비씨카드는 그동안 정비해 온 보안체계와 시스템 평가, 즉 국내외 정보보호 표준 체계를 수립하고 정보보호 체계의 고도화와 정보보호 관리시스템을 통해 IT보안의 수준 향상과 지속적 발전 모델을 구현하기 위해 ISO 27001과 KISA ISMS 인증을 동시 획득하는 성과를 올렸다.

비씨카드가 지난 해 12월 금융권에서는 처음으로 IT서비스 전 부문에 대한 국제 정보보호 표준 인증(ISO 27001)과 국내 정보보호 표준 인증(KISA ISMS)을 동시에 획득 했다.

ISO 27001은 국제표준화기구(ISO:International Organization for Standardization)가 인증하는 정보보호 관리체계에 대한 국제 표준으로 위험관리와 정보보안 정책, 정보접근 보안 등 11개 분야, 총 133개 항목을 준수해야만 부여 받을 수 있는 국제적으로 가장 권위 있는 정보보호 표준 인증이다. 또한 국내 정보보호 표준 인증은 한국인터넷진흥원(KISA:Korea Internet & Security Agency)이 기업의 정보보호관리체계(ISMS:Information Security Management System)가 적절하게 수립되고 운영되는지를 평가해 인증하는 제도이다. 비씨카드는 지난 2008년부터 전사 정보보안 체계 재정비 및 보안위험 평가를 통한 개선작업을 추진해왔으며 지속적인 정보보호 관리체계 운영을 위해 국제겚뭄?정보보호 표준체계를 구축해왔다.

그 동안 금융권의 ISO 27001 인증 획득은 특정 부문 또는 시스템에 한정된 경우는 있었으나 IT서비스 전 부문에 대한 국제인증 획득은 카드사에는 비씨카드가 처음이며 특히 국내 정보보호표준인증까지 동시에 획득한 경우는 금융권에서는 비씨카드의 사례가 처음이다. 이와 관련해서 이정원 비씨카드 IT보안솔루션팀 팀장은 “이번 인증으로 비씨카드의 고객정보 보호 수준을 글로벌 수준으로 높이는 계기가 됐고 앞으로 고객에게 안심하고 신뢰할 수 있는 서비스를 제공하기 위해 고객의 정보보호를 위한 노력을 계속해 나가겠다”고 말했다.

비씨카드는 지난 2006년에도 카드사 최초로 웹서비스 부문에 대한 ISO 27001을 획득한 바 있으며 이번에 IT서비스 전 부문의 정보보호에 대한 국제표준 인증을 취득함으로써 정보보호 관리에 더욱 만전을 기한다는 방침이다.

이번 인증에 실무를 총괄했던 유용호 IT보안솔루션팀 과장은 “기존의 웹서비스 대상의 국제정보보호 표준 적용의 한계성에서 벗어나 IT 전 부문에 걸쳐 정보보호 표준 적용과 이에 따른 관리와 운영이 필요했고 또 국내 기업의 실정에 맞는 국내 정보보호 표준을 신용카드 업무 프로세스에 적용이 필요했다”며 “아울러 신규 전산센터에 대한 물리적, 기술적, 관리적 보안 현황에 대한 위험 분석 및 개선 조치를 하기 위해서 두 개의 인증을 동시에 준비하게 됐다”고 설명했다.

이번 인증 획득을 총괄한 이정원 비씨카드 IT보안솔루션팀 팀장을 만나 ISO 27001 인증과 KISA ISMS 인증 획득에 관해 이야기를 들었다.

이정원 비씨카드 IT보안솔루션팀 팀장

보안도 하나의 서비스로 인식해야 한다

빠르게 변하는 IT 비즈니스 환경에 대응할 것

최근 발생한 유통업계의 고객정보 유출 사건에 대한 의견은.

