[인터뷰] 정성헌 BSI 매니지먼트시스템즈 코리아 본부장

정보는 기업 운영에 있어 중요한 자산일 뿐만 아니라 기업의 존폐를 결정짓는 요인이 될 수도 있다. 하지만 기업이 그렇듯 중요한 정보 자산을 관리하고 보호하는 것이 쉽지 않은 것이 사실이다. 그런 측면에서 이를 감사할 수 있는 유일한 국제표준인 정보보호경영시스템 요구사항을 정의하며, 적합한 보호관리시스템을 선택할 수 있도록 고안된 ISO 27001에 대한 관심이 집중되고 있다. 이에 조직의 효과적인 ISO 27001인증획득과 기업가치의 창출을 위한 인증기관인 BSI 그룹의 (이하 ‘BSI코리아’) 정성헌 본부장을 직접 만나 ISO 27001 정보보호경영시스템을 비롯해 그가 생각하고 있는 보안이야기를 들어봤다.

-우선 ‘BSI’에 대한 소개 말씀 부탁한다.

영국표준협회인 BSI(British Standards Institution)는 표준규격 제정 및 인증서비스 분야에서 세계적인 명성을 유지하고 있는 세계 최대의 국가 표준 제정기관(NSB)이다. BSI가 제정하고 있는 영국의 국가표준인 BS는 유럽표준(EN)을 거쳐 전 세계적으로 사용하고 있는 국제표준(ISO)으로 채택돼 왔다. 경영시스템 분야의 품질경영시스템인 BS 5750이 ISO 9001로, 정보보호경영시스템인 BS 7799가 ISO 27001로 채택된 것을 그 예로 들 수 있겠다.

한국에서는 ISO 9000 규격이 처음 도입된 시점인 1989년부터 ISO 인증심사를 수행하던 중 고객의 편의와 더 좋은 서비스를 제공하기 위해 1998년 한국내 합작법인인 BSI코리아를 설립하게 됐다. 그런 측면에서 BSI코리아는 종합적이고 장기적인 안목을 가지고 고도로 훈련된 각 분야별 전문심사위원에 의해 수준 높은 심사와 서비스를 제공함으로써 기업의 경쟁력을 확보하고 지속적인 품질 개선의 초석을 구축하며 경영시스템의 발전과 효율적인 운영을 할 수 있도록 지원하고 있다.

-ISO 27001의 국내 인증 획득 현황은 어떤가?

정보보호경영시스템인 BS 7799가 지난 2000년 5월에 국내에 소개된 후 2005년 현재의 ISO 27001로 업그레이드 되기 전 5년 간 국내 기업이 이를 획득한 수치는 30여개에 불과했으며, 이후 현재까지 모두 120여개 업체가 ISO 27001을 획득했다.

표면 수치만으로 본다면 3배가 증가했지만 일본의 경우와 비교했을 때, 이는 국내 기업들이 여전히 보안에 대한 마인드가 부족하다는 것을 단적으로 보여준다. 일본은 현재 ISO 27001 인증을 획득한 수치가 무려 3천여 기업에 이른다.

-그러한 이유는 무엇이라고 여기는가?

앞서 언급한 수치는 한국과 일본 경영주, 즉 CEO의 보안에 대한 마인드의 차이를 보여 준다. 한국 기업의 CEO들은 보안을 비용으로만 생각하는 측면이 있는 것 같다. 그래서 돈이 있고, 여유가 있으면 보안에 대해 신경을 써볼까 하는 정도의 수준인데 반해 일본 기업의 CEO들은 정보보안에 대해 회계나 재무 등 기업을 이루는 당연한 시스템으로 보는 것처럼 보안시스템도 기본적으로 갖춰야 할 기업시스템 중 하나로 인식하고 있다는 점이 바로 그런 수치를 보여준 것이라 여긴다.

