정보보호관리체계(ISMS)는 민감한 정보를 가진 기업/기관이 정보보호 체계를 수립하고 유지하는지 여부를 심사하고 평가하기 위한 것이지만, 실제로는 ‘규제준수’에만 급급한 상황이다. 만성적인 심사원 부족, 하반기에 집중되는 심사 요청, 가짜 증적자료를 구분해내지 못하는 점 등은 한계로 꼽혔다. 또한 지난해 대학이 ISMS 인증에 대한 집단 보이콧에 나서면서 부정적인 인식은 더욱 높아졌다. 그러나 올해 대학의 반발이 다소 누그러지는 한편, 기업/기관의 인식도 개선되는 분위기다.<편집자>
인증 범위 외에서도 사고 발생
ISMS는 인증 획득 후 상시적인 관리를 강제하기 위해 1년마다 사후 심사를 받도록 하고 있지만, 사후심사만으로도 보안을 보장할 수는 없다. 많은 기업들이 ISMS 인증 획득 후 보안 정책을 제대로 지키지 않고 있다가 사후심사 시기가 도래하면 그 때에서야 보안 시스템을 가동하고 그동안 만들지 못했던 증적자료를 만드는데 분주해진다.
망분리를 운영하고 있으면서 결재 없이 내부 자료를 외부로 무단으로 전송하거나, 주요 시스템 접근통제를 제대로 하지 않고 주요 시스템 계정을 권한 없는 사람들과 공유하면서 보안 정책을 무시하는 일이 일어난다.
사후심사를 위해 증적자료를 수집할 때 미비한 부분에 대해 인증팀이 자료를 위조해서 만든다 해도 심사원들이 그 자료의 위변조 여부를 판단하지 못하는 경우가 많다. 따라서 제대로 운영이 되고 있지 않다고 의심이 되는 상황에서도 명문화된 통제항목만을 만족시키면 사후심사를 통과시키게 되는 것이다.
ISMS 인증 수요가 하반기에 몰려 심사에 충분한 시간을 쓸 수 없다는 것도 한계로 지적된다. ISMS 인증 대상이 연말 혹은 연초에 발표되고, 해당 기업들이 이를 준비해서 컨설팅을 수행하면 상반기가 지나간다. 하반기에 인증을 신청하고 심사하기 때문에 하반기에 수요가 몰릴 수 밖에 없게 된다.
ISMS 인증 심사원들이 자격증만 따고 현장 심사에 투입되지 못하는 경우가 많다는 것도 심사를 원활하게 진행하지 못하는 원인 중 하나다. 많은 심사원이 본업을 갖고 있으면서 심사원 자격을 획득한 상황으로, 심사를 위해 회사에 휴가를 내고 2주 이상 심사현장에 투입되지 못한다. 또한 실력 있는 심사원은 컨설팅 업체에 근무하는 인력이 많아 심사가 몰리는 시기에는 컨설팅 프로젝트에 투입된 상태로 인증심사를 할 수 없는 상황이 된다.
이러한 현실 때문에 기업은 ISMS를 단순한 체크리스트 정도로 여기고 정보보호 관리체계를 만들고 유지하려기보다 규제준수만을 위한 최소한의 활동을 할 뿐이다. 최근 발생하는 대규모 침해사고는 ISMS 인증을 받은 기업들이 당하는 것은 이러한 한계를 입증하는 것이라고 할 수 있다.
유영록 씨에이에스 솔루션사업부문 대표는 “의무대상 중 인증만 취득하면 된다고 생각하는 기업이 많다. 또한 인증 취득 후, 운영 및 관리 소홀로 인해 인증의 효과가 감소되는 경우가 있다”며 “PDCA(Plan-Do-Check-Action) 사이클에 따라 정보보호 관리체계를 지속적으로 운영 및 관리해야 외부/내부 위협으로부터 안전하게 자산을 지킬 수 있다. 더불어 인증범위 이외에서 유출사고가 많이 발생하는 편이므로 인증범위는 전사 확대가 필요하다”고 지적했다.
보안 정책 강제해 사고 위험 최소화
‘ISMS 무용론’은 보안정책이 제대로 지켜지지 않는다는 것을 전제로 하고 있다. 임직원은 보안 정책을 가급적 지키지 않고 편하게 업무를 수행하고자 한다. 특히 고위임원일수록 보안정책을 수시로 무시하기 때문에 심각한 보안홀이 된다. 보안 정책을 지키지 않는 사람들 때문에 ISMS가 무용지물이라고 말하는 것은 논리적으로 맞지 않는다.
