[강은성의 CISO 스토리]정보보호 인증과 정보보호 수준


어느 정도 규모가 있는 회사의 CISO라면 정보보호 관련 인증을 받을지 한번쯤 검토해 봤을 것이다. 법적으로 인증 의무 대상이거나 가까운 미래에 대상이 될 기업이 아니라 하더라도 법에 나와 있는 정보보호 인증을 획득하면 보안 사고가 발생했을 때 도움이 될 수 있기 때문이다.

정보통신망법에서는 전년도 마지막 석 달의 하루 평균 방문자 수가 100만 이상이거나 정보통신서비스 부문 매출이 100억원 이상인 정보통신서비스 사업자들에게 정보보호 관리체계(ISMS) 인증 획득을 의무화 하고 있다. 이것을 위반하면 1천만원 이하의 과태료가 부과된다.

또한 같은 법에서 규정한 개인정보보호 관리체계(PIMS) 인증은 의무는 아니지만 개인정보 사고 발생시 인증을 취득한 업체에게 과징금이나 과태료를 최대 50%까지 줄여 준다.

개인정보보호법에는 PIMS와 비슷한 인증으로 개인정보보호 인증제(PIPL)가 있는데 이것 역시 의무는 아니지만 인증을 취득한 업체에게는 이 법에 따라 실시하는 기획점검 대상에서 제외해 주거나 실시 유예, 행정처분(과징금ㆍ과태료) 감경 등의 혜택이 있다.

정보보호 인증을 받기 위해서는 정보보호 부서뿐 아니라 IT부서, 개발부서 등 사내 여러 부서들이 참여해야 한다. CEO의 의사결정이 있어야 추진할 수 있다는 말이다. CEO의 승인을 받으려면 인증 획득의 목적을 잘 설명해야 하는데, 크게 다음 3가지를 잡을 수 있다.

(1) 규제 대응 (법규 준수)

(2) 정보보호 이미지 제고 (정보보호 소홀 이미지 방지)

(3) 정보보호 수준의 객관적 평가와 실질적인 향상

ISMS 의무 대상이거나 법에서 정한 혜택을 기대하는 기업이라면 위 (1)이 1차적인 목적이 될 것이다. (2)는 인증을 획득함으로써 얻어지는 효과인데 의무 대상이 아닌 기업이나 업계 최초로 받는 업체들은 이런 효과를 누릴 수 있겠다. 의무 대상인 기업은 정보보호를 소홀히 한다는 이미지를 방지하는 효과가 있을 것이다.

(3)의 목적 중 우리 회사 보안 수준의 객관적 평가는 인증 추진과정에서 어느 정도 신경을 쓰면 얻을 수 있어서 이를 알고 싶어하는 경영진이 있다면 그에 부응할 수 있다. 하지만 가장 바람직한 것은 인증 획득 과정을 통해 회사의 실질적인 정보보호 수준이 높아지는 것이다.

인증을 추진하다 보면 (3)을 위해 시작했다 하더라도 어느 순간 (1)을 목적으로 일이 돌아가는 경우가 생긴다. 어쨌든 인증은 따야 하니 말이다. (3)을 위해서는 근본적인 정보보호 대책을 세워 구현해야 하는데, (어렵더라도) CEO의 의사결정을 받아 진행하면 즉시 시행할 수 있는 대책도 있지만, 기존 IT시스템, 개발 프로세스(관행)의 변화와 연계되고, 시스템을 구축하는 등 단기간에 하기 어려운 일들도 생긴다.

단기적으로는 증적 확보로 처리하더라도 떡본 김에 제사 지낸다고 인증을 받기 위해 전사가 움직이는 시기에 그 동안 쌓였던 보안 문제를 샅샅이 찾아내고 근본적으로 해결하는 계기로 삼으면 좋겠다. CISO가 끝까지 챙기셔야 가능하다.

처음 인증을 취득할 때에는 인력이나 경험의 부족 때문에 인증 컨설팅을 받는 기업들이 많다. 인증 컨설팅은 대체로 ▲관련 문서 취합ㆍ작성(조직, 정책, 정보자산 목록, 네트워크 구성 등) ▲취약성 분석 및 정보보호 대책 수립 ▲정보보호 대책 구현 ▲증적 확보 ▲모의 심사로 진행된다. 이 과정에서 CISO에게 가장 도움이 되는 것은 컨설턴트들이 IT 부서나 개발자 등 현업 인력과의 인터뷰와 실사를 통해 정보보호 현황과 취약점을 분석하는 단계이다.

IT 구성이나 인력의 변화, 서버, 네트워크, 개발 프로세스, 정보보호시스템 등에서의 취약점 등 내가 미처 파악하지 못했던 것들을 찾아내 주기 때문이다. 큰 사고는 있는지도 모르는 취약점을 통해 발생하는 경우가 많다. 알면 어떤 식으로든 ‘관리’할 수 있다.

굳이 인증을 획득할 필요가 없는 회사라면 인증의 상세 점검항목을 이용해 자체적으로 점검하는 것도 한 방법이다. 정부에서 주관하는 세 가지 인증은 상세 점검항목이 공개되어 있어서 사용할 수 있다. 중견기업 정도면 ISMS를 기준으로 하고 PIMS의 개인정보 생명주기 항목들을 함께 활용하실 것을 권해 드린다. 중소기업은 PIPL을 이용하실 수 있다. 특히 개발보안, 접근통제, 운영보안, 암호통제와 같이 보안사고와 직결되는 부분을 철저하게 점검하시기 바란다. 타 부서의 적극적인 참여가 필요한 대목이다.

말술을 자랑하는 사람들도 이직하거나 늦둥이를 갖게 되면 건강에 신경을 쓰게 된다. 이 때 건강검진을 받게 되면 받기 전에 음식을 조절하고 운동도 좀 열심히 하고, 건강검진 결과를 세밀하게 들춰 본다. 정보보호 인증은 그런 ‘중요한 건강검진’과 비슷하다. 건강검진 결과가 그 사람이 암에 걸리지 않는다는 것을 보증하지 못한다. 게다가 보안은 호시탐탐 회사의 중요자산을 노리는 범죄자와의 전투다. 건강검진의 가장 큰 효과는 지금 나의 건강상태를 알 수 있고, 식사조절이나 운동 등 건강을 위해 뭔가 결심하고 실천하는 게 아닐까 싶다.

정보보호 인증 역시 회사의 정보보호 수준을 알고, 그것을 실질적으로 높이는 계기로 삼아 실행해 나가는 것이 핵심 목적이 되는 것이 바람직하리라 생각된다.

강은성

소프트웨어 개발자로 시작하여 보안전문업체에서 보안대응센터장, 연구소장을 거치고, 포털회사에서 최고보안책임자를 역임한 1세대 전문 CISO이다. 오랜 직장생활을 통해 개발, 사업, 프로세스, 보안 등 다양한 업무를 경험한 덕분에 보안 부서뿐 아니라 경영진, 현업, 스탭, 고객 등 다양한 관점에서 보안을 바라보고 소통하면서 회사의 보안 수준을 높이기 노력해 왔다. 이제 CISO Lab을 설립하여 기업 관점에서 정보보호 전략컨설팅, 자문, 교육 등을 통해 한국 사회의 보안 수준을 높이겠다는 포부를 가지고 활발한 활동을 벌이고 있다. 저서로 'IT시큐리티'(한울, 2009)가 있다.

관련기사


포토뉴스