최근 정보기술 기반의 기업 업무 환경이 급격하게 변하고 있다. 이러한 변화를 고려한 정보보호 방안으로는 여러 가지 기술적ㆍ관리적 방법이 있으나 비용 대비 효과가 가장 좋은 방법은 정보보호관리체계(Information Security Management System)의 수립이다.

최근 정보기술 기반의 기업 업무 환경은 스마트폰의 도입, 원격 재택근무 활성화, 모바일 오피스 도입 등으로 인해 급격하게 변하고 있다. 초기 기업의 업무에서 정보기술의 역할은 홈페이지를 만들거나 회계 프로그램을 작성하는 등의 보조적인 수단에 머물러 있었으나 포털과 같은 경우, 최근에는 기업 업무가 정보기술 자체에 거의 의존하는 환경으로 변하고 있다.

기업의 사회적 책무가 증가하고 있으며 개인정보의 유노출에 대한 기업의 법준수 요구사항은 점차로 강화될 예정이다. 국내에서는 ‘정보통신망 이용촉진 및 정보보호에 관한 법’에 근거해 기업이 수집하고 처리하는 개인정보의 기술적 관리적 보호조치에 대한 규제가 대표적이다.

규율대상 개인정보보호 대상 기업도 정보통신사업자를 포함해 정유회사, 여행사, 백화점 등의 온라인/오프라인 기업을 망라하고 있으며 향후 일반법 성격의 개인정보보호법이 제정되면 그 대상은 정부기관 및 헌법기관을 포함한 공공기관과 민간 기업을 망라할 것이다.

또한 기업 윤리나 내부 통제가 미흡한 경우 기업의 이미지가 하락해 경영활동에 어려움을 겪거나 개인정보보호 조치의 미흡으로 인해 개인정보가 유노출되는 경우 고객으로부터 집단 소송을 당할 수 있는 새로운 위험이 발생하고 있다. 그럼 기업의 경우 이러한 환경 변화를 고려한 정보보호 방안에는 무엇이 있는가? 물론 여러 가지 기술적 관리적 방법이 있으나 비용 대비 효과가 가장 좋은 방법은 정보보호관리체계(Information Security Management System)의 수립이라고 할 수 있다.

정보보호관리체계인증 제도란?

기업은 자신의 정보보호 대비 수준을 판단하고 미비한 부분을 확인해 이에 대한 대응책을 마련하는 등 여러 가용한 방안을 마련해야 한다. 개인정보 유노출과 같은 사고를 대응하기 위해서도 포괄적이고 전사적인 차원에서 정보보호 프로세스를 강화할 수 있는 관리체계 수립, 적절한 보안 정책 선택, 이에 따른 정책 시행이 요구되는 시점이다. 기업이 지속적으로 생존하기 위해서는 변화하는 법제도 및 기술 변화 등 여러 환경에 적응해야 한다.

우리나라에서는 방송통신위원회에서 정보보호 프로세스 기반으로 기업의 정보를 체계적으로 관리할 수 있는 정보보호관리체계 인증제도를 2002년부터 ‘정보통신망 이용촉진 및 정보보호에 관한 법’(제47조)에 근거해 도입, 한국인터넷진흥원(KISA)을 통해 운영하고 있다.

이 인증제도는 기업의 자율적 신청에 의해 자사가 구축, 운영하고 있는 정보보호관리체계가 법적 기준에 적합한지를 인증해 주는 제도다. 기업들이 인증을 받기 위해서는 정보보호관리체계 수립ㆍ운영을 위한 5단계 관리과정(정보보호정책수립ㆍ정보보호 관리체계 범위설정ㆍ위험관리ㆍ구현ㆍ사후관리), 문서화, 정보보호대책의 137개 인증기준에 대해 조직의 특성 및 환경에 부합하도록 정보보호관리체계를 수립ㆍ운영해야 한다. 이 인증기준은 ISO/IEC 27001 표준을 모두 포함하고 있으며 국내 상황에 맞도록 침해사고 예방, 암호화, 전자거래 등의 정보보호대책을 강화하고 있다.

