기업·조직내 정보보호관리체계 도입 검토해야
                        

최근 일어난 두 개의 커다란 IT보안 사고는 우리에게 시사하는 바가 크다. IT의 빠른 성장만큼 인프라는 급속하게 확충되고 발전되어 왔으나 그에 따른 관리의 부재가 곳곳에 산재되어 있었던 것이다. 아직도 가야할 길이 멀다는 뜻이다.

    

흔히들 사건·사고나 발생하면 사람에 기인하게 되고 인재(人災)로 결론이 나는 경우가 대부분이다. 보안하면 기술적인 부분을 먼저 생각하는 것도 이러한 맥락을 같이 한다. 물론 여기서 기술이 중요하지 않다는 것이 아니다. 기술은 기본적으로 중요하지만 조금 더 큰 틀에서 보안을 바라 봐야하는 안목을 가져야 하고 체계화 되어 있어야 한다는 것이다.

일반적으로 정보보호관리체계라 함은 기업이나 조직에 종합적인 정보보호정책을 마련하고 그 정책과 가이드라인 안에서 세부적인 통제항목에 따라 보호조치를 취하고 인증심사를 취득하게 되면 3년마다 갱신심사와 1년마다 사후관리 심사를 받게 되는 것이 일반적이다.

대표적인 정보보호관리체계로는 K-ISMS와 ISO27001이 있으며 최근 점차 확대 적용되고 있다. 그만큼 필요성이 대두되었다는 것이다.

보안을 어떻게 강화하면 될까요? ‘관리체계 수립’이 해답

우린 늘 이러한 부분에 대해 고민해 오고 있다. 하지만 대부분 보안의 중요성은 인식하면서도 실천을 하기까지는 많은 예산과 인력을 필요로 한다. 필자는 그 첫 번째 보안강화 방안 중 하나를 바로 ‘정보보호관리체계(ISMS)’를 꼽는다. 최근 개인정보보호법 발효를 앞두고 있는 ‘개인정보보호관리체계(PIMS)’를 적극 권장하고 싶다.그 이유는 간단하다. 잠시 다음과 같은 시나리오를 생각해 보자.

부모는 아이들에게 공부방이 어지럽다고 깨끗하게 정리하라고만 한다. 그리고 정리된 아이들 방을 보면 일부는 정리가 되었지만 무엇인가 부족한 느낌이 든다. 말 그대로 정리만 했기 때문이다. 어떤 것을 버려야 하고 어떤 것을 자신의 책상과 가장 가깝게 두어야 하는 것인지를 인지하는 기준이 모호하기 때문이다.

이렇듯 정보보호관리체계란 조직이나 기업에서 우선 자산의 식별부터 해야 한다. 어떤 것이 우리의 자산이고 어떤 것이 자산이 아닌지가 구분이 되어 있지 않으면 보호할 가치 기준이 모호한 것이다. 이러한 자산 식별이 되면 보호할 범위를 정하고 자산에 대한 우선순위를 부여 하여야 한다. 보호할 가치 기준을 마련하는 것이다. 중요한 자산이 위협받을 경우 보호해야 가치가 높아지는 것은 당연한 것이다.

즉 위험 분석과 평가를 통해 위험도를 산정하는 것이다. 그냥 보안 이슈화가 되니까 보안솔루션을 도입하자는 것이 아닌 우리 자산의 위험도 산정의 객관적인 평가 기준을 통해 중요한 자산에 대한 보호가치 기준을 마련하는 것이다. 그리고 이에 세부 통제항목의 리스트를 가지고 보호조치를 구현 하는 것이다. 다음은 한국인터넷진흥원(KISA)에서 운영하는 K-ISMS 간략하게 살펴보면 다음과 같다.

5단계 정보보호관리과정

 ·정보보호정책 수립

 ·정보보호관리체계 범위설정

 ·위험관리

 ·구현

 ·사후관리

이러한 단계는 계획, 실행, 검토, 조치 등의 4단계의 관리 사이클을 통해 관리되고 있다. 정보관리체계의 수립은 한번으로 끝나는 것이 아니라 조직, 사업의 대 내,외적인 환경변수에 따라 위험 분석을 주기적으로 수행하고 변경해야 하는 것이다. 다음은 K-ISMS기준으로 15개 통제항목을 살펴보면 다음과 같다.

