2020-04-05 03:25 (일)
정보보호 전문가에게 던지는 Paradox-6, 정보보호의 국제인증 ISO/IEC 27001
상태바
정보보호 전문가에게 던지는 Paradox-6, 정보보호의 국제인증 ISO/IEC 27001
  • 조희준
  • 승인 2012.03.18 18:33
이 기사를 공유합니다

국제인증이 필요한 사회적 분위기인가?

[그림] ISO 27001 정보보호 인증의 필요성

정보보호에 왜 국제인증이 필요하지?
공부를 열심히 하는 학생이 있다. 나름대로의 본인 생각으로 정말 열심히 공부했다고 생각하고 있다. 과연 그 열심히 한 수준은 어느 정도일까? 이 질문에 답은 간단하다. 시험을 치러보면 안다. 시험 봐서 합격하거나 떨어지거나, 합격을 하게 되었다면 수석을 했는지 아니면 턱걸이를 했는지 결과를 알 수 있다.
인증이라고 하는 것도 같은 맥락으로 보면 된다. 정보보호이든, IT서비스관리이든 IT 거버넌스이든, 기업이 경영목적을 달성하기 위해서 지원되는 많은 관리체계가 있다. 올곳이 경영전략 달성을 위한 하위 전략들이라고 할 수 있다. 정보보호 역시, 기업의 계속경영을 위해서는 정보자산이 보호되고 보안되어야 하므로 탄생된 관리체계이다. 정보보호 관리체계가 우리 기업에서는 열심히 한다고 했는데 과연 어느 정도의 수준인지 궁금하다. 솔직히 얘기하자면 어느 정도의 정보보호 수준이 필요한 것인가 궁금한 것이다.
 
국제적인 인증까지 필요한가?
인증은 동종업계나 혹은 그 나라의 기준보다는 전 세계의 기준이 정보보호 관점에서 객관적이라 할 수 있다. 정보보호는 그 속성상 공공기관이나 기업내부의 통제도 필요하지만 인터넷, Web 2.0 등의 사용환경이 외부와의 접촉이기에 전 세계를 대상으로 하는 보호조치와 인증이 좀 더 객관적일 수 있다.
 
국제 인증이 필요한 사회적 분위기 인가?
불과 몇 년 전에만 해도 정보보호의 예산항목은 공공기관이나 기업의 회계장부 어디에고 찾아보기 힘들었다. IT 투자 계정들은 종류별로 있을지라도 IT 보안, 시스템 보안 등의 장부계정은 없었다는 얘기이다. 왜냐하면 투자해야 하는 주제가 아니었기 때문이다.
하지만 지금은 정보보호에 대한 투자가 시작되었고 국가차원에서 DDOS대응체계를 구축하는 등 공공기관이나 기업의 비즈니스 프로세스에 한 자리를 차지하게 되었다.
모든 것이 단계라는 것이 있다. 자전거 페달을 밟고 중심을 잡을 줄 알아야 그 다음에 씽씽 달리지 않겠는가? 정보보호의 관심이 시작되고 정보보호전문가(CISSP)들을 기업의 꼭 필요한 인력으로 활용하는 단계가 이어져 왔다. 그렇다면 이제는 흩어진 정보보안의 요소들을 모으고 어느 정도의 수준으로 관리해야 하는지의 수준으로 발전된 것이다. 인증의 시대는 이미 도래한 것이다.
 
ISO/IEC 27001 인증과 정보보호의 투자
국제적인 정보보호인증을 얻기 위한 공공기관이나 기업체들이 질문을 하곤 한다. 어느 정도의 정보보호 설비가 갖춰져야 하는지? 다시 말해서 방화벽, IDS, IPS, EMS 등등 돈으로 투자하거나 자동화 할 수 있는 솔루션을 많이 갖추고 있으면 인증을 받을 수 있지 않냐는 얘기이다.
ISO/IEC 27001 인증 컨설팅을 하고 있는 필자나 혹은 인증심사기관의 선임심사원들은 이구동성으로 대답한다. 돈으로 하는 것이 아니라 정보보호 관리체계를 만들어 가는 것이라고. 실제로 자동화 된 솔루션 없이도 인증을 통과하는 기업체도 있다. 설비가 좋기 보다는 정보보호를 하려는 전사적인 임직원의 관리체계, 조직의 분위기와 개선 노력이 인증심사의 기준이라는 얘기이다.
 
국제 인증을 바라보는 CISSP의 통찰력은?
인증이 필요로 하는 정보보호의 수준이 이미 도래한 사회이다. CISSP로서 정보보호의 요소기술만으로 지금껏 살아왔다면 이제는 요소기술을 모아서 하나의 덩어리로 묶어서 기획, 실행, 통제, 개선을 하려는 노력이 필요하다.
정보보호 기술자에서 정보보호 관리자가 되기 위해서는 이 땅의 CISSP은 또 한번 출산의 고통을 겪어야 하는 준비를 하여야 할 것이다. 출산의 고통이라고 해서 물리적 노력이 힘들다는 얘기만은 아니다. 정보보호가 있기에 기업이 있다는 생각을 깨는 것을 표현한 것이다.
만고의 진리가 있다. 닭이 먼저냐? 달걀이 먼저냐? 이건 답이 없을 수 있다. 하지만 공고기관이나 기업이 먼저야? 정보보호가 먼저야? 이것은 답이 분명 존재한다. CISSP가 기업이 있어야 보안이 있다는 만고의 진리를 깨닫는 다면 인증을 바라보는 통찰력이 생길 것이다.
 
데미안이 말했다. “알은 세상이다. 태어나려는 자는 반드시 알을 깨야 한다” 라고,,,


[그림] CISSP의 국제적인 전문성

이 글로 CISSP로서 (ISC)2 국제본부와 CISSP Korea Chapter를 위해 활동하시는 회장님, 부회장님, 여러 이사님들과 간사님들, 연구회원 분들의 신년도 활동에 박수를 보내며, 대한민국 CISSP들의 경력개발에 도움이 되길 바라며 이 글을 마치고자 한다.
(이 글은 한국CISSP협회 뉴스레터에서 저자의 글을 재 구성 한 것입니다. www.cisspkorea.or.kr)

조 희 준 josephc@chol.com     
CISSP, CSSLP, ISO 27001(P.A), CISM, CCFP, CGEIT, CISA, COBIT, CRISC, IT-EAP, CIA,
ITIL v3 Intermediate, IT-PMP, PMP, ISO 20000(P.A), PMS(P.A)
CPPG, BS 10012(P.A), BS25999(P.A), CRMA, G-ISMS 심사원,
(ISC)2 CISSP 공인강사, 정보시스템감리원
한국정보화진흥원 사이버범죄예방교화 전문강사
행안부 개인정보보호 전문강사
 
IT거버넌스/컨설팅/감리법인 ㈜씨에이에스 컨설팅 이사, 강원대학교 겸임교수, 세종사이버 대학교 외래교수, (ISC)2 CISSP Korea 한국지부에서, (사)한국 정보시스템 감사통제협회에서, 한국 포렌식조사 전문가협회에서, 한국 정보기술 프로젝트관리에서 활동 하고 있다. IT감사, 내부감사, IT거버넌스와 정보보호 거버넌스, 내부통제가 관심분야이다, 이와 관련해서 기고, 강의, 강연을 활발하게 하고 있다. 2010년 두 번째 단행본인 “IT거버넌스 프레임워크 코빗(COBIIT)”의 출간 후, 2011년에 “정보보호 전문가의 CISSP 노트”발간되었다. 현재 고려대학교 일반대학원 박사과정에서 2012년을 맞이하고 있다.