2019-11-14 15:00 (목)
[정경섭 대표-The Dark Side Of ISMS 시리즈-2] ISMS인증 의무대상도 조정이 필요해
상태바
[정경섭 대표-The Dark Side Of ISMS 시리즈-2] ISMS인증 의무대상도 조정이 필요해
  • 길민권
  • 승인 2019.09.02 14:36
이 기사를 공유합니다

정보보호 컨설팅 전문기업 이지시큐 정경섭 대표는 5회에 걸쳐 ISMS와 관련된 현실적인 이야기들을 데일리시큐 독자 그리고 국내 정보보호 실무자들과 공유하기 위해 아래 순서로 연재를 시작한다. ISMS 인증을 받았거나 준비하는 공공기관과 기업 보안담당자들에게 도움이 되길 바란다. -편집자 주-

[연재순서]

-The Dark Side Of ISMS 연재를 시작하며
-The Dark Side Of ISMS(1)-ITO의 딜레마
-The Dark Side Of ISMS(2)-ISMS인증 의무대상도 조정이 필요하다
-The Dark Side Of ISMS(3)-정보보호 공시제도를 들어보셨습니까?
-The Dark Side Of ISMS(4)-ISMS인증 과태료는 어디로?
-The Dark Side Of ISMS(5)-하나가 될 수 없는 운명. ISMS와 -P

습하고 무더웠던 올해 8월에는 유난히 ISMS(-P)인증 위원회를 통과하고 인증을 새로이 취득하거나 사후심사에 통과한 기분 좋은 소식들이 많았다. 눈에 띄는 것은 그 중의 상당수가 대학교라는 점이다. 2016년 6월 2일 시행된 '정보통신망 이용촉진 및 정보보호 등에 관한 법률'(정보통신망법) 개정에 따라 종합병원과 함께 ISMS 인증 의무 대상에 포함됐고 운영 수입 1500억원 이상, 학부 재학생 1만명 이상 대학교(42곳)이 대상이 되었다. 법률과 대학간의 입장차를 좁히는데 2년의 유예기간이 필요했고 그동안 많은 대학들은 ISMS제도에 공감하고 참여하기 시작했다.

그 결과 오히려 대학교는 의무 인증인 ISMS를 넘어 자율 인증인 ISMS-P까지 자발적으로 확대 취득하고 작년 하반기 통합되며 개선된 ISMS-P 인증의 정착과 안정화, 가속화에 기여하고 있는 모습이다. 2016년 정보통신망법의 개정 이후 거센 저항으로 맞섰던 대학교는 이제 인증기관 입장에선 고마운 파트너이자 홍보대사 역할까지 하고 있는 셈이다.

새옹지마 전화위복 고진감래 사필귀정이라 했던가. 어떤 말도 맞아 떨어지는 상황이다. 필자는 이 부분에 주목하고 싶다. 모든 새롭고 낯설고 익숙하지 않은 더군다나 어떤 형태로든 노력이나 자원이 필요한 일들을 처음 접할 때는 개인이든 조직이든 본능적으로 거부반응을 일으킬 수 밖에 없다. 비단 대학교뿐만이 아니었다. ISMS 인증제도가 의무대상을 정하고 강제적인 법률 규제로서 처음 시행 되었을 때부터 한참 동안 본인이 현장에서 보는 고객의 태도는 항상 똑같았다. 공감보다는 불평과 저항이 컸고 보안수준보다는 인증서가 중요했다.

지금은 그런 것이 없다고 볼 수는 없지만 필자가 현장에서 만나고 느끼는 고객의 ISMS 인증을 대하는 태도와 마인드와 보안 인식 수준은 훌륭하게 성장했다. 그래서 우리는 처음보다 더 나은 것이 있다면 개선하고 적용해야 하고 공감을 이끌어내야 하며 익숙하게 받아들여질 때까지 함께 고통을 분담해야 한다. (고통분담에 대해서는 다음 회차 칼럼에서 자세히 다룰 예정이다.) 아무튼 인증기관이든 수검기관이든 상호간에 납득할 수 있고 결국 이용자를 위한 인증이자 제도라는 점에서 공감할 수만 있다면 지금의 높아진 정보보호 인식을 토대로 성숙해지는 ISMS인증 제도를 완성해 나갈 수 있을 것이다.

그러기 위해서, 그렇게 되려면 다음 발걸음은 무엇이 되어야 할까? 현행 ISMS인증 의무대상은 다음과 같다.