정보보호대책 15개 분야 120개 세부항목

1. 정보보호 정책(5) - 정책의 승인 및 공표, 정책의 체계, 정책의 유지관리

2. 정보보호 조직(4)  - 조직의 체계, 책임과 역할

3. 외부자 보안(4) - 계약 및 서비스 수준협약, 외부자 보안

4. 정보자산 분류(4) - 정보자산의 조사 및 책임할당, 정보자산의 분류 및 취급

5. 정보보호교육 및 훈련(4) - 교육 및 훈련프로그램 수립, 교육훈련의 이행 및 평가

6. 인적보안(5) - 책임할당 및 규정화, 직원의 적격 심사, 비밀유지

7. 물리적 보안(12) - 물리적 보호구역 및 접근통제, 장비 및 사무실 보호

8. 시스템개발 보안(13) - 분석 및 설계, 구현 및 이행, 변경관리

9. 암호통제(3) - 암호정책, 암호사용, 키관리

10. 접근통제(14) - 접근통제 정책, 사용자 접근 관리, 접근통제 영역

11. 운영관리(22) - 운영절차와 책임, 시스템/네트워크 운영 및 문서 관리, 악성소프트웨어 통제, 원격 컴퓨터 및 원격 작업

12. 전자거래 보안(5) - 교환합의서, 전자거래, 전자우편, 공개서버의 보안관리, 이용자 공지사항

13. 보안사고 관리(7) - 대응계획 및 체계, 대응 및 복구, 사후관리

14. 검토, 모니터링 및 감사(11) - 법적 요구사항 준수 검토, 정보보호정책 및 대책 준수 검토, 모니터링, 보안감사

15. 업무연속성 관리(7) - 업무연속성 관리체계 수립, 업무연속성 계획 수립과 구현, 업무연속성 계획 시험 및 유지관리 

오늘자 기사를 보니 이번 사건 기업 중 한곳은 7년 동안 동일한 패스워드를 사용하였다고 하는 것은 내부통제와 관리체계의 미흡이라 생각이 든다. 최소한 위의 15개 통제항목에 대한 보호조치만 잘 했고 외부 심사원으로부터 인증심사를 받았다면 최소한의 피해는 막을 수 있지 않았을까 하는 생각이 든다. 

필자도 ISMS 인증심사를 나가보면 최소한의 이러한 체계적인 관리를 통해 수시로 이행증적 사항을 점검을 하고 초기에는 외부 컨설팅을 받지만 1년후 사후관리 심사시에는 실무자들은 이제 조금 관리체계에 대한 부분을 이해 할 것 같다고 하면서 본인의 의지를 피력하는 것을 볼 수 있다.

다만 관리체계를 수립한다는 것이 그리 쉬운 일은 아니며 무엇보다 실무자보다는 경영자의 의지가 확고하지 않으면 쉽지 않는 결정이다. 모든 책임은 최고경영자에 있는 것이지 해당 실무자에게 책임을 전가 시킬 수 있는 것은 아니며 또한 이러한 관리체계 수립으로 인하여 오히려 업무가중이나 부담으로 다가 온다면 아무도 그 업무를 달가워하지 않을 것이다. 이에 CEO는 적정한 보상과 인센티브를 주어야 하며 내부적으로 정보보호관리체계를 잘 수립을 하였다면 공인된 기관에 의뢰하여 인증심사를 받아 보는 것도 좋을 것이다.

또한 인증심사원은 꼼꼼하게 심사를 통하여 인증심사후에 보안사고가 생기지 않도록 심사기관에서도 책임을 다해야 할 것이다. 이번 사건을 타산지석(他山之石)으로 삼아서 다시 한번 기업과 조직내의 정보보호관리체계를 도입 검토하는 계기가 되지 않을까 생각한다.

[글 _ 전주현 보안인닷컴 운영자(http://www.twitter.com/boanin)]   

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>