[보안뉴스=임종민·민세아 객원기자] 올해 개인정보 보호 인증(PIPL) 제도가 새로 시행되고, 기존 ISMS, PIMS 인증 수요가 크게 증가하면서 각 인증제도의 심사를 담당하는 인증심사원의 역할과 자격에 대한 궁금증도 커지고 있습니다. 이에 이번 보안직업군 프로젝트에서는 ISMS, PIMS 인증 심사팀장으로 활약하고 있고, 올해 추진된 ISMS 인증 개정작업을 주도한 한국인터넷진흥원 정보보호관리팀 고규만 책임연구원을 만나봤습니다.    

Q. 인증심사원에 대해 좀더 자세히 설명해 주신다면?

각 산업분야별로 다양한 인증제도가 있으며 그 제도마다 인증심사원들이 존재합니다. 제가 속한 한국인터넷진흥원(KISA)에서는 ISMS 및 PIMS 인증기관으로써 제도를 운영하고 있으므로 ISMS(정보보호 관리체계)나 PIMS(개인정보보호 관리체계) 인증심사원에 대해 설명해 드리도록 하겠습니다. 

넓은 의미에서 인증심사원이란 특정 제품, 공정, 서비스 등이 정해진 표준, 기준 등 규격에 맞도록 제조·운영되고 있는지 여부를 판정하기 위해 조사·심사 등을 통해 평가하는 사람을 의미합니다. ISMS, PIMS 인증은 기업이 구축·운영하고 있는 ISMS, PIMS를 대상으로 법(고시)에서 정한 기준에 적합한지 여부를 심사, 적합성 여부를 판단해 인증을 부여하는 활동이며, 이러한 적합성 여부를 판단하기 위해 심사활동을 하는 사람들을 ISMS, PIMS 인증심사원이라고 합니다.

Q. 인증심사원의 자격요건이 궁금합니다.

ISMS 및 PIMS 인증심사원의 자격요건은 관련 고시(ISMS : 미래부, PIMS : 방통위)에서 정하고 있습니다. 인증심사원은 심사원보, 심사원(인증 심사경력 4회 이상, 20일 이상), 선임심사원(인증심사팀장 경력 3회 이상, 15일 이상)으로 구분되며, 심사원 양성교육을 수료한 다음 자격신청을 하면 자격검증을 거친 후 자격을 부여하게 됩니다. 물론 처음 자격이 부여된 경우는 심사원보라고 할 수 있습니다.

심사원이라는 것은 기업을 대상으로 그 기업이 구축·운영하고 있는 정보보호 및 개인정보보호 관리체계를 심사하는 것이기 때문에 관련 경력이 있어야 합니다. 기본적으로 정보통신 또는 정보보호 유관 경력을 6년 이상 요구하고 있는데, 유관자격이나 학위를 취득한 경우 일정부분 경력을 인정하고 있습니다. 이러한 조건 이외에도 다양한 경험과 경력이 필요합니다. 자세한 내용은 관련 고시의 인증심사원 자격요건을 참고하면 됩니다.

심사원은 전문 분야에 깊이 있는 지식을 보유하고 있는 것도 중요하지만 넓게 많은 지식을 섭렵하고 있어야 하고 신기술 동향, 관련 법률의 이해, 정보보호 시스템, OS, DB, 네트워크에 대한 지식도 필요합니다. 그리고 심사원은 심사과정에서 매번 새로운 사람들을 접하기 때문에 사람에 대한 이해도 필수적입니다. 즉, 간혹 심사방식, 심사결과에 대해 상호 이견이 발생하여 어려움을 겪을 때도 있는데 이 경우 기본적으로 심사원으로서의 필요한 소양과 인성을 충분히 갖추어야만 불필요한 논쟁이나 분쟁으로 확대되지 않고 심사를 효과적으로 마무리할 수 있습니다.

즉, 심사원은 기본적으로 전문성을 갖추고 좋은 인성이 더해져 조정자, 전달자, 중재자 역할도 담당할 수 있어야 합니다. 간혹 기업에서 심사를 감사의 성격으로 인지해 심사에 방어적으로 대응하는 경우 기준을 확인하기 위해 보여줘야 할 시스템이나 자료들을 보여주지 않을 때가 있는데, 이 경우 심사기준의 적합성 여부를 판단하기가 매우 어렵습니다. 이런 방어적인 자세는 인증을 받는 기업 입장에서도 좋지 않으며, 오히려 심사과정에 문제점을 노출시켜서 개선하고 인증을 받음으로써 정보보호 및 개인정보보호 수준을 높이는 것이 좋습니다.

