137개 보안항목서 객관적이고 신뢰할 만한 평가 얻어

유무선 통합 결제서비스 업체인 모빌리언스가 지난해 3월, 업계 최초로 한국인터넷진흥원(이하 KISA)이 주관하는 정보보호관리체계(이하 ISMS)인증을 획득했다. 모빌리언스는 지난 2008년 정보보호 프로세스를 강화하고 정보자산의 보안 수준을 높이기 위한 컨설팅과 ISMS인증 심사를 연계한 프로젝트를 추진하면서 현재의 보안 수준에 만족하지 않고 법적 준거성, 개인정보보호 등 보안 이슈에 적극 대응하기 위한 방안으로 ISMS인증을 획득했다. 

휴대폰 결제를 주요 사업모델로 지난 2000년 3월 설립된 모빌리언스는 게임, 포털 등 디지털 콘텐츠 업체들에게 시스템의 안정성과 재무적 건전성으로 신뢰도와 경쟁력을 갖추게 됐다. 이에 따라 결제시스템의 안정성과 중단없이 지속적인 결제서비스를 제공하기 위해 결제시스템 인프라 이중화를 구축겳狗簫煞?총 6억원을 투자해 구축한 재해복구센터(DR:Disaster Recovery Center)를 통하여 각종 DB백업과 장애율 제로화, 그리고 시스템 안정화를 추구하는 등 휴대폰 결제시장을 선도하고 있다. 그리고 지난 2008년부터는 각종 보안 위협으로부터 더욱더 안정적인 서비스 제공과 개인정보보호를 위한 보안강화를 위해 정보보호체계를 구축하기 시작해 지난 2009년 3월 이를 완료했다.

유무선 통합 결제서비스 업체인 모빌리언스는 지난해 3월 업계 최초로 KISA에서 주관하는 ISMS인증(Information Security Management System)을 획득했다. ISMS인증은 KISA에서 현행 ‘정보통신망이용촉진및정보보호등에관한법률’ 제47조 및 방송통신위원회 고시 제2008-11호에 근거하여 각 기업의 정보보호관리체계를 심사하는 제도로 KISA는 총 137개의 항목(446개 세부항목)을 갖고 평가를 진행한다.

ISMS인증을 받은 모빌리언스는 지난 2008년부터 동안 사내 보안정책에서 시스템까지를 하나하나 꼼꼼히 챙기면서 심사에 대비해왔으며 그 결과로 전 보안영역에서 고른 평가를 얻었다고 김택현 기술지원팀 대리는 설명했다.

이번 ISMS인증 획득을 위한 실무를 담당한 김택현 대리는 “지난 2008년부터 내부 정보보호 프로세스를 강화하고 정보자산의 보안 수준을 높이기 위한 프로젝트를 추진해왔다”며 “향후 다양한 보안 이슈와 개인정보보호에 적극 대응함으로써 회사의 보안을 최고로 유지할 수 있도록 보안을 강화했다”고 밝혔다. 이번 인증획득과 관련해 모빌리언스는 공식 인정을 받은 결제서비스의 안정성이 회사의 신뢰도를 제고하는 데 도움을 줄 것으로 기대하고 있다. 이에 대해 변을경 마케팅기획팀 과장은 “ISMS인증 획득으로 동종업계 타 회사들에 비해 엄격한 보안을 유지하고 있음이 증명됐다”며 “안정적인 결제서비스 제공에 개인정보를 둘러싼 고객들의 걱정이 사라져 우리 회사에 많은 도움이 되고 있다”고 말했다.

또한 변 과장은 “지난 2008년부터 내부 정보보호 프로세스를 강화하고 정보자산의 보안 수준을 높이기 위한 컨설팅과 ISMS인증심사를 연계한 프로젝트를 추진해왔다”면서 “현재의 보안 수준에 만족하지 않고 법적 준거성, 개인정보보호 등 보안 이슈에 적극 대응해 결제서비스의 기반이 되는 정보보호 운영과 관리를 지속적으로 강화해 보안 시스템 수준을 끌어 올리는데 앞장서 나가겠다”고 강조했다.

