정보보호관리체계(ISMS)는 민감한 정보를 가진 기업/기관이 정보보호 체계를 수립하고 유지하는지 여부를 심사하고 평가하기 위한 것이지만, 실제로는 ‘규제준수’에만 급급한 상황이다. 만성적인 심사원 부족, 하반기에 집중되는 심사 요청, 가짜 증적자료를 구분해내지 못하는 점 등은 한계로 꼽혔다. 또한 지난해 대학이 ISMS 인증에 대한 집단 보이콧에 나서면서 부정적인 인식은 더욱 높아졌다. 그러나 올해 대학의 반발이 다소 누그러지는 한편, 기업/기관의 인식도 개선되는 분위기다.<편집자>
“인증에 비용 투자하느니 과태료 내겠다”
ISMS 인증 의무 대상이 증가하고 있으며 인증을 획득하는 기업도 꾸준히 늘고 있지만, 재인증은 포기하는 기업도 늘고 있어 우려할 일로 판단된다. ISMS를 제대로 만들어 운영하는 기업도 있지만, ISMS 인증을 받는다고 해서 보안사고가 일어나지 않는 것도 아니고 업무 불편만을 가중시킨다는 이유로 인증을 포기하는 것이다.
ISMS 인증을 받고 유지하기 위해 투자하는 비용보다 과태료가 더 적다는 것도 중요한 이유가 된다. 인증 컨설팅과 장비구입 비용에 1억 이상의 비용이 들게 되는데 과태료는 3000만원이다. 사후심사 시 컨설팅을 받지 않는다고 해도, 사후심사에 필요한 증적자료를 만들기 위해 담당자 업무가 폭증하는 것도 인증 포기의 원인이 된다.
많은 기업들이 ISMS 인증 및 사후심사를 마치면 이 업무를 담당하는 직원이 퇴사한다는 고충을 토로한다. ISMS 인증을 위한 통제항목은 104개이지만, 세부항목까지 포함하면 253개, 현업 단위로 세분화하면 600개가 넘는다.
많은 경우 ISMS 인증만을 전담하는 조직이나 인력이 없으며, 관리조직이 원래 업무를 수행하면서 인증 업무를 추가로 수행한다. 특히 현업과 임원들이 준수해야 할 항목이 매우 많은데, 비밀번호 변경 및 관리, 암호통제, 접근통제, 정보보호 교육, 인적 보안 등의 항목은 상시적으로 준수하는지 관리하는 것이 쉽지 않은 일이다.
업무 폭증과 현업 및 임원의 비협조로 업무 부담을 느끼는 담당자들이 견디지 못하고 퇴사하면, 또 다른 사람이 맡아서 업무를 하다가 과중한 업무 부담과 스트레스로 또 다시 퇴사하는 일이 반복된다.
기업 입장에서는 인력을 채용하고 교육하고 유지하는데 매년 비용이 소요되며 업무 공백 중 발생할 문제를 해결하는 것도 심각한 일이기 때문에 ISMS 인증을 받는 것 보다 과태료를 내는 것이 더 합리적이라고 판단하게 되는 것이다.
ISMS 솔루션으로 인증 업무 부담 줄여
ISMS 인증 업무 부담이 크다는 점 때문에 담당자들이 무조건 거부하고 있어 ISMS 인증에 대한 부정적인 시각이 덧씌워지는 것도 사실이다. 특히 평소 보안관리가 제대로 되지 않는 기업일수록 인증을 위해 많은 조직들과 갈등을 빚으면서 인증 업무를 수행해야 하며, 수시로 보안 정책을 어기는 사람들을 찾아가 경고하고 교육하는데 너무 많은 시간과 에너지를 써야 한다.
변재영 인성정보 차장은 “인증 인력의 문제로 인증을 포기하는 난제를 해결하는데 ISMS 이행 준수를 도와주는 전문 솔루션이 도움이 된다. 솔루션은 증적자료를 자동으로 쌓으며, 보안규정을 어기는 행위에 대해 알람을 띄우기 때문에 현업에서 즉시 보안정책 위반 행위를 교정할 수 있다”고 말했다.
ISMS 준수 솔루션은 유와이즈원으로부터 인성정보가 인수한 ‘와이즈ISMS’, 지란지교에스엔씨 ‘미소’가 대표적이다. 컨설팅 업체들이 자체 개발한 솔루션도 다수 있지만, 대부분 컨설턴트가 엑셀로 정리해 제공하는 수준으로, 완성된 솔루션이라고 하기는 어렵다. 컨설팅 기업들은 통합 컴플라이언스를 위한 제품을 통해 ISMS 뿐만 아니라 여러 정보보안 규제를 동시에 만족할 수 있도록 도와준다.
ISMS 지원 솔루션의 기능이나 가격 등은 대동소이하다. ISMS 통제 항목을 규정하고, 해당하는 담당자가 이를 잘 지키면서 업무를 수행하도록 하며 증적자료를 자동으로 저장하고 보고서를 자동으로 생성시킨다. 그래서 심사 시 인증 업무 담당자의 업무를 줄여주고 효과적으로 인증 업무를 진행할 수 있도록 도와준다. 업무를 수행하는 과정에서 증적자료가 자동으로 저장되기 때문에 가짜 자료를 만들어 심사만 통과하겠다는 꼼수도 통하지 않는다.