△정보통신망 서비스 제공자(ISP, 서울 및 모든 광역시 정보통신망 서비스 제공)
△집적정보통신시설 사업자(IDC, 전년도 매출액 100억 이하인 영세 VIDC 제외)
△정보통신서비스 사업자 (전년도 매출액 100억 이상 또는 전년도 말 기준 직전 3개월 일일 평균 이용자 수 100만명 이상 )
△매출액이 1500억원 이상 중 상급종합병원 및 재학생 수가 1만명 이상인 대학교

위 4가지에 해당하는 기관이 바로 현행 ISMS 인증의무 대상이다.

그리고 대다수의 의무대상기관이 정보통신서비스 사업자에 해당한다.

그러나 괄호안을 보자.

전년도 매출액 100억 이상 또는 전년도 말 기준 직전 3개월 일일 평균 이용자 수 100만명 이상 이것이 현실적으로 인증의무 대상을 가르는데 공감할 만한 기준이 될 만한지 살펴야 한다.

개정전 구 ISMS는 직접적인 개인정보보호 영역이 관리 과정 안의 ’법적 준거성 검토’ 외에는 인증기준에서 직접 중요하게 다루지 않았다 하더라도 현행의 ISMS 인증 기준에는 '법적 요구사항 준수 및 검토' 항목과 보호대책 세부 점검 항목 중 27개에서 직접 개인정보 요구사항을 언급하고 있다. '-P'부분이 아닌 ISMS 보호대책에서 말이다.

결국 ISMS도 처음부터 정보주체인 이용자의 정보가 가득 찬 개인정보처리시스템을 보호하기 위한 인증이었으며 과거 PIMS가 개인정보의 라이프사이클 관점에서 더욱 강화된 개인 정보보호 인증이었기에 두 인증이 ISMS-P로 통합이 가능했던 것이다. 이제는 통합된 ISMS-P 점검 항목중의 3분의 2에 해당하는 ISMS에서도 개인정보처리시스템의 의미를 더욱 무겁게 받아들여야 한다. 실제로 ISMS-P가 아닌 ISMS인증 심사에서도 '법적 준거성 검토의 범위 안에서 개인정보보호법 및 정보통신망법 중 개인정보보호에 관한 법 규정을 매우 중요하게 보고, 보완, 추가, 강화 심사 기준으로 준용하며 적용하고 있지 않은가.

개인정보가 없는 시스템의 ISMS인증이 과연 얼마나 의미가 있을까?

지켜야 할 가치가 있는 물건이 하나도 들어있지 않은 금고가 얼마나 튼튼하고 완벽하게 뚫리지 않는지 따질 필요가 있겠는가?

결론을 말하고자 한다. 매출액 100억, 3개월 일일 평균 클릭뷰 100만명이라는 기준을 설정한 것은 인증의무 대상을 재단하는 계산을 편하게 하기 위한 이유 말고는 딱히 이해하기 어렵다.

개인정보보호법에서는 1,000건 이상의 개인정보가 유출되었을 시 정보주체에게 통지와 함께 유관기관에 신고하도록 하고 있으며 이를 지키지 않을 경우 무겁게 처벌하고 있다. 이것은 국가, 정부, 법령에서 개인정보 1,000건 이상은 유의하게 취급하고 관리하겠다는 의미다.

개인정보를 거의 보유하지 않고도 100억 이상의 매출을 올릴 수 있는 인터넷 사업자도 많다. 반면, 1,000만건 이상을 보유하고도 100억도 못 버는 사업자도 있다.

결국 ISMS인증 의무 대상이 되어야 하는 기준은 매출액이나 방문자 수가 아니라 개인정보 보유건 수 또는 보유한 개인정보 주체의 수다. 그러므로 빠른 시일 내에 정부와 기관에서는 법을 수정하여 ISMS인증 의무대상 기준을 아래와 같이 바꾸어야 할 것이다.

“정보통신서비스 사업자 (개인정보 보유건수 1,000건 이상)”

너무 현실성이 없다면 1만건 혹은 10만건이라도 어떤가. 중요한 건 결국 금고가 뚫리는지 아닌지가 아니라 금고 안에 가져갈 것이 있느냐 없느냐다. 영화대사처럼 무엇이 중한지 생각해보면 금방 알 수 있다.

필자. 이지시큐 정경섭 대표이사
필자. 이지시큐 정경섭 대표이사

[글. 정경섭 이지시큐 대표]

[PASCON 2019 개최]
하반기 최대 정보보안/개인정보보호 컨퍼런스 PASCON 2019
7시간 보안교육 이수 및 2020년 대비 보안실무 교육
-무료사전등록: https://www.dailysecu.com/form/register.html?form_id=1548736920

★정보보안 대표 미디어 데일리시큐!★


관련기사