보안관련 인증들이 형식적으로 간다는 느낌도 듭니다. 기업에서 이러한 인증을
극대화시키고, 형식적으로 흐르는 것을 방지할 수 있는 방법에는 무엇이 있을까요?

[보안뉴스 원병철 기자] 보안은 인증 취득을 떠나서 가장 중요한 것은 인식 제고라고 생각합니다. 보안에 대한 인식이 높아질수록 보안관련 인증도 내실화가 될 수 있다고 생각합니다.


정보보호관리체계(ISMS)가 의무화되면서 많은 기업이 보안 투자와 관리를 강화하고 있지만, 인증을 위한 업무로만 인식되는 경우도 있는 것 같습니다. 즉, 인증시점에서만 보안을 운영하거나, 평상시에는 증적 등 주요 업무를 수행하고 있지 않다가, 인증 심사가 다가오면 증적자료를 몰아서 작성하는 등 보안담당자의 의식 개선도 필요합니다. 직원의 보안에 대한 인식 전환, 보안담당자 및 관리자의 지속적인 관리·감독, 특히 C-Level 임원의 적극적인 지지가 반드시 필요하다고 봅니다.

또한, 제한된 기간에 인증 심사를 하다보면 확인할 수 있는 영역이 상당히 제한적이기 때문에 심사범위의 모든 취약점을 발견할 수는 없고, 수검 기관 입장에서는 인증을 획득 유지하는 것이 중요하기 때문에 가급적 취약점을 감추려고 하는 경향도 있습니다. 이런 점 때문에 보안관련 인증이 형식적으로 간다는 느낌을 받을 수는 있지만, 제한된 기간과 자원으로 인증제도 보다 더 효율적으로 취약점을 개선하고 정보보안 인식을 제고할 수 있는 제도도 없다고 볼 수 있습니다.

수검 기관이 보다 효과적으로 인증 제도를 활용하려고 적극적인 심사 협조와 심사 시 관련 부서의 적극적인 참여를 유도한다면 인증 제도의 효과를 극대화할 수 있을 것입니다.

이렇듯 보안관련 인증이 형식적으로 간다는 뜻은 인증받을 경우에는 많은 준비와 보안수준을 높이려고 힘을 쓰지만, 인증을 받고 난 후가 문제라고 봅니다. 대부분의 기업들은 인증을 받고 나면 보안이 불편해 사용자나 관리자가 편의적으로 보안을 해제하는 경우가 생깁니다.

이를 예방하기 위해서는 절대적으로 보안 관리자의 의식이 가장 중요하다고 판단합니다. 보안 관리자가 수시로 사용자들의 보안운영 실태를 살펴봐야 합니다. 지속적으로 관리 및 교육이 없다면 인증 받았을 상황의 보안수준을 유지하기란 정말 어렵기 때문입니다.
[박종문 한국정보보호심사원협회 부회장(kaos99kr@gmail.com)]
　
보안관련 인증 항목에 대한 형식적이고 표면적인 부분이 아닌, 해당 통제항목이 보고자 하는 근본적인 부분에 대해 고민하고, 그리고 통제항목과 해당 조직의 업무와의 관련성을 찾아서 인증범위 뿐만 아닌 전사로 확대하는 것도 인증을 극대화 할 수 있는 방법입니다. 특히, 인증을 받고 나면, 기본적인 정책과 프로세스 등과 같은 체계가 잡히는데, 이러한 체계를 지속적으로 관리하고, 고도화하도록 고민하는 것이 필요하다고 봅니다.
[김경곤 고려대학교 교수]
　
현재로써는 기업에서 보안사고가 발생했을 경우, 관련하여 최소한의 조치가 되어 있을 경우 기업에 큰 책임을 묻지 않고 있기에 해결할 도리가 없는 것이 현실입니다. 그렇기에 관련 법안이 최대한 변경이 될 수 있도록 힘써야 합니다.
[한국산업기술보호협회 중소기업기술지킴센터]
　
인증이 최종 목표가 되어서는 안 되고, 인증을 준비하는 과정에서 지속적인 보안관리 프로세스를 갖추고 운영하는 것이 중요합니다. 프로세스를 갖추는데 부가적으로 필요한 것이 조직원들에게 해당 보안 관리 프로세스에 대한 역할과 책임(R&R)을 부여하고, 핵심성과지표(KPI)를 설정해 운영하는 것입니다.

역할과 책임, KPI를 부여하여 지속적으로 관리하면 인증을 받는 그 당시 형식적인 자료준비에서 그치지 않고 조직의 보안수준을 제고하는 데 기여할 수 있습니다. 또한 새로운 비즈니스 프로세스가 발생되면 해당 업무에서 보안 프로세스를 찾아 역할과 책임, KPI를 부여해 지속적으로 관리하는 것도 매우 중요합니다.
[유진호 상명대학교 교수(jyhyoo@smu.ac.kr)]
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>