• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

2014년 정보보호제도·정책, 보안관리자 대응전략은? 2014.01.10

“현실적이고 지속 가능한 보안관리체계 수립이 우선”


[보안뉴스 김태형] 2013년은 정보보안 업계에 있어 다사다난했던 한해였다. 특히, 정보보호관리체계(ISMS) 인증 의무화와 개인정보보호 인증제(PIPL) 본격 시행 등의 컴플라이언스 이슈들로 인해 보안관리자 입장에서 적절한 대응전략을 마련하기가 쉽지 않아 더욱 그랬던 것.


보안관리자들에게 있어 이처럼 강화된 보안제도·정책은 2014년에도 아주 중요한 쟁점이 될 것으로 보인다. 그렇다면 보안관리자들은 이러한 보안 컴플라이언스에 대해서 어떻게 대응해야 할까?


우선 정보보호 및 개인정보보호 관련 법령 개정, 강화된 내용과 신규 도입된 각종 인증제, 그리고 표준 등에 대한 내용을 자세히 알아볼 필요가 있다.


개인정보보호법은 주민번호 수집 법정주의, 과징금·징계 권고 제도 등의 이슈가 있었고 정보통신망법 개정 시행으로 정보보호관리체계(ISMS) 인증 의무화가 시행됐다. 또한, 금융권에서는 전자금융감독규정을 통해 망분리 의무화와 금융회사 정의가 명확해졌다. 그리고 개인정보보호 인증제(PIPL)의 본격 시행도 꼽을 수 있다.


개인정보보호법의 경우 지난해 8월 6일 개정돼 올해 2014년 8월 7일부터 시행될 예정인데, 핵심내용은 △주민번호 수집 법정주의 △과징금 및 징계권고 제도 등이다.


     


아울러 개인정보보호법 시행 2년이 경과하면서 개인정보 처리자의 자율적인 개인정보보호조치 이행 유도를 위해 2013년 11월 28일 본격 시행된 개인정보보호 인증제(PIPL)에 대해서도 잘 파악해 둬야 한다.


전자금융감독규정의 경우에는 2013년 12월 3일 일부 개정·시행된 △정보보호최고책임자의 지정대상 규정(제6조의2) △보안규정 위반에 따른 내부 처벌근거 마련 의무화(제8조의2) △금융전산 망분리 의무화(제15조) △임직원에 대한 정보보호 교육계획 수립·시행(제19조의2) △취약점 분석·평가 관련 주기, 내용 등(제37조의2) △침해사고대응기관 지정 및 업무범위(제37조의4) 등의 내용도 파악해야 한다.


이와 관련 에이쓰리시큐리티 박세현 이사는 “개인정보보호법을 비롯해 정보통신망법, 전자금융감독규정 등 세부적으로 준수해야 할 명확한 법령 요건을 파악한 후, 적절한 대책 마련이 필요한 시점”이라면서 “개인정보 표준지침, 개인정보 기술적 안전성 확보조치 고시, 전자금융감독규정세칙 등 법률 하위의 각종 고시 및 지침 등의 확인은 매우 중요하고 반드시 필요하다”고 조언했다.


그리고 무엇보다 보안관리자 입장에서는 정보통신망법에 따라 의무화된 정보보호관리체계(ISMS)에 대한 이해가 중요하다. 특히 ISMS 인증요건을 포함한 인증 범위 설정을 비롯해 현실적으로 준수 가능한 보안대책을 수립하는 것은 쉽지 않은 일이다.


이에 박 이사는 ISMS 구축단계별 고려사항으로 △범위 정의 △취약점 분석/위험평가 △대책 수립 △이행 및 인증심사 대응 등으로 나누고 다음과 같이 제시했다.


- 범위 정의 측면 : 명확한 인증 범위 설정은 어려우면서도 중요한 문제인 만큼 자산이 누락되거나 변경될 경우, 무엇을 해야 할지 사전 준비 및 인식이 필요하다.


- 취약점 분석/위험평가 : 취약점 분석에서 컴플라이언 요건은 더욱더 관심을 갖고, 객관적인 GAP 측정에 주의할 필요가 있다. 또한 위험평가는 가능한 쉽고 관리 가능한 방법으로 수행해야 지속운영이 가능하다.


- 대책 수립 측면 : 정책, 지침은 현실적으로 준수 가능하면서도 ISMS 요건을 포함해 수립해야 하는데, ‘할 수 있다, 적절히, 수행주기’ 등 모호하거나 이상적인 규정을 최소화해야 한다.


- 이행 및 인증심사 대응 측면 : 이행증적의 공식화(ex. 결재 등) 및 현 업무 프로세스 반영이 필요한데, 인증 유지를 위한 이행 증적 관리는 또 다른 비효율의 증가일 뿐이라는 점을 간과해서는 안된다. 특히 결함사항은 언제든지 발생 가능한 만큼 ISMS는 지속적으로 개선해 나가는 과정이라는 이해가 필요하다.


박세현 이사는 “ISMS, PIPL, PIMS, ISO27001 등의 인증·표준은 모두 관리체계를 포함하고 있다. 구축된 PDCA(Plan-Do-Check-Act) 프로세스에 각 인증·표준별 심사·점검 요건을 반영하면 체계 구축이 용이할 것”이라면서 “인증 표준·기준의 계속적 유지가 비즈니스에 부담이 되지 않도록 실제 적용·운영 가능한 관리체계를 수립해야 할 것”이라고 강조했다.

[김태형 기자(boan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>