보안, 솔루션만으로는 한계가 있다

적절한 보안 솔루션과 교육을 통한 보안 인식 제고 필요

이번 ISMS 인증 획득 동기와 목적은?

지난 2008년 4월 결제시스템 인프라를 구축하고 고도화 관련 사업을 진행하면서 ISMS 인증 획득을 함께 준비했다. 지난 2006년 인프라고도화를 완료하고 2007년에는 DR센터를 구축했다. 그리고 2008년 정보보호체계 안정화 구축 프로젝트를 위한 TFT를 구성해 그해 4월부터 준비하면서 시작된 것이다.

이를 위해 외부 보안 컨설팅 전문 업체를 통해서 컨설팅을 받고 대외적인 인증이 필요하다는 제안에 따라 필요성을 인식하고 ISMS인증 획득을 준비했다. 지난 2008년부터 진행된 정보보호체계 구축은 전사적인 보안수준을 업그레이드시키고 대외적인 신인도를 높이기 위한 것이었다.

ISMS 인증 획득 후 달라진 점은?

정보보호체계 구축의 전반적인 프로젝트는 정보보호 관련 조직의 체계화와 정책수립이 제대로 되었는지에 대한 평가자료를 얻기 위해 시작했고 지난 2008년 11월 전반적인 구축이 완료됐다. 그리고 모빌리언스 업무환경에 맞도록 수행하면서 이를 검토해 2009년 3월에 인증을 받은 것이다.

이로 인해 내부적으로도 많은 변화가 이루어졌다. 전사적인 교육을 통해 이번 프로젝트로 인해 변화된 업무와 정책 등에 대한 교육과 정보보호에 대한 인식을 제고시켰고 내부적인 보안 환경도 많이 바뀌어 문서보안과 매체제어, 접근제어, DB보안겲邱Ｈ?등 개인정보보호 강화를 위한 업무 환경으로 바뀌었다. 또한 기술본부쪽에서도 업무프로세스 등이 마련된 규정에 따라 체계화되었고 이제 이러한 것들이 기본적인 업무 프로세스로 자리 잡게 됐다.

ISMS인증 획득을 준비하면서 어려운 점은?

우선 ISMS인증 획득에 대한 동기부여가 가장 힘들었고 인증획득보다는 관리가 더 어렵다는 생각이 들었다. 특히 ISMS 인증이 회사의 규모나 분야에 따라 세분화 되어 있지 않고 하나의 프로세스로 되어 이를 모두 다 받아들여 구축한다는 것은 맞지 않아 이를 내부적으로 회사 규모와 분야 등에 적절하게 적용하는 것이 어려웠다. 얼마 전에 사후관리심사를 했는데 절차나 프로세스 부분에서 정책이나 지침을 기본적인 업무기준으로 삼아야 하지만 이것을 생각하지 못하고 업무를 처리하는 것이 많이 있었고 또 정책이나 지침에서 빠져있는 부분도 있어 보완해야 할 부분이 아직도 많이 있다는 것을 알았다.

ISMS 인증 사후 관리와 유지보수는 어떻게 하나?

사후관리심사에서 나온 여러 가지 문제점들을 보완해 나갈 계획이다. 특히 지난해 ISMS인증을 받을때 보안 선도 기업 수준으로 가이드라인을 만들었었는데 이를 너무 높게 잡은 것이 아니냐는 목소리도 있었지만 일단 노력해보고 변경하기로 했다. 따라서 이번 사후관리심사 결과에 따라서 여러 가지 부분들을 보완해 나갈 것이다. 특히 목표치를 높게 잡은 부분에 대해서는 현재 모빌리언스의 업무와 환경에 적합하도록 수정해 변경할 것이다.

올해 정보보호 강화를 위한 계획은?

올해는 개인정보보호 부분에 치중해서 강화해 나갈 계획이다. 보안 솔루션만 도입하는 것은 한계도 있고 교육을 통해 보안에 대한 인식을 높여나갈 계획이다. 그리고 앞으로 진행되는 교육은 업무별로 세분화해서 진행할 것이다.

<글/사진 : 김태형 기자(is21@boannews.com)>

[월간 정보보호21c 통권 제117호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>