여러 가지 분야에서 보안 관련 사고가 터져 항상 긴장하고 있다. 이번 사건뿐만 아니라 기업들은 고객정보보호를 위해 앞으로도 많은 노력이 필요하다고 생각한다. 대부분의 고객들은 여러 가지 사이트에 동일한 아이디와 패스워드를 사용하는데 그래도 금융거래에 사용하는 패스워드는 다른 것을 사용하는 경향이 있어 조금은 다행스럽게 생각한다. 

비씨카드는 약 2,400만명의 고객정보를 관리·보호하고 있다. 인터넷 서비스를 시작한  1990년대 후반부터 정보보안 관련 투자를 꾸준히 해 왔으며 특히 2008년 전담팀이 신설되면서 보안 전문인력을 6명으로 구성해 운영하였고 현재 통합관제까지 포함하여 11명 규모로 운영하고 있다.

이번 인증 획득의 배경과 목적은.

비씨카드는 웹서비스 대상으로 지난 2006년 9월 ISO 27001 표준 적용 및 인증을 획득했다. 그리고 2008년에는 ‘Global Payment Service Provider’ 비전 달성을 위해 신규 전산센터인 퓨처센터를 건립해 새로운 도약을 위한 기반을 마련했다. IT부문의 종합적 위험분석 및 정보보안 체계 고도화 달성을 위해 이번 인증을 획득하게 됐다.

특히 최고 경영자가 “보안은 세계 최고 수준이 아니면 의미가 없다”고 강조하면서 보안에 대한 확고한 의지를 보여 국제 인증기관에 심사를 받아보고 정확하게 평가를 받아보자는 의미로 ISO 27001 인증을 준비했다. 이를 위해 전사적인 TF팀을 구성해 1년 정도 준비를 해서 좋은 성과를 얻었다.

이번 인증 획득을 준비하면서 어려운 점은.

두 개의 인증으로 중복된 것이 아니냐는 의문을 피하고 두 가지 인증의 시너지를 극대화하기 위해서 ISO 27001은 프로세스 위주로 전사적 IT인프라 쪽에 초점을 맞추었고 KISA ISMS는 실행 중심에 초점을 맞추었다.

이에 각 인증이 갖고 있는 장점을 최대한 살려서 국내 최초로 2개의 인증을 동시에 획득한 것은 그 의미가 크다고 할 수 있다. 이는 단순히 홍보용이 아니고 전사적인 업무활동으로 정착될 것이다. 즉 국내 유일한 비씨카드만의 프로세스 표준화를 위한 것이라 할 수 있다.

향후 인증유지와 보안 강화를 위한 계획은.

인증을 받았으니 이제 끝나는 것이 아니고 지금보다 더 많은 신경을 써야 할 것이라고 본다. 앞으로 내부적으로 부족한 점을 개선해서 완벽히 해결하는데 초점을 맞추고 빠르게 변화하는 IT 비즈니스 환경에 적절히 대응해 나갈 것이다. 이를 위해서는 전문업체의 컨설팅 통해서 1년에 한 번 정기적인 점검을 해 나갈 것이다. 회사 차원에서도 실제 실행 능력을 갖기 위해서 올해에는 전사에 걸쳐서 ISO 27001인증에 대해 준비를 할 것이다. 이를 위해서 올해 물리적보안까지 아우르는 전사적인 보안조직이 생겨 이미 컨설팅 등을 시작하고 있다.

보안은 무엇이라고 생각하는가.

보안 엔지니어의 입장에서는 보안 위협을 막는데 최선을 다해야 한다. 하지만 보안을 하더라도 직원들의 업무활동에 지장을 주어서는 안된다는 것이 나의 기본 원칙이다. 보안도 서비스다. 아울러 기업에서 보안은 최고 경영자의 확고한 의지가 중요하다. 그리고 그것을 뒷받침 하는 전담팀이 있어야 한다.

<글/사진 : 김태형 기자(is21@boannews.com)>

[월간 정보보호21c 통권 제116호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>