[보안뉴스 김경애] ISMS 구축과 유지관리 상의 여러가지 문제가 제기되면서 정보보호 GRC연구회(회장 김정덕)는 넥슨 대회의실에서 보안관리자의 역량 제고, 컨설팅 품질 개선, 정보보호 거버넌스 확립 방안 등을 논의하는 장을 마련했다.

이날 토론회에서는 인증기관, 컨설팅업체, 기업 등 각계 전문가들이 한 자리에 모여 열띤 토론을 펼친 가운데 다양한 의견 제시와 심도 있는 논의가 이뤄졌다.

강 정 호 SK플래닛 매니저- 보안담당자들이 처음 ISMS 인증심사를 받을 때 보다 사후 심사 진행에 대한 준비가 미흡한 실정이다. 즉 사후 심사를 받을 때만 일시적으로 준비할 뿐, 지속적인 보안 관리가 이뤄지지 않고 있다. 보안담당자들의 인증에 대한 인식과 역량 검증이 필요하다.

또한, 사후심사 효과성을 위해 KISA에서는 기업의 실질적인 혜택을 얻을 수 있도록 해야 하고 오픈마켓, 제조업 등 세부적으로 측정할 수 있도록 해야 한다. 따라서 측정 자료를 통해 정보보안 실무자들이 의사 결정권자와 좀더 원활한 의사소통을 할 수 있도록 KISA가 명확한 세부 규정을 마련해줬으면 좋겠다.

김 성 우 롯데손해보험 파트장- ISO27001 문서심사와 본심사를 앞두고 인증기관의 담당자로 준비하다 보니 정보보안 담당자들만 관심 있고, 그 외 조직은 정보 보안에 대해 관심이 없다. 본심사, 사후심사, 갱신심사를 받을 때 부적합 판정을 받는 등 일부 인증 준비인원들의 인식 및 개념이 미흡한 실정이다. 인증은 지속적인 관리를 통해 미쳐 인식하지 못한 취약점에 대해 개선하기 위함인데 그러한 인식이 부족하다.

또한, 기업은 보안조직에 대해 비용 지출을 발생시킨다고 인식하고 보안을 낮게 보는 경향이 있다. 전산실 등과 같은 부서 아래에 보안 조직이 구성되다 보니 감사권한 등의 업무 역할이 없어 기업의 보안 역할이 제대로 이뤄지지 않고 있다. 또한, 대부분의 정보보안 실무자들은 기존 업무와 인증 업무를 병행하고 있어  업무가중이 크다. 최소 필요 인력 지원이 필요하고, 독립적인 보안조직으로 구성돼야 한다.

김 계 근 롯데정보통신 팀장- 경영진 및 외부적 시각에서는 인증 취득 후 사고가 나면 반발이 있을 수 있다. 특히, 다른 법령 적용에 있어 어느 정도의 기준을 적용할지 명확한 심사방법에 대해 생각해볼 필요가 있다. 또한, ISMS 인증 의무화에 있어 100억원 등, 매출을 기준으로 하고 있는데 기업의 경제적인 현실을 봐야 한다. 업계에서는 이러한 부분에 불만이 많다.

고 규 만 한국인터넷진흥원 책임- 지속적인 보안사고 발생으로 인해 국회의원 입법으로 의무화 되는 등, 인증제도가 강화됐다. 정보보안담당자보다는 CEO들이 먼저 위기의식을 느끼고 인식 전환이 되어야 보안에 대한 투자가 이뤄진다. 경영진들이 보안 투자를 비용으로 인식하는 것은 직접적으로 연관이 없다는 인식 때문이므로 보안에 대한 인식제고가 필요하다.

따라서 ISMS, PIMS 인증을 통해 정보보호 실무자는 최고정보보안책임자인 CISO(Chief Information Security Officer)에게 보고하고, CISO는 경영진과 원활한 의사소통이 이뤄지도록 노력해야 한다. 또한, 인증기준에서는 책임과 역할을 명확히 해야 한다고 했지, 보안 전담조직에 관한 사항은 없다. 그러나 기업은 조직관점에서 분석하고 조직을 강화해야 한다.

인증 심사에 있어 적자가 난 회사라고 이를 감안해서 기준을 완화할 순 없다. 인증을 취득했다고 해서 100% 모든 침해로부터 벗어날 순 없다. 공격 흔적을 빨리 발견하고, 대처하는 방법들이 이뤄져야 하고, 사고 예방에 가치를 인식했으면 좋겠다.

정 성 원 한국뷰로베리타스 원장- 인증 심사한 지 13년이 됐는데 인증 툴이 통제 중심으로 가고 있다. 이에 대해 기업들은 목표, 측정 등에 대해 어려워한다. 그러나 보이지 않으면 관리할 수 없고, 측정하지 않으면 보완할 수 없으므로 기업은 계량할 수 있는 목표를 가져야 한다. 각각의 프로세스별로 목적을 가질 수 있도록 해야 하고, 이를 달성할 수 있도록 해야 한다.

박 태 완 한국뷰로베리타스 선임심사원- 심사원 기준으로 밝힌다면 인증을 획득한 기업 수는 늘고 있지만 경영적인 측면에서 보안관리 역량에 대해서는 부족한 실정이다. 인증을 획득하려는 기업은 컨설팅 업체 선정 시 역량과 능력보다는 비용 발생에 초첨을 두고 선정한다. 컨설팅업체의 경우, 컨설턴트의 인력 및 역량 부족, 컨설팅 기간 부족 등 악순환으로 흘러가고 있다. 이를 개선하기 위해 기업은 컨설팅 업체 선정시 비용에 치중하기 보단 컨설팅 업체의 역량과 능력을 고려하고, 충분한 컨설팅 기간을 줄 수 있어야 한다.

이와 함께 토론에서는 보안관리자의 역량 제고 방안과 컨설팅의 품질 개선 방안에 대해 심도 있는 논의도 이뤄졌다. 

보안관리자의 역량에 대해서는 컨설팅 업체에 지나치게 의존한다는 점과 함께 구축기관인 기업은 ISMS에 대한 주인의식이 필요하다는 의견이 제시됐다.

컨설팅 품질 개선 방안에 있어서는 일률적인 컨설팅, 경험 없는 컨설턴트가 들어가서 제대로 가이드하지 못한다는 문제점이 제기되면서 컨설턴트의 역량 강화와 가이드 및 코치로서의 역할이 필요하다는 의견이 공통적이었다.

이와 함께 정보보호 거버넌스의 현실과 거버넌스 구축 방안에 대해서는 보안책임자의 지정 및 권한, 그리고 책임이 불분명하다는 의견과 최고경영층 인식제고 및 참여, 효과성에 대한 측정 등이 필요하다는 의견도 나왔다.

[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>