즉, 인증의 기본 목적은 문제점을 지적하는 것보다는 해당 기업이 문제점을 개선할 수 있도록 협업하여 보안수준을 한 단계 향상시키도록 하는 데 있습니다. 인증을 추진하는 기업에서는 인증심사를 정보보호 및 개인정보 수준 향상의 좋은 기회로 삼는 것이 좋을 것이라고 생각합니다. 기업의 담당자분들도 마음을 열고 심사팀과 의견을 나누신다면 좀더 효과적인 인증심사가 이루어질 수 있을 것입니다. 또한, 심사원은 자신이 주장하는 문제점(심사결과)을 객관적으로 인정 받기 위해서는 사실관계를 바탕으로 하는 논리적·합리적 주장을 해야 하며 왜 문제인지 인증기준, 법률 등 다양한 근거를 들어 합리적으로 설득할 수 있어야 합니다.

Q. 많은 분들이 인증심사원 자격을 보유하고 있는 것으로 알고 있는데요. 각 심사과정에 선발되는 기준은 무엇인가요?

인증심사원의 전문성, 품질, 자질, 태도, 수행경력, 피 심사대상과의 이해관계 등을 고려하여 인증기관이 인증심사원을 선정하여 심사팀을 구성하고 있습니다. 심사팀은 5~6명 정도의 규모로 구성하고 있으며, 심사팀장은 인증기관(KISA) 소속 심사원이 담당합니다.

심사원 선정 시 수행경력 뿐만 아니라 피 심사대상의 인증범위에 따라 전문성을 고려하고 과거 심사과정에서의 기본적인 일정 미 준수, 과도한 분쟁 원인 제공 등 심사태도 및 자질도 참고합니다. 또한, 앞에서 언급한 피 심사대상과의 이해관계라는 것은 그 업체가 컨설팅을 받았을 때 컨설팅 업체에 소속되어 있었다거나, 동종업계 사람인 경우를 말합니다. 예를 들자면 A라는 기업에 B라는 컨설팅 업체가 컨설팅을 했는데, 컨설팅에 참여했던 사람이  심사원으로 들어간다면 이것은 자기가 컨설팅한 것에 대해 심사를 하게 되는 격입니다. 이런 경우 이해관계를 고려하여 심사 객관성에 위배될 수 있기 때문에 심사원으로 선발하지 않습니다. 결론적으로 심사원을 선정할 때에는 심사원 풀에서 이런 요소들을 종합적으로 고려하여 선발합니다.

Q. 인증심사는 어떤 절차로 진행되나요?

기업들은 먼저 ISMS와 PIMS를 구축해야 합니다. ISMS 또는 PIMS 구축·운영이 완료되었다고 판단하면 절차에 따라 인증심사를 신청하면 됩니다. 기본적으로 구축 완료 후 운영기간을 2개월로 권고하고 있습니다. 신청 완료 후 계약 체결하고 심사수수료를 납부하면 심사팀을 구성하여 평균 5일간 심사를 나가게 됩니다. 심사기간은 기업의 규모 및 인증범위에 따라 조금씩 차이가 날 수도 있으며, 대부분 5일간 심사를 진행하고 규모가 큰 경우 최대 10일까지 심사를 하기도 합니다.

ISMS는 104개 기준으로 심사를 하고, PIMS는 124개 기준으로 심사를 하게 됩니다. 심사과정에서 기준을 만족하지 못하는 경우 그 부분에 대해 결함으로 지적하고 결함보고서를 작성합니다. 결함이 있다고 해서 인증을 못 받는 것이 아니라 기본 30일에서 최대 90일까지 보완조치 기간을 주게 되며 보완조치가 충분히 완료됐다는 것을 현장점검을 통해 심사팀이 확인하게 되면 그 결과를 인증위원회에 심의 의결을 요청하여 최종 인증 여부를 판단하게 됩니다.