특히 제조업종에서 분야별로 1위 업체는 기술보안을 무조건 하려고 한다. 기술적으로 지키려고 하는 토대가 형성돼 있는 것이다. 1970,80년대 한국은 일본인 고문, 즉 일본 기술자들을 통해 기술들을 쉽게 유입함으로써 경제성장을 이룰 수 있었다고 생각한다. 예를 들어, 신화창조의 비밀과 같은 TV프로그램을 보면, 그 중 빠지지 않는 것이 일본·미국 등의 선진 기술들을 카피해왔다는 얘기들이 빠지지 않고 등장하는 것을 봤을 것이다. 그리고 그들 업체들은 빼온 기술을 발전시켜 현재의 글로벌기업을 이루며 이를 제2, 3의 업체들에게 빼앗기지 않으려 정보보안에 힘쓰고 있다. 과거 한국 기업들이 일본 기술을 어려움 없이 도입할 수 있었던 것은 당시만 하더라도 일본은 그러한 정보보안의 중요성을 인지하지 못했기 때문이다. 하지만 현재의 상황은 다르다. 일본 기업들은 이제 더 이상 자신들의 소중한 정보를 그 누구에게도 빼앗기지 않기 위한 장치를 마련하고 있다.

-그렇다면 한국 기업들은 향후 어떠한 대비가 필요하다고 생각하는가?

한국 기업들은 어떨까? 우리 옆에는 현재까지는 2위, 3위에 머물고 있지만 1위 탈환을 위해 우리의 기술을 호시탐탐 노리고 있는 중국이라는 국가가 자리하고 있다. 과거 70,80년대 우리 경제발전 배후에 깔린 일본과의 관계가 이제 역전돼 한국과 중국이 그런 관계에 놓여 있다. 그렇다면 두말할 것도 없이 우리 한국 기업들은 정보보안에 대해 좀더 철저한 마인드를 가질 필요가 있겠다.

그 대책 중에 하나가 ISO 27001 등의 경영시스템이다. 일본의 3천여 정보보호경영시스템과 비교했을 때 120개는 이제 막 점을 찍은 정도의 수준밖에 되지 못한다. 한국은 비용적인 요소로 생각하고, 일본은 비즈니스를 위해 기본적으로 갖춰야 하는 체계로 인식하고 있는 점을 다시금 강조하고 싶다.

-또한 기업은 어떠한 보안마인드가 필요하다고 생각하는가?

국내 기업들은 CSO(Chief Security Officer) 직함을 가지고 있는 회사가 많지 않은 것 같다. 우리나라에서 보안이라고 하면 물리적인 보안은 거의 가지고 있지만 기술유출에 대한 책임을 져야 하는 부분이 없는 것 같다. 그런 측면에서 이를 책임질 수 있는 사람이 있어야 한다.

최근 개인정보유출 사건에 따른 법원의 판결은 기업 쪽에 손을 들어줬다. 개인적으로는 안타까운 판결이라 여긴다. 만약 그런 사건으로 인해 시장에서 이번과 같이 기업 이미지 실추 및 약간의 손해가 아닌 사라진 기업이 있다고 가정해 보자.

그렇다면 기업 CEO들은 보안을 생각하지 않을 수 없게 된다. 하지만 결과는 법·제도적으로 기업의 손을 들어줌으로써 다시금 경영자들은 좀 유출돼도 되는구나 하는 정도에 머물게 된다. 기업 측면에서 고객개인정보는 사용하면 할수록 이익이 생기는 특성을 가지고 있다. 이러한 이익의 반대편에는 위험(Risk)이 있는데, 균형을 가지고 적절히 두 가지를 관리해야 한다. 하지만 이번 판결은 기업의 이익에 손을 들어준 것 같아 아쉽기만 하다.

-마지막으로 개인이 생각하는 ‘보안’이란?

보안을 일상·도덕적으로 지켜야 하는 에티켓으로 인식하길 바란다. 자동화된 보안툴(보안장비)이 있어야 보안이 된다는 생각이 보안 비용을 많이 들게 만들고 있다. 보안의 비용절감 측면이 어떤 것인지에 대해 기업들은 생각해 볼 필요가 있다는 점에서 참여하는 보안이 그렇기에 중요한 것이다. 패스워드 설정에 있어 모든 직원들이 서로를 배려하는 에티켓이라 여겨 굿 패스워드를 사용한다면 그에 대한 보안툴은 필요가 없는 것이다. 그런 만큼 기업보안에 있어서는 보안에 대해 책임을 지는 절차를 만들고 지켜지는 관리보안 준거성을 높여야 할 것이다.

[김정완 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>