황병남 에이쓰리시큐리티 상무는 “ISMS는 침해사고 방지를 담보하지 않으며, 사전예방을 통해 침해사고를 최소한으로 줄여주는 조치이다. ISMS로 보안정책 위반사항을 통제하기 때문에 침해사고를 줄일 수 있다”며 “강력한 망분리로 보호되는 시스템도 사소한 정책위반으로 인해 대형 사고를 겪게 된다. ISMS를 통해 정책 준수를 강제함으로써 보안사고를 최소화할 수 있다”고 설명했다.
ISMS와 관련된 합당한 지적 중 하나가 유사한 컴플라이언스가 너무 많아 중복된 규제를 준수하는데 어려움을 겪고 있다는 점이다. 정부는 ISMS와 가장 많이 중복되는 개인정보영향평가(PIA), 개인정보보호관리체계 인증(PIMS) 등을 통합하겠다고 오래 전 부터 발표해왔지만 주관기관이 달라 통합 작업이 쉽지는 않은 상황이다.
컴플라이언스 요구에 직면한 기업/기관은 중복되는 규제준수 요건을 만족하기 위해 통합 컴플라이언스를 진행할 필요가 있다. 정보보안 컨설팅은 중복되는 규제 준수 요건을 효과적으로 통합해 적용할 수 있게 하며 명확하지 않은 항목에 대해 대안을 제시하기 때문에 인증 신청 전 전문 컨설팅 서비스를 이용하는 것이 바람직하다.
보안 전문 컨설팅으로 인증·유지 효율성 높여
에이쓰리시큐리티는 보안 컨설팅만을 주요 비즈니스로 수행해 온 기업으로, 금융, 공공, 통신, 기업 등 다양한 분야의 기업 환경에서 컴플라이언스를 위한 컨설팅을 제공한다. KT가 가장 대표적인 고객으로 꼽히며 통신사에 대한 강력한 컴플라이언스를 만족시킬 수 있는 정책을 제안해 보안을 강화하고 있다. 또한 컴플라이언스를 준수하는 솔루션 ‘알파인더-CMS’ 제품군은 종합 리스크 관리(RMS) 솔루션으로 업계에서 좋은 선례를 만들어가고 있다.
한편 에이쓰리는 금융 컴플라이언스 사업을 강화하기 위해 PCI-DSS 인증 컨설팅 지원을 의한 조직을 갖추고 있다. 핀테크산업 활성화로 국내 카드사들도 해외진출 계획을 타진하고 있는 만큼, PCI-DSS 인증 수요도 나올 것으로 기대한다.
씨에이에스는 다수의 ISMS 컨설팅과 많은 경험을 기반한 각 프로젝트에 맞는 모듈화된 컨설팅 방법론이 있으며, 각 기업의 특성과 환경에 맞게 최적화 적용하여 컨설팅을 수행한다.
C.SAM(CAS Security Assurance Methodology)은 6단계로 이뤄져 있으며 계획수립 단계에서부터 종료 후 보증 및 후속지원 관리 절차까지 전 순환 주기에 걸친 품질관리, 위험관리, 자원관리 등의 모든 수행 관리가 제공된다.
자동화 도구인 보안통합관리 ‘시큐어GRC(SecureGRC)’ 솔루션 군의 핵심인 보안컴플라이언스관리 ‘에스컴플라이언스웨어(sComplianceWare)’ 솔루션을 활용해 정보보호관리체계 구축 후, 관리자와 담당자들이 운영 및 관리를 손쉽게 할 수 있도록 한다.
대표 고객으로 하나은행, 경희의료원, NICE정보통신 등이 있으며, 에스컴플라이언스웨어를 포함한 시큐어GRC 솔루션 사례는 농협생명, 미래에셋생명, S카드, S생명 등이 있습니다. S카드 사례는 보안거버넌스의 성공적인 구축사례로 여러 금융기관의 벤치마킹 대상이 되고 있다.
유영록 대표는 “앞으로 IT 환경의 변화와 급속한 발전으로 인해 내/외부의 위협은 더욱 증가할 것”이라며 “씨에이에스는 주요정보통신기반시설, 전자금융기반시설, 정보보호관리체계, 개인정보영향평가 등 현재의 시장 외에 핀테크, 클라우드, 빅데이터, 블록체인, 인공지능, 모바일 등과 같은 신기술 보안 시장이 확대될 것으로 예상되는 바, 이러한 시장 진입을 위해 준비하고 있다”고 밝혔다.
