정보보호관리체계(ISMS)가 시행된지 10여년이 된다. 하지만 지금까지 권고사항이 지나지 않았기 때문에 그 중요성을 알고 있음에도 불구하고 비용과 인력의 문제로 인하여 준비를 하지 못했지만  앞으로는 의무화가 되기 때문에 많은 관심을 가져야 한다. 필자는 이에  ISMS인증심사와 PIMS 인증심사를 하면서 느꼈던 관리체계의 필요성에 대하여 짚어 보고자 한다.  - 주인백


                                                                <출처: 전자신문 2012.01.17일자>


1. 정보보호관리체계란?

정보보호의 목적인 정보자산의 비밀성, 무결성, 가용성을 실현하기 위한 절차와 과정을 체계적으로 수립ㆍ문서화 하고 지속적으로 관리ㆍ운영하는 시스템 즉 조직에 적합한 정보보호를 위해 정책 및 조직 수립, 위험관리, 대책구현, 사후관리 등의 정보보호관리과정을 통해 구현된 여러 정보보호대책들이 유기적으로 통합된 체계 (이하 “정보보호관리체계”라 한다)에 대하여 제3자의 인증기관(한국인터넷진흥원)이 객관적이고 독립적으로 평가하여 기준에 대한 적합 여부를 보증해주는 제도  - 출처: KISA 홈페이지


2. 왜 필요한가?

최근 들어 "왜"라는 단어와 "본질"이라는 단어에 많은 관심을 가지고 있다. 그럼 왜 "관리체계"가 필요한가?에 대한 본질적인 부분을 우리는 고민을 해야 한다. 그 부분을 심사를 하면서 느꼈던 생각을 고려하여 몇가지로 정리 해 보기로 하자.

  • 기업과 조직의 입장
    • 우선 기업이나 조직의 입장에서 관리체계 도입의 필요성은 그냥 단순히 도입하면 좋을것 같으니까 도입하는것이 아닌 뚜렷한 목적이 있어야 한다. KISA가 말하는 목적은 다음과 같다.
      • 정보자산의 안전, 신뢰성 향상
      • 정보보호관리에 대한 인식제고
      • 국제적 신뢰도 향상
      • 정보보호서비스 산업의 활성화
  • 개인적인 입장
    • 괸리체계를 도입하여 실제 사이클대로 움직여 본다면 전체적인 맥락에서 우리 기업에서 우리조직에서 정보를 보호해야 할 자산을 식별 할수 있고, 위험도를 산정하여 중요도를 체크하여 체계적인 관리를 함으로 인하여  갑작스러운 사고나 장애에 대비하여 즉각적인 대응시나리오를 관리 하는 방법을 숙지 할 수 있다.

3.  관리체계에는 어떤 것들이 있는가?

  • 국제적
    • ISO27001 : ISMS에 대한 국제적인 표준으로써 전세계 선진기업이 합의한 좋은 사례를 활용하여 조직이 정보보호 경영을 실행하기 위한 프레임웤을 확인하고 이를 자사에 적용할 수 있게 하는 인증체계를 말한다.
  • 국내적
    • K-ISMS : 방통위와 KISA에서 주관하는 ISMS로 민간에 적용되며 정보통신망 이용촉진 및 정보보호 등에 관한 법률”제47조
    • “정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령”제50조
    • 정보보호관리체계 인증 (제2010-3호) 법적근거를 가지고 있다.

                    ※ 정보보호관리체계 인증은 조직에서 정보보호관리를 위한 체계 수립 및 운영이 효율적일 수 있    
                        도 록   하는 방법으로 최선의 노력을 하고 있음을 확인하는 것으로 법적 책임과는 무관함

    • G-ISMS : 공공기관에 적용되는 ISMS 제도


4. 연도별 인증서 발급현황

                                                               <출처: 한국인터넷진흥원>


2002년부터 발급을 시작해서 매년마다 점점 많은 수의 인증을 받고 있지만 총 10년에 걸쳐 126건 밖에 되지 않았다는 것은 그동안 얼마나 정보보호에 많은 무관심을 가지고 있는가에 대한 반증이기도 합니다. 그동안 ISMS 인증제도는 법적 의무사항이 아닌 권고 사항이었기 때문에 위와 같은 숫자가 나왔다고 하지만 보안에 대한 이슈는 점점 커지고 있어서 그 역할은 커지리라 생각이 듭니다.


5.  최근 시사점과 향후 방향

  • 정보통신망법 개정
    • 안전진단제도 폐지
      • ‘12년도 안전진단 예비대상자는 370여개 업체로, 전년대비 25.4% 증가

        (‘05) 142개 ➡ (’06) 160개 ➡ (’07) 207개 ➡ (’08) 232개 ➡ (’09) 247개 ➡ (’10) 272개 ➡ (’11) 292개 ➡ (’12) 370여개 예상

        안전진단 대상자가 점점 많아 짐으로 인하여 관리체계에 대한 법적 의무 시행 사업자도 증가할 전망.