인증위원회는 학계, 산업계 등 관련 분야의 전문가 10명으로 구성된 최종 인증여부 판단 합의체입니다. 심사팀이 심사결과를 인증위원회에 보고하면 위원들이 인증여부에 대한 최종 의결을 하게 되는 것입니다. 인증위원회는 심사과정에서 심사팀이 심사의 객관성, 독립성, 전문성을 가지고 심사를 수행했는지를 확인합니다. 인증위원회의 역할을 통해 심사품질을 유지할 수 있는 것입니다. 심사시점으로부터 인증을 받기까지 걸리는 시간은 보통 90일 정도 소요됩니다. 한번 인증을 받게 되면 인증일로부터 3년까지 유효하고, 최초 인증 후 관리체계가 제대로 유지되고 있는지 1년에 1회 이상 사후관리 심사를 받아야 합니다.

Q. 인증심사는 보통 어떤 기관·기업이 신청하게 되나요?

보통 인증을 원하는 대상은 국가 또는 민간기업 조달 등 입찰에 참여하는 기업 및 금융정보, 개인정보, 진료정보 등 중요 정보 자산을 취급하는 기업과 IT 경영평가, 신용평가 등 외부로부터 정보보호관련 평가를 받는 기업, 국가기관 또는 기업의 정보시스템 및 개인정보를 위탁 관리하는 기업 등이 해당됩니다. 그 외에도 법률에 의해 의무적으로 받아야 하는 기업도 해당이 됩니다.

ISMS 인증을 예로 들면, ISMS는 2012년까지는 법정임의제도로 기업이 자율적으로 신청을 해서 인증을 받는 제도였습니다. 그러나 2013년부터는 일정규모 이상의 기업의 경우 의무적으로 인증을 받도록 법으로 정하게 되었습니다. 의무대상에 해당하는 기업은 ISP(정보통신망서비스 제공자), IDC(집적정보통신시설 사업자), 일정규모(정보통신서비스 부문 전년도 매출액 100억 이상, 전년도말 기준 직전 3개월간의 일일평균 이용자 수 100만명 이상) 이상의 정보통신 서비스 제공자가 해당됩니다.

의무대상이 아니라도 인증을 받고 싶은 기업들은 얼마든지 인증을 신청하여 받을 수 있습니다. PIMS 인증은 법정임의제도로서 의무대상 기업을 정하고 있지 않으며 자율 신청에 의해 인증을 받으시면 됩니다.

Q. 인증을 받은 기업이 얻게 되는 가장 큰 이점은 무엇인가요?

일반적으로 인증의 목적은 고객을 대상으로 어떤 서비스를 제공하고 있을 때 서비스의 신뢰성 확보 및 기업 이미지를 제고하기 위한 것이라고 할 수 있습니다. 달리 말하면, ‘기업이 제공하는 서비스가 과연 안전할까? 내 개인정보를 기업이 수집하고 있는데 잘 보호하고 있는 것일까?’ 하는 것들은 고객 관점에서 주요 관심사가 될 수 있습니다.

또한, ISMS 및 PIMS를 구축·운영한 후 인증을 추진하는 과정에서 정보보호 교육 및 훈련, 캠페인 등을 실시하게 되어  경영진과 임직원들의 정보보호 수준 및 인식 제고 효과도 동시에 얻을 수 있습니다. 즉, 인증을 통해 기업의 정보보호 수준이 자연스럽게 올라갈 수 있는 것이죠.

이러한 일반적인 인증 효과 이외에도 좀 더 실질적인 이점이 무엇이 있는지 질문을 많이 하시는데요. 효과를 정량적으로 말씀드리기는 어렵지만 인증과정을 통해 기업이 정보보호 및 개인정보보호 위험을 사전에 파악하여 지속적으로 개선할 수 있으며, 이를 통해 침해사고 및 개인정보 유출사고 발생 가능성을 줄일 수 있습니다.

즉, 상시적인 위험관리, 보안관제, 각종 점검 및 모니터링 활동 등을 할 수 있도록 관련 조직 및 절차 등을 갖추게 되고 이러한 체계 구축을 통해 사고가 발생하더라도 신속한 대응이 가능해 피해를 최소화할 수 있는 것입니다. 일각에서는 ISMS 및 PIMS 인증을 받으면 100% 사고를 예방할 수 있다고 오해를 하시기도 하는데 앞서 말씀드린 것처럼 ISMS, PIMS 구축 및 인증의 의미는 사고 가능성 및 피해를 최소화하는 데 있습니다. 인증을 받은 후에도 꾸준한 관리활동을 하지 않는다면 그 효과는 반감될 수밖에 없습니다.

