• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

모의평가로 살펴본 ‘정보보호 준비도 평가’ 허와 실 2014.10.30

쿠팡 “유통분야, 정확한 평가 위해 항목별로 가중치 둘 것”

하우리 “ICT 분야, 업무 효율성이 좀더 고려돼야”

서울디지털대학교 “명확한 타깃화 등 차별화 포인트 필요”


[보안뉴스 김경애] ‘정보보호 준비도 평가’(이하 준비도)가 29일 출범하면서 준비도에 대한 관심이 뜨겁다. 특히 준비도 출범에 앞서 모의평가가 진행돼 평가받은 기업의 소감과 개선사항, 만족도 등에 대해 관심이 모아졌다.

모의평가를 받은 곳은 △유통분야는 소셜커머스 업체 쿠팡 △ICT분야는 보안업체 하우리 △교육 분야는 서울디지털대학교였으며, 다음은 업체의 정보보호 준비도 평가에 관한 소감과 개선사항에 대한 의견이다.


◆ 모의 평가 소감 및 특장점  

쿠팡 김창오 인증감사팀장(유통 분야)- 모의심사 1일간 기반지표 7개 항목, 활동지표 16개 항목, 선택지표 7개 항목으로 총 30개 평가 항목에 대해 심사를 받았어요. 심사결과는 기반지표 중 6개 항목, 활동지표 10개 항목, 선택지표 7개 항목이 충족됐고요. 기반지표 1개 항목, 활동지표 6개항목이 부분 충족됐습니다.

하우리 김의탁 연구센터 소장(ICT 분야)- 경영진 인식 및 관심 부분이 매우 높은 비중을 차지합니다. 정보보호 준비도 평가의 특성과 장점이 과락제도가 있는 점이에요. 이 때문에 기업이 평가를 받을 때 이 부분을 놓치면 안 될 것으로 봅니다.


서울디지털대학교 최성우 팀장(교육 분야)- 저희는 원격교육 시스템 운영 부분에 평가를 받았는데요. 총 30개 평가항목 중 기반지표 7개, 활동지표 16개, 선택지표 7개 항목을 충족해 평가결과는 AA 등급을 받았어요. 경량화된 프레임워크임에도 불구하고, 기존 ISMS 인증에서 결함사항으로 지적되는 사항과 유사하다는 걸 느꼈어요. 그만큼 과학적이고, 체계적으로 잡혀있다는 점에서는 공감했죠.


기업에서는 인증유지에 대한 부담이 크기 때문에 빠른 평가와 비용 측면에서 메리트가 있어야 해요. 그런 측면에서 준비도는 하루 만에 평가가 가능하고, 타 인증보다 비용이 덜 드는 점이 장점이죠. 특히, 중소기업이 받기 좋은 평가 모델이에요. 또한 결함사항에 대해 기존 인증 평가에서는 서술 형태의 보고서라 정보보호 비전문가나 경영자가 이해하기 어려웠던 반면, 준비도는 정량적으로 점수가 표기돼 미흡한 부분을 직관적으로 확인할 수 있죠.


◆ 정보보호 준비도 평가 개선사항

쿠팡 김창오 인증감사팀장(유통 분야)- 보안관리 수준이 자율적인 측면에서 강화됐으면 좋겠어요. 또한 내부관리 수준 평가의 객관화와 파트너사에 대한 보안 신뢰성의 객관화, 중복 보충 활동에 대한 효율화, 평가항목에 대한 유연성이 좀더 보강되었으면 좋겠습니다. 특히 평가항목별로 가중치를 두면 좀더 정확한 평가가 이뤄질 수 있을 것 같아요. 이러한 부분만 보강된다면 추후 적극 활용할 계획이에요.


하우리 김의탁 연구센터 소장(ICT 분야)- 기업이 필요로 하는 정보보호 수준 평가가 이뤄져야 한다는 측면에서 기업의 업무 효율성이 좀더 고려돼야 한다고 봐요. 특히 ICT 분야 내에서도 다양한 중소기업 형태가 존재하기 때문에 업체 특성에 따른 보안 준수정책이 필요하죠. 이를테면 시큐어코딩의 경우 전문교육을 받아야 하는 조항이 있어요. 그러나 저희는 내부적으로 외부 강의를 할 수 있는 시큐어코딩 전문가가 있죠. 내적 자원을 활용하지 못하고, 외부 자원을 활용해야 하는 점은 개선되어야 해요.


타 인증제도는 모든 결함을 해결해야만 인증서를 교부하기 때문에 중소기업들이 결함을 해결하기 위해서는 많은 투자와 비용이 발생했죠. 따라서 기존 인증제도 보다는 평가기준을 간소화했기 때문에 평가기간 및 수수료 부담이 없어야 해요.


무엇보다 준비도에 대한 경영진의 관심과 참여를 높일 수 있는 방안이 마련되어야 합니다. 이를 위해선 등급에 따라 기업의 시설, 제품 투자비용에 따른 세액공제 등이 좀더 확대되어야 할 필요가 있죠. 뿐만 아니라 국가기관 대상 사업 및 과제 입찰, 정보보호대상 등 각종 수상에 대한 가산점이 확대되어야 한다고 봐요. 


서울디지털대학교 최성우 팀장(교육 분야)- 정보보호 인증이 많기 때문에 명확한 타깃화 등 차별화 포인트를 좀더 발굴해야 합니다. 또한 적극적인 홍보전략과 지원이 필요하죠. 이제는 대부분의 중소기업이 정보보호 중요성에 대해 인식하고 있어요. 다만 예산, 인력 등 실무적인 문제가 있기 때문에 보안인력 양성 프로그램 확대를 통한 지원이 이루어지면 좋을 것 같습니다. 보안인력을 신규로 충원하는 것은 기업에서 부담이 되기 때문에 기존 인력의 재교육을 통해 준비도 평가를 준비할 수 있는 양질의 보안인력이 많이 배출되면 좋겠습니다.

[김경애 기자(boan3@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>