2013년도 2월 18일부터 개정 정보통신망법 시행으로 안전진단제도가 폐지되고, ‘정보보호관리체계(ISMS) 인증제도가 의무화된다. 의무 대상자는 ‘전기통신사업법’ 제6조 제1항에 따른 허가를 받은 자로 ISP, IDC, 연간 매출액 또는 이용자수 등이 대통령령으로 정하는 기준에 해당하는 기업이다. 이에 따라 이동통신사, 인터넷서비스사업자 등 정보통신서비스 사업자 중에서 전년도 매출액 100억원 이상 또는 전년도말 기준 3개월간의 일일 평균 이용자수가 100만명 이상인 곳이 의무 적용대상에 포함된다.

이에 따라 2013년도 변화하는 ISMS 제도를 통해 기대할 수 있는 부분을 살펴보면 다음과 같다. 

첫째, 사회 전반적인 정보보호 수준이 높아질 것으로 기대된다.

정보보호안전진단 제도의 가장 큰 약점 중에 하나는 실효성 측면에서 조직의 정보보호 수준을 높이는데 도움이 생각보다 크지 않는다는 것이다. 이를 개선하기 위해 점검항목과 심사방법이 더 체계화된 ISMS를 제도화 한 만큼 전반적인 정보보호 수준이 높아질 것으로 기대가 된다.

둘째, 변화하는 IT 환경을 반영한 심사기준으로 인증 품질의 향상이 기대된다.

개정된 기준은 점검항목의 최적화를 위해 인증심사 통제사항이 현행 137개에서 104로 축소되는 대신에 거버넌스 강화 측면에서 경영진 책임과 최고정보보호 책임자 지정이 추가되고, 새로운 IT환경 변화에 따라 모바일 기기 통제와 스마트워크 보안이 추가되었다.

셋째, 정보보호관리 등급제를 통한 자율 규제와 동기부여가 강화된다.

ISMS 인증을 받은 이후에도 지속적인 투자를 통해 정보보호에 앞장서는 기업에게 등급(예를 들면, 우수 등급, 최우수 등급)을 부여해 줌으로서 자율 규제 측면의 효과를 기대할 수 있을 것으로 보인다. 이는 기존 인증을 부여 받은 기업이 지속적으로 관리체계를 개선하고, 기술적으로 투자해야 함을 의미하고 기업의 보안 수준을 높이는 동기부여가 될 것으로 보인다.

이와 같은 정보보호 관리 체계의 기대와 함께 인증 의무 대상자들의 심사 일정 편중으로 한꺼번에 몰릴 경우 심사 진행에 문제가 없도록 충분한 준비가 필요한 것도 사실이다. 또한, 신규 양성된 인증심사원이 기존 경험 많은 심사원과 동일한 심사 품질을 제공할 수 있도록 추가적인 교육 프로그램도 강화할 필요가 있어 보인다.

인증 대상의 급격한 증가와 심사 품질 보장을 위해 인증기관(KISA)에서도 인력과 조직체계를 보강할 필요가 있으며, 충분한 검증을 통해 민간인증기관을 지정하는 방법도 적극 검토할 필요가 있을 것이다.

추가적으로 등급제 시행을 통해 기존 ISMS 인증기업과 차별화된 혜택을 제공 함으로서 지속적이고 자율적인 보안 강화를 유도하는 정책도 활용할 필요가 있다.

정보보호관리체계는 조직의 전반적인 정보보호 수준을 높일 수 있는 가장 좋은 솔루션이다. 제도적 기반이 만들어진 만큼 잘 활용하여 국가 전반적인 보안 수준이 높아지길 기대한다.

[글. 박나룡 쿠팡 정보보안팀 팀장]