IT기술과 공격기법의 급속한 변화와 다양화가 만들어 내는 복합적인 IT 서비스 환경에서 각 기업이 정보자산을 안전하게 보호하고 관리하는 것은 그리 쉬운 일은 아니다. 이는 단편적이고 산발적인 정보보호 활동이 아닌 지속적인 정보보호 대응 체계를 기대할 수 있는 종합적이고 체계적인 정보보호관리체계(ISMS, Information Security Management System)를 수립함으로써 가능하다. 국내에 널리 쓰이는 인증제도는 국제표준인 ISO27001(2005, 정보보호경영시스템)와 한국정보보호진흥원(KISA)에서 정립하여 발표된 KISA-ISMS(2002, 정보보호관리체계)가 있다

정보보안의 위험을 동반하지 않을 수 없는 IT 서비스 환경, 특히 업무 수행 및 고객 서비스를 제공함에 있어 IT 시스템 및 인터넷 서비스의 활용 및 의존도가 심화되고 IT기술의 급속한 변화로 침해사고 또한 심화되는 상황에서 정보자산의 보호는 필수적이다.

IT기술과 공격기법의 급속한 변화와 다양화가 만들어 내는 복합적인 IT 서비스 환경하에서 정보자산을 안전하게 보호하고 관리하는 것은 수월한 일은 아니며 이는 단편적이고 산발적인 정보보호 활동이 아닌 지속적인 정보보호 대응 체계를 기대할 수 있는 종합적이고 체계적인 정보보호관리체계(ISMS, Information Security Management System)를 수립함으로써 확보 가능한 부분일 것이다.

정보보호관리체계(ISMS) 제도 현황

영국, 미국, 독일 등 주요 선진국은 정보보호의 중요한 수단으로써 정보보호관리체계를 구축·운영하고 이의 인증을 통해 정보보호 수준을 객관적으로 보증하려는 활동을 활성화하고 있다.

ISO27001는 정보보호관리체계의 기본적인 요구 사항을 규정하는 국제표준으로써 단순한 기술적 솔루션 측면의 접근이라 아니라 정보보호를 계획, 구현, 유지보수 및 검토, 지속적 개선 등과 같은 정보보호 프로세스에 중점을 두고 있다. 원래 이 표준은 영국의 BS(British Standard)의 7799로부터 발전된 것으로 2005년에 국제표준으로 발표되었다.

KISA-ISMS는 한국정보보호진흥원이 정립하고 발표하였으며 “정보통신망이용촉진및정보보호등에관한법률” 제 47조에 근거를 둔다(의무사항은 아니며 대상기관이 자율적으로 신청). KISA-ISMS는 정보통신망의 안정성 및 정보의 신뢰성을 확보하기 위해 수립, 운영하고 있는 기술적·물리적·관리적·조직적 보호조치와 통제사항을 포함한다.

일반적으로 정보자산의 신뢰성 및 안정적 서비스 확보, 인증획득을 통한 고객 신뢰성 확보 및 회사의 홍보 효과, 보안수준에 대한 객관적인 현황파악 및 중장기 사업계획 수립, 정보보호관리체계 구축 과정과 운영 과정을 통해 조직원들의 정보보호 수준과 인식을 제고함으로 최근 이슈가 되고 있는 내부자료 및 개인정보 유출과 오남용 등의 부작용 예방 등이 ISMS 인증을 받고자 하는 기관의 인증 추진 목적이 될 수 있다. 특히 정보보호가 업무 연속성 확보 및 사회적 책무와 더불어 기업 이미지 하락과 대고객 신뢰도 상실 등의 측면이 부각됨에 따라 중요 서비스에 대한 정보보호관리체계의 확립이 더욱 강조되는 추세로 보인다.

추가로 KISA-ISMS 인증을 받은 기관은 정보보호 안전진단 면제, 교육부의 원격 대학 평가 시 가점, 기업신용평가 및 기술평가 보증 시 가점, 국가 또는 공공기관 등의 사업 참여 시 가산점 부여, 정보보호관련 사고 시 배상책임 등의 보험료 할인 등 각종 혜택이 주어지고 있다.

정보보호관리체계(ISMS) 수립 과정

정보보호관리체계 수립 및 인증과정을 방송통신위원회 및 TTA(한국통신기술협회) 표준으로 등록되어 있는 한국정보보호진흥원의 KISA-ISMS를 중심으로 살펴보면 일반적으로 정보보호관리체계를 수립하고 운영하고 있는 기관이 인증기관에게 인증을 신청한 후 인증서 발급을 받기까지 소요되는 기간은 약 3개월 정도 소요된다.

정보보호관리체계를 수립 후 최초 인증을 받게 되면 그 인증의 유효기간은 3년이며 매년 1회 이상 사후관리 심사를 받아 인증을 유효성을 유지해야 한다. 유효기간의 만료 전 갱신심사를 받음으로써 인증의 유효기간을 연장할 수 있다.

정보보호관리체계는 정보보호정책 수립, 정보보호관리체계 범위 설정, 위험관리, 구현, 사후관리의 5단계의 관리 과정을 거쳐 수립 및 운영된다. 또한 조직 내부의 정보 자산, 사업 내용의 변화, 조직 외부의 위협 요소 및 취약성의 변화 등의 영향에 대처하기 위해 본 5단계 관리 과정이 일회성이 아닌 순환 주기의 형태로 수행되어야 한다.