변재영 인성정보 차장은 “ISMS 솔루션은 인증을 획득한 후 상시 보안통제가 작동하고 있다는 것을 증명할 수 있어 사후심사 시 유용하게 사용될 수 있다. 또한 다른 보안 규제준수도 지원할 수 있어 통합 컴플라이언스 솔루션 수요에도 대응할 수 있다”고 말했다.
인성정보의 ‘와이즈ISMS’는 가장 먼저 상용화 한 ISMS 솔루션으로, 유안타증권, 한국조폐공사, SK브로드밴드, S전자, K증권 등 다수 기업/기관에 구축됐다. 인성정보는 기존 고객이 엔터프라이즈 시장에 솔루션을 소개하는 한편, 금융·공공 분야로 확대시켜 나갈 계획이다.
컨설팅 기업은 리스크 관리 솔루션(RMS)으로 컴플라이언스 솔루션이 사용돼야 한다고 주장한다. 에이쓰리시큐리티의 ‘알파인더’의 경우, 규제준수와 위협관리, 자산관리, 취약점 관리 등과 연결할 수 있으며, 에이쓰리시큐리티가 수행한 컨설팅 방법론이 녹아있어 실제 업무를 진행하면서 컴플라이언스를 만족시킬 수 있도록 지원한다.
파수닷컴은 지난해 에스피에이스 컨설팅 사업을 인수하고 컨설팅 시장에 진출했으며, 데이터 관리 기술을 결합해 정보보호 역량을 높일 수 있도록 지원한다. 파수닷컴은 ISMS 컨설팅과 함께 보안정책 준수 증적을 지원하는 솔루션으로 ‘랩소디(Wrapsody)’를 제공한다. 랩소디는 유통중인 모든 문서를 관리하는 ECM 솔루션으로 문서의 생성, 이동, 저장 내역을 관리해 보안 담당자의 업무 부담을 줄인다.
인증 기관, 미인증 기관에 비해 보안 수준 높아
지상호 KISA 보안인증지원단장은 “사람들이 매년 건강검진을 받듯, 기업 보안 정책도 매년 점검을 받아야 한다. 그게 ISMS 인증이다”라며 “ISMS 무용론을 얘기하는 사람들이 많지만, 실제 설문조사 결과 ISMS 인증 수 전사적인 보안 수준이 상당히 높아진 것으로 나타난다. ISMS가 규제를 위한 규제는 아니라는 사실이 입증된 것”이라고 강조했다.
KISA가 지난해 ISMS에 대한 인식을 조사한 결과, ISMS 인증 후 내부직원의 보안인식이 확대됐다는 응답이 69.7%, 침해사고 위험이 감소했다는 응답이 66.4%, 정보보호에 대한 경영진의 이해가 높아졌다, 전담조직을 구성하고 정보보호 업무가 명확해졌다는 응답이 각각 65.5%로 높은 비중을 차지했다.
ISMS 인증기관과 미인증기관을 비교해 조사한 결과, 인증을 받은 기관이 그렇지 않은 기관보다 정보보호 중요성에 대한 인식과 투자에 긍정적이고, 침해사고 대응에 보다 적극적인 것으로 나타났다. 사내 정보보호 정책을 보유한 기업은 인증기관 91.8%, 미인증기관 41.8%, 정보보호 담당 인력 보유 항목에서 인증기관 94.5%, 미인증 기관 44.4%로 50%p의 차이가 발생하는 것으로 분석됐다.
대형 보안사고가 터진 후 사후 대책이 이전과 달라진 것도 규제준수에 대한 시각 전환에 큰 몫을 했다. 인터파크는 지난해 개인정보 유출사고로 45억여원의 과징금과 2500만원의 과태료를 부과 받았다. 현재 피해보상 소송이 진행되고 있어 막대한 피해보상 금액을 지불하게 될 수도 있다.
지금까지는 보안사고가 발생해도 기업이 그동안 정보보안에 투자해 온 노력을 인정한다며 소액의 과태료와 과징금을 부과했으며, 피해보상 소송에서도 법원은 기업의 손을 들어주었다. 이제는 전반적인 규제가 자율규제로 바뀌면서 대신 사고가 발생했을 때 서비스 기업이 책임을 지도록 하면서 기업들이 보안에 더 많은 투자를 하게 됐다. 특히 경영진의 생각이 매우 전향적으로 바뀌었는데, 보안을 보험이나 불요불급한 비용으로 생각하지 않고, 장기적으로 지속 가능하며 현실에서 적용할 수 있는 정책을 만들어 운영하고자 하는 의지를 강력하게 보이고 있다.
또한 규제준수만을 위한 컨설팅과 시스템 도입이 아니라 실제 비즈니스에 도움이 되는 방향으로의 보안을 유지할 수 있는 컨설팅을 요구하고 있다.
황병남 에이쓰리시큐리티 상무는 “ISMS는 관리적 보안을 강화해 침해사고 위협을 줄이기 위한 것인 만큼, 보안준수를 위해 업무를 불편하게 하거나 업무 부담을 높여서는 안 된다. 업무를 하면서 자연스럽게 보안 규정을 지키도록 습관화하는 것이 필요하다”며 “유연한 보안 정책으로 임직원의 거부 없이 쉽게 보안을 지키도록 체계를 만드는 것이 중요하다”고 강조했다.
