2024-03-29 08:50 (금)
[칼럼] 정보보호관리체계 인증을 생각하시나요?
상태바
[칼럼] 정보보호관리체계 인증을 생각하시나요?
  • 길민권
  • 승인 2013.08.02 04:05
이 기사를 공유합니다

정보보호 관리체계 인증, 효과적으로 취득하고 유지할 수 있는 방안
[홍성권 컨설턴트] 조직의 정보보호체계를 짧은 기간에 수립하고 일정 수준으로 높일 수 있는 방법이 있을까? 자본이 부족하고 보안 투자에 여력이 없는 벤처기업이나 중소기업이 보안수준을 높일 수 있는 방법은 있을까? 물론 방법은 있다. KISA의 ISMS 또는 ISO27001 등 국내외의 보안표준을 이용하여 정보보호 체계를 수립하고 지속적으로 운영을 한다면 인증을 받지 않더라도 보안수준을 높일 수 있다. 
 
KISA의 ISMS인증은 2월 18일 시행된 정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 정통망법)의 제47조 제2항에 따라 정보통신 서비스제공자는 올해 말까지 ISMS인증을 획득해야 한다. 또한 지난 7월 4일에는 미래창조과학부에서 정보보호산업 발전 종합대책을 통해 209개의 주요정보통신기반시설을 2017년 400개까지 확대하며 정보보호관리체계 의무인증 대상도 현재 150개에서 500개로 늘릴 예정이라고 한다.
 
KISA의 ISMS 인증 획득은 어쩔 수 없이 대세가 되었다. 의무화 대상에 포함된 기업은 정보보호관리체계를 수립하고 인증을 획득하여야 하며 그 대상을 점차 넓힌다고 하니 의무화 대상이 아닌 기업도 선제적으로 인증을 획득할 필요가 있다. 인증 획득을 추진하려는 조직은 자체적으로 수행하거나 컨설팅업체를 통해 체계를 수립하고 인증을 추진하고 있다. 
 
정보보호 관리체계 인증을 효과적으로 취득하고 유지할 수 있는 방안은 없을까? 이에 대해 필자는 몇 가지를 제안하는 바이다.
 
1. 인증범위를 명확하게 설정하여야 한다.
인증 획득을 추진할 경우 가장 먼저 해야 할 사항이 인증범위에 대한 정의이다. 인증범위는 전사 또는 특정 서비스나 조직 등으로 정할 수 있다. 만일 특정 서비스를 대상으로 인증을 추진할 예정이라면 다음 2가지를 고려하여야 한다. 첫 번째는 인증을 고려하는 서비스 이외에 추가적으로 서비스가 포함될 수 있는 지 여부를 따져봐야 한다. 두 번째는 인증 대상 서비스를 정했으면 포함되는 부서를 결정하여야 한다. 이 2가지 사항을 고려하지 않고 인증을 추진할 경우 추후 추가 컨설팅이 필요할 수 있으며 최악의 경우 원하는 일정에 인증을 획득하지 못할 수 있다.
 
2. 인증을 정보보호 조직 만의 일로 만들지 말자.
정보보호관리체계 인증은 대부분 정보보호 조직 또는 정보보호 업무를 수행하는 부서에서 인증을 추진하고 있다. KISA ISMS의 통제대책은 대부분이 정보보호 조직에서 추진하지만 영역에 따라 개발부서, 시스템 운영부서 등이 주체적으로 수행해야 할 사항도 있다. 이러한 부서들은 부서 고유의 업무에 높은 우선순위를 두고 정보보호 업무는 부가적인 업무로 취급하는 경우가 많다. 따라서 인증범위에 포함되는 부서 만이라도 정보보호 업무가 부가적인 업무가 아니라 핵심 업무 중의 하나 임을 인식시켜야 한다.
 
3. 인증을 위한 전담부서 또는 전담인력을 구성하자.
일부 기업 또는 조직에서 정보보호 조직이 아닌 시스템 운영 또는 IT서비스 제공부서 등이 인증을 추진하는 경우가 있다. 인증은 컨설팅 업체를 통해 체계를 수립하고 인증을 추진한다고 하더라도 정보보호관리체계를 지속적으로 유지하기에는 보안 기술 및 역량이 부족할 수 있다. 따라서 정보보호관리체계를 효과적으로 운영하고 인증을 지속적으로 유지하여 궁극적으로 정보보호 수준을 제고할 전담인력을 충원하여야 한다. 인력의 충원 시점은 인증을 추진하는 단계에서 하면 가장 좋지만 늦어도 컨설팅 업체의 컨설팅이 완료되기 전까지는 채용하는 것을 권고한다.
 
4. 인증 획득을 일회성 이벤트로 만들지 말자.
전담 인력을 확보하였으며 인증이 일회성 이벤트가 아닌 업무 프로세스에 반영될 수 있도록 지속적으로 시도를 하여야 한다. 정보보호 교육을 통해 임직원의 보안인식 수준을 제고하고 업무 처리 시 보안요건을 고려하여 추진하도록 관련된 내용을 교육하고 공지하여야 한다. 또한 내부 보안감사 등을 통해 정책/지침을 위반하는 사항에 대해 파악하여 상벌도 고려하여야 한다. 무엇보다 정보보호관리체계 인증이 정보보호 조직의 일이 아닌 전체의 일로 인식하게 해야 한다.
 
5. 경영진을 활용하자.
아무리 우수한 정보보호 조직 구성원이라고 하더라도 정보보호 활동을 촉진하는 데에는 한계가 있다. 이럴 경우 경영진이 솔선수범하여 정보보호 요건을 준수하고 정보보호 조직에 힘을 준다면 정보보호 활동은 좀 더 쉽게 수행될 수 있을 것이다. 물론 경영진이 정보보호 활동에 관심을 갖게 유도하는 것은 쉬운 일이 아니지만 이러한 것들은 시도하는 것 만으로도 효과는 있을 것이다.
 
기업에서 처리하는 산업정보, 개인정보 등 다양한 정보들이 유출되거나 악용될 경우 심각한 사회 문제로 발전할 수 있으며 매년 크고 작은 해킹사고가 발생하고 있다. 정보보호관리체계를 수립하고 인증을 획득한다고 이러한 해킹사고를 완벽히 방어하는 것은 아니다. 하지만 정보보호관리체계를 수립하고 운영할 경우 정보를 보다 안전하게 보호하기 위한 체계를 수립하고 보안사고 발생 시 신속하게 대응하여 피해를 줄이며 궁극적으로는 지속적으로 정보보호 수준을 제고하기 할 수 있기 때문이다.
 
글. 홍성권 정보보안 컨설턴트 / sungkwon.hong@gmail.com
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★