인증심사는 서면심사와 기술심사로 구분되며 전문 심사원으로 구성된 심사팀이 인증 신청기관에 방문하여 심사를 진행한다. 인증 심사 기준으로는 이미 언급된 정보보호관리체계의 관리 과정 5단계, 정보보호관리체계 수립 및 운영의 근거를 위한 문서화 과정의 요구사항, 15개 분야의 120개 세부항목으로 분류된 정보보호대책이 포함 된다. 인증심사에서 발견된 결함사항에 대해서는 신청기관이 보완조치를 할 수 있도록 한 달 간의 시간을 주며 보완조치가 완료된 후 인증위원회를 개최하여 심사결과에 대한 최종 심의를 한 후 인증여부를 결정하게 된다.

ISMS 수립 및 운영 시 유의점

● ISMS 수립 및 유지 측면

기관의 ISMS 인증 최초 심사는 보안컨설팅의 도움을 받아 진행되는 경우가 많아 보안컨설팅의 상세한 조언 및 협력을 통해 수립이 이루어진다. 그러나 최초 심사 이후의 사후관리 시에는 예산부족, 자체 역량강화 등의 이유로 기관의 자체 정보보호조직만으로 ISMS를 유지하는 경우가 많다. 문제는 자체 정보보호조직의 ISMS 수립 및 운영에 대한 역량 부족으로 인해 시간이 지남에 따라 더욱 고도화 되어야 할 ISMS의 수준이 오히려 낮아 질 우려가 발생한다. 이에 대한 개선점으로는 다음을 고려 해 볼 수 있을 것이다.

첫째, 최초 심사 시 정보보호컨설팅을 활용해 자체 ISMS 수립 및 운영에 대한 기술을 충분히 전수 받는다. 이를 위해서는 기술전수에 대한 사전 협의나 계약이 이루어져야 할 것이다. 둘째, 해당 기관의 정보보호 실무자를 위한 사후관리 실무 교육 및 교육 자료를 마련하고 ISMS운영 초기에는 특히 교육의 수강이 필요하다. 추가로 ISMS 수립 및 운영 기술에 대해 살펴보자면 해당 기관의 정보보호 실무자가 ISMS를 자체 운영하는데 있어서 가장 기술적으로 어렵게 느껴지는 부분이 바로 위험분석이 될 것이다. 이를 위해 보안컨설팅을 활용해 해당 기관의 조직 및 업무 특성, 재정적인 조건이나 역량을 고려하여 보다 원활히 유지할 수 있도록 위험분석 방법 및 절차를 수립하여야 할 것이고 수립된 위험분석 산출물에 대한 이해 및 운영 기술의 충분한 습득이 필요할 것 이다. 또한 이를 뒷받침하기 위한 ISMS 제도적 개선도 고려되어야 한다고 본다.

● ISMS 운용 조직 측면

ISMS 최초 심사 후 운영 단계에서 가장 빈번히 발생하는 문제점으로는 중요정보보호 활동이나 ISMS 운영 필수 문서의 업데이트가 미흡한 점을 꼽을 수 있다. 이에 대한 원인은 첫째로 해당 기관의 조직 및 업무 특성에 최적화 되지 않고 지나치게 표준화된 관리절차이고 둘째는 정보보호 실무자의 업무 분장 시 정보보호 업무의 비중 소홀로 진단 할 수 있다. 두 사항 모두 정보보호 조직의 규모가 작고 업무영역이 특화되어 있는 규모가 작은 기관일수록 발생 될 우려가 높다. 마지막으로, ISMS가 업무 과정에서 반드시 수행되어야 할 부분이 아닌 인증서 취득을 위한 일회성 작업이라는 인식을 원인으로 들 수 있겠다.

개선 방안으로는 최초 인증 후 1, 2년 차에는 정보보호 실무자가 ISMS 운영 업무에 보다 많은 시간을 할당 할 수 있는 업무분장과 그에 앞서 ISMS 수립 시 해당 기관의 비즈니스 및 업무구조에 맞춰 지나친 정보보호활동 및 정보보호 프로세스의 형식화를 지양하여 실무적이고 효율적인 관점에서의 접근이 필요하겠다. 또한 보안교육을 통해 구성원으로 하여금 업무 수행 시 보안의 필요성을 인식하도록 하고 나아가 경영자의 확고한 의지표명, 상벌제도, 이벤트, 홍보 등을 통해 자발적인 참여를 유도해야 하겠다.

앞서 살펴본 바와 같이 종합적인 정보보호관리체계의 구축의 중요성이 그 어느 때보다 강조되는 상황이다. 발전적이고 효율적인 정보보호관리체계의 수립 및 운영을 위해 급속히 변화하는 IT 기술의 변화 반영, 기관의 규모나 업무 특성의 고려한 제도의 운영 및 ISMS 제도의 의무화 추진 등을 고려해 볼 수 있을 것이다. 향후 산업전반의 실질적인 정보보호의 수단 및 국가적 정보보호 역량강화의 주력으로 정보보호관리체계의 역할을 기대해 본다.

<글 : 김원태 시큐아이닷컴 컨설팅팀 대리(wontae7.kim@samsung.com)>

[월간 정보보호21c 통권 제106호 (info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>