, 물리적 보안뿐만 아니라 관리적 보안도 중요성이 커졌기 때문에 기술, 물리, 관리적 보안 3박자가 골고루 이루어져야 기업보안의 체계가 잡혔다고 말할 수 있다. 더 나아가 효율적인 관리를 위해서는 기업 내 보안 인식이 전사적으로 갖추어 져야 하고, 관리자 입장에서는 인지하지 않고 하는 업무 조차 보안 프로세스 상에서 움직여 행해 질 수 있도록 자동화 되어야 현실적인 관리가 될 것이다.
 
최근 어느 공공기관은 국정원보안실태조사를 대비한 시스템을 구축 중이다. 국정원 점검항목에 대한 변경관리와 관련 업무에 대한 정의, 증적 관리 그리고 사전평가 기능으로 내부적 자체평가를 통해 보완사항을 이행함으로써 실제 실태조사에 더 높은 수준으로 대응할 것으로 기대된다.
 
이성표 과장(사진)은 “위와 같은 컴플라이언스 운영관리 시스템을 도입하는 데에 기업의 관리자와 업무 담당자 사이에 많은 갭이 있는 것도 사실이다. 가령 관리자는 인력으로도 할 수 있는 일이고 컨설팅을 받았으니 간단히 운영만 하면 된다는 생각을 가지고 있는 반면, 실제 업무 담당자들은 컨설팅은 받았으나 운영관리 범위나 조직 구성에 따른 업무분장의 어려움 때문에 업무과중의 어려움이 있다”며 “약 200여개의 업무이행을 관리해야 하기 때문에 노동집약적 업무 특성상 지속적인 관리 운영이 현실적으로 힘들다. 요즘 컴플라이언스 시스템을 도입하는 고객들은 관리자부터 이러한 현실적 어려움을 파악하고 앞서 도입을 검토하고 있으며, 도입 후 관리자 분들도 이행에 대한 파악이 편리해져서 추후 지속적 운영에 대한 기대가 높아지고 있다”고 밝혔다.
 
또한 “평가항목 관리, 업무프로세스 관리, 데시보드를 통해 보안업무 현황을 관리해 주는 MISO가 해답을 제시해 줄 수 있다”며 “MISO 기대효과는 복수의 규정 운영 및 이력관리, 복수표준업무의 통합화, 업무스캐줄 관리, 전자결재, 페이퍼리스 구현, 자산 위험분석에 따른 업무관리, 기간계 시스템과 유연한 연동, 업무 포털로 지속적인 모니터링 등이 가능하다”고 소개했다.
 
이성표 지란지교에스앤씨 과장의 발표자료는 데일리시큐 자료실에서 다운로드 가능하다.
 
한편 데일리시큐는 오는 5월 17일 의료기관 개인정보보호-정보보안 컨퍼런스 MPIS 2016을 개최한다. 올해 3회째를 맞는 MPIS 2016은 국내 최대 의료 정보보호 컨퍼런스로 전국 국공립, 대학병원, 대중소 병원 개인정보보호 및 정보보호 실무자 400여 명이 참석한 가운데 최신 보안정보를 공유하는 자리다. 현재 참가를 희망하는 국내외 보안기업을 모집중에 있다. 참가 문의는 데일리시큐 길민권 기자에게 하면 된다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com