예를 들어, 건강검진을 받았다고 해서 병에 안 걸리는 것이 아니라 병에 걸릴 수 있는 요인을 사전에 파악하여 큰 위험을 줄이는 것과 같습니다. PIMS 인증을 받은 경우에는 법률에서 정한 바에 따라 개인정보 유출사고 발생 시 과태료 및 과징금 일부를 경감 받을 수 있습니다. 이는 PIMS 인증을 받은 기업의 경우 개인정보보호를 위한 사업자의 노력 등을 고려한 것입니다. 결론적으로 기업이 스스로 ISMS 및 PIMS를 구축·운영하고 인증까지 추진하는 과정에서 정보보호 및 개인정보보호 체질개선이 자연스럽게 이루어질 수 있는 겁니다.

Q. 인증심사 업무에 있어 단점과 장점, 그리고 가장 어려운 점은?

인증심사원은 쉽게 말하면 연기, 노래, 춤 등 다재다능한 능력을 보유한 만능 엔터테이너에 비유할 수가 있습니다. 즉, 다양한 분야의 폭넓은 지식을 보유하고 있어야 훌륭한 심사원으로 활동할 수 있는 것입니다. 다만 인증심사의 업무성격상 많은 이해관계자들이 얽혀 있어서 정신적인 노동이 심하다는 것이 어려운 부분입니다. 이는 짧은 심사기간 동안 감정의 기승전결을 모두 겪게 된다는 것입니다.

또한, 인증을 추진하는 담당부서와 현업부서 간에 협조가 잘 이루어지지 않는 경우, 과도하게 방어적인 자세로 심사관련 정보 제공을 의도적으로 지연시키거나 숨기는 경우 원활한 심사 진행이 어렵습니다. 기업은 인증을 문제점을 개선하는 과정이라고 이해하고 열린 마음으로 접근해야 심사가 원만하게 진행되고 이를 통해 기업은 정보보호 및 개인정보보호 수준이 한 단계 더 향상될 수 있을 것입니다.

따라서 심사원들은 이러한 상황들까지도 잘 파악해 심사에 임해야 효과적이고 성공적인 심사를 할 수 있습니다. 심사과정에서 늘 새로운 환경을 접하게 되고 기업담당자, 심사원, 컨설턴트 등 새로운 사람을 만나야 하며 문제점을 합리적이고 논리적으로 제시해야 하는 업무이기 때문에 정신적인 스트레스가 높은 반면, 다양한 분야의 정보보호 전문가들을 알게 된다는 즐거움과 현장의 전문지식을 얻을 수 있는 기회가 생긴다는 것은 큰 장점이라고 할 수 있습니다.

이와 함께 기업에서 실제로 운용되고 있는 시스템이나 정보보호관련 신기술 동향을 파악할 수 있으며 이 경험을 토대로 인증제도 관련 정책이나 가이드를 개발할 때 현실적인 내용을 반영할 수 있다는 것도 큰 이득입니다. 무엇보다도 인증을 통해 문제점들을 발견하여 개선하는 과정에서 정보보호 및 개인정보보호 조직이 강화되고 정보보호 수준이 향상됐다는 이야기를 들을 때 가장 큰 보람을 느낄 수 있습니다.

Q. 최근 ISMS 및 PIMS 등 정보보호관련 인증에 있어 이슈가 있다면?

ISMS 인증의 경우 2013년 인증 의무 대상기업이 200여개 신규로 늘어 2012년에 비해 심사건수가 많이 늘어났으며, 하반기에 심사가 집중되다 보니 심사를 소화하는데 어려움이 많았습니다. 기업들이 미리 준비해서 상반기에 인증을 신청하시면 좀 더 양질을 심사를 받을 수 있으며, 준비하는데도 여유가 있기 때문에 상반기에 인증을 추진할 것을 권고 드립니다.

또한, 인증수요의 지속적인 증가에 따라 양질의 인증심사원 확보, 심사품질 향상, 컨설팅 업체의 컨설팅 품질 제고 등은 앞으로 계속해서 함께 노력해야 할 부분이라고 봅니다.