오는 25일부터 시행되는 유럽 일반개인정보보호법(GDPR)으로 기업/기관은 많은 혼란을 겪고 있다. 다행히 우리나라 개인정보보호법과 유사한 부분이 많이 있어 개인정보보호법을 준수해 온 기업/기관이라면 GDPR에도 잘 대응할 수 있을 것이라는 해석이 나온다.
정세웅 지란지교에스앤씨 본부장은 “GDPR은 큰 틀에서 개인정보보호법과 다르지 않다. 그러나 개인정보보호법처럼 구체적이지 않고 모호한 부분이 많기 때문에 기업/기관의 대응이 어려운 것”이라며 “규제를 만족하면서 업무를 진행할 수 있는 방법이 있으면 규제준수에 많은 도움이 된다”고 설명했다.
지란지교에스앤씨는 정보보호관리체계(ISMS) 인증과 유지 업무를 도와주는 컴플라이언스 시스템 ‘미소(MISO)’를 ‘보안규정 업무관리 시스템’으로 소개하면서 여러 보안 규제의 준수를 지원할 수 있다고 소개한다. GDPR은 아직 ‘미소’에 반영되지 않았지만, 새로운 규제 준수 요건을 쉽게 반영할 수 있는 템플릿을 제공해 GDPR을 위한 구체적인 가이드라인이 발표되면 즉시 반영할 수 있다.
컴플라이언스 리스크 낮추는 규제준수 솔루션
보안규정 업무관리 시스템은 ISMS 인증 의무화가 시작된 2013년부터 출시됐으며, 초기에는 ISMS 인증 항목을 만족했는지 확인하고 증적을 관리하는 단순한 시스템으로 시작했다. 이후 지속적인 업데이트를 통해 정보통신망법, 개인정보보호법, 국정원 보안실태 점검, 주요 정보통신 기반시설 취약점 분석 및 평가, ISO 27001, 의료기관·교육기관 등의 보안진단 및 정보보호 감사 등 여러 보안 컴플라이언스를 지원하는 시스템으로 발전했다.
현재 이 시장에는 지란지교에스앤씨의 ‘미소’와 인성정보의 ‘와이즈ISMS’, 씨에이에스의 ‘시큐어GRC’ 등이 경쟁하고 있다. 초기에는 많은 컨설팅·감리기업, 보안 기업들이 경쟁적으로 솔루션을 출시하고 경쟁을 시작했으나 대부분의 경우 단순한 체크리스트 방식으로 실제 업무와 맞지 않아 시장에서 사라지게 됐다.
정세웅 본부장은 “기업/기관이 준수해야 하는 국내외 보안규제가 매우 많으며, 중복되거나 충돌하는 부분이 있어 컴플라이언스에 어려움을 주고 있다. 또한 개별 규제들은 수시로 개정되고 있으며, GDPR과 같은 새로운 규제가 발표되면 이를 업무에 반영할 때 어려움을 겪게 된다”고 말했다.
그는 “규제준수를 도와주는 자동화된 시스템은 고객의 비즈니스와 업무 특성을 분석하고 적용되는 규제 항목을 파악해 업무 시스템 내에서 자동으로 규제준수를 만족시킬 수 있도록 지원한다. 이를 통해 기업은 컴플라이언스로 인한 리스크를 낮추면서 본업에 더욱 집중할 수 있게 된다”고 설명했다.
통합 ISMS로 규제준수 솔루션 시장 ‘주목’
보안규정 업무관리 시스템 시장은 경쟁이 치열하게 벌어지거나 시장 규모가 대폭 확대되고 있지는 않다. 많은 기업들은 컴플라이언스 솔루션으로 규제준수 요건을 만족시키고자 하기보다는 규제준수 시스템을 직접 개발해 사용하거나 업무 프로세스에 일부 포함시키는 방법을 채택하고 있다.
그러나 GDPR을 비롯해 세계 각국에서 개인정보 보호 규제를 강화하고 있으며, 우리나라에서도 각종 보안규제가 계속 변하고 있기 때문에 보안규정 업무관리 시스템의 수요가 증가하게 될 것으로 기대된다. 특히 우리나라에서는 ISMS와 PIMS가 통합돼 기존의 인증업무에 변화가 생기게 됐으므로 ISMS 인증과 유지를 위한 컨설팅과 솔루션 도입이 늘어날 것으로 기대된다.
정세웅 본부장은 “보안 규제는 일시적인 것이 아니다. 한 번 인증 받으면 끝나는 것이 아니라 평소 업무 절차에서 인증 항목을 지속적으로 준수하고 있다는 증적을 남겨야 하고, 사고가 발생했을 때 성실한 관리자의 의무를 다했다는 사실을 소명할 수 있어야 한다”며 “PDCA(Plan Do Check Act) 기법에 따라 계획하고, 실행하고, 확인하고, 지속하는 업무 프로세스 관리가 필요하다”고 설명했다.
지란지교에스앤씨의 ‘미소’는 국내 보안규제를 모두 지원하며, 소스코드 변경 없이 새로운 컴플라이언스를 추가할 수 있어 규제가 개정되거나 새로운 규제가 제정됐을 때에도 신속하게 대응이 가능하다.
정 본부장은 “미소는 향후 ‘보안 포털’로 발전해 나갈 것이다. 미소를 통해 다른 솔루션 연동을 이루면서 비즈니스 내에서 보안 요건이 자동으로 만족될 수 있도록 지원할 것”이라며 “커스터마이징을 최소화하고 자동화된 패키지 솔루션으로 공급해 고객 만족도를 더욱 높일 것”이라고 설명했다.