인증을 취득하게 되면 기업들은 정보보호관리 활동을 체계화함으로써 임직원 정보보호인식을 향상시킬 뿐만 아니라 기업의 주요한 정보자산 유출 및 피해를 사전에 예방하고 피해를 최소화할 수 있으며 객관적인 심사를 거쳤기 때문에 신뢰성을 확보해 기업의 브랜드 가치를 높일 수 있다.

ISMS 인증, 경제적 효과 높아

한국인터넷진흥원(KISA)이 최근 발간한 `ISMS 인증의 경제적 효과 분석┖ 보고서는 ISMS 인증으로 기업은 업무 효율성 개선, 종업원 1인당 부가가치 상승, 보안사고 피해비용 절감 등으로 연간 2억 2,000만원의 가치 상승 효과를 거두고 2.47명의 고용창출이 가능하다고 분석했다.

또한 인증 취득 기업을 대상으로 인증 취득 전, 후 효과(개선율)에 대한 설문조사를 한 결과 조직내부 정보보호 인식제고(71% 향상), 조직 내부 정보보호 역량강화(68% 향상), 대고객 신뢰도 향상 및 경쟁력 강화(59% 향상), 고객 및 거래정보의 안전한 관리 및 활용(54% 향상), 정형화된 업무처리를 통한 효율성 개선(53% 향상), 기업가치 상승(46% 향상)의 순으로 개선효과가 있는 것으로 나타났다. 이러한 연구결과를 보더라도 이제 정보보호관리체계 수립이 기업의 정보보호 수준 제고에 실질적으로 기여하고 있음을 보여주고 있는 것이다.

정보보호관리체계 수립을 위한 제언

기업최고경영자에게 정보보호관리체계 수립을 위해 다음과 같이 몇 가지를 권유하고자 한다.

첫째, 이제 정보보호관리체계의 수립은 이제 선택이 아니라 필수여야 한다. 기업의 정보자산에 대한 위협을 평가하고 이에 대한 대응책을 마련하며 잔존 위험을 평가해 수용 가능한지를 주기적으로 살펴봄으로써 기업 활동의 안정성과 지속성을 동시에 확보할 수 있기 때문이다.

둘째, 정보보호관리체계에 대한 기업최고경영자의 전폭적인 지지와 전사적인 지원과 참여가 필요하다. 왜냐하면 최고경영책임자의 지지나 약속이 수반하지 않은 정보보호관리체계의 수립은 원하는 효과를 달성하기가 어렵기 때문이다. 따라서 이를 통해 기업의 위험을 분석하고 문제점을 수치화하며 이에 대해 임원진에게 주기적으로 보고하도록 해야 한다.

셋째, 정보보호관리체계의 수립과 더불어 정보보호 통제의 이행정도와 기업의 정보보호 수준은 적당한 평가 도구나 방법에 의해 평가되고 관리돼야 한다. 이를 통해 기업최고경영자는 미비점을 파악하고 지속적으로 이를 보완해야 할 것이다.

넷째, 정보보호에 있어서 가장 취약한 부분이 사람이다. 그러므로 정보보호책임자의 임명을 통해 정보보호조직을 수립하고 적어도 정보기술 조직의 인원에 대한 정보보호 마인드 향상을 위한 교육훈련을 의무화 시키고 기업최고경영자도 이러한 교육훈련에 적극적으로 참여할 필요가 있다.

다시 한번 기업의 업무를 위한 정보보호의 중요성을 고려할 필요가 있으며 정보보호 미비로 인해 기업이 당할 과도한 손해배상 등으로 인한 돌연사 등의 경영 위험 요인을 사전에 제거해야 할 것이다. 이를 위한 첫걸음이 정보보호관리체계의 수립에 있다.

<글 : 염흥열 순천향대 정보보호학과 교수 겸 ISMS 인증위원회 위원장(hyyoum@sch.ac.kr)>

[월간 정보보호21c 통권 제118호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>