  • '13년도 관리체계 의무화
    • 관리체계 의무화
      • 개인정보보호법 시행에서도 느꼈지만 13년도 시행이면 ISMS의 경우에는 올 12년도에 이미 컨설팅이나 사전 준비작업에 들어가야 한다. 그렇지 못할 경우 자체적으로 정책 수립에서부터 끝까지 마무리 작업을 해야 하는 부담을 가진다. 하지만 대부분 초기 관리체계 수립은 컨설팅을 많이 받음으로 한꺼번에 몰릴 가능성이 있다.
      • 또 한가지는 ISMS의 경우 관리체계 수립후 증적 사항을 수집하기 까지 오랜 시간이 걸린다. 컨설팅은 보통 빠르면 2-3개월에서 끝나지만 이에 따른 이행증적 사항은 6개월 정도 관리체계 사이클대로 움직일때 가능하다. 따라서 안전진단 해당 기업은 올해 부터 관심을 가져야 할 것이다.
  • 기업 관리체계 담당 인력 및 보안 컨설팅 인력 수요급증
    • 인력과 예산
      • 정보통신망법 개정으로 인하여 올 7월1일부터 시행이 되고 '13년도에는 ISMS제도가 의무화가 됨에 따라서 안전진단 대상 기업에서는 ISMS 전담 인력을 따로 구성하는 것이 좋다. 또한 초기 컨설팅을 위한 예산 마련도 중요하겠다.  특히 취업을 하지 못한 예비 취업자나 이직자 그리고 컨설팅에 관심이 있는 사람이라면 "관리체계"에 대한 관심도 가져 보는 것이 좋겠다.
      • 또한 이러한 관리쳬계 수립후에 이것을 체크리스트에 따라 인증하는 인증심사원에 대한 인력에 대한 부분도 수요가 늘어 날 것으로 전망된다. 따라서 기존 IT경력과 경험이 있는 그리고 인증 심사 스킬을 보유한 유능한 인증심사원등이 대거 등장하거나 많은 수요가 전망된다.

 

  • KISA의 역할강화
    • 기존 부서 역할증대
      • 지금현재 관리체계에 대한 대부분 업무을 추진 하는 기관은 방통위 산하 '한국인터넷진흥원'에서 추진하고 있다. 이러한 시대적 요구사항에 있어 KISA 해당 부서에 대한 역할 강화가 필요 할 것으로 보인다. 그동안 추진해 왔던 경쟁력과 경험을 바탕으로 하여 보다 더 확대 적용 되기 위한 힘을 실어 주어야 한다.


맺음말

한국에 인터넷이 사용된지 이제 불과 15여년밖에 되지 않았다. 그동안 많은 성장을 이루었고, 대한민국은 그중에서도 IT인프라 강국으로 도약이 되었다. 필자도 초고속 인터넷 사업에 인프라 구축 PM도 하였고, 그 이후 대규모 서버들이 들어있는 집적정보통신시설이 들어 서고 각 통신사 및 이통사 데이터 센터가 건립이 되었다. 이러한 데이터 센터는 이제 각 기업마다 관리 포인트가 늘어남에 따라 자체 데이터센터를 보유하게 되었고, 장애시에 대비하여 복구센터도 갖추게 되었다.

특히 이러한 인프라를 기반으로 성장하는 대한민국에 순기능에 따른 역기능 또한 만만치 않아 잇따른 보안사건사고가 발생을 하고 특히 '11년 작년의 경우에는 금융권에서 대거 개인정보 유출 및 금융 보안 사건사고가 일어나면서 많은 보안이슈가 제기되기도 하였다.

IT보안은 이제 IT융합으로 갈 것이고 산업전반에 걸쳐 보안의 중요성은 점점 커질수 밖에 없다. 또한 최근 SNS와 스마트폰을 이용한 모바일 보안이 이제는 엔드유저단인 '사용자 보안'으로 그 바톤이 넘어가게 되었다.

이러한 보안적 이슈를 잘 해결하고 대응을 하기 위한 가장 기초적인 작업이 '체계적인관리'에는 누구나 공감대가 형성이 되었다. 따라서 국내 정보보호관리체계중에 하나인 ISMS에 대한 중요도가 높아지고 정부는 지금까지 권고사항에 그쳤던 ISMS제도를 법적 의무화와 규제를 함으로 인하여 보안성을 높이려 할 것이다.

이러한 관점에서 보았을때, 이제는 IT보안을 바라보는 시야를 조금 크게 바라 볼 필요가 있고 기업이나 조직의 전체적인 틀(Frame)안에서 기획,설계,수립해 나가야 하는 시기이다.

본 포스팅은 혹시나 ISMS인증심사에 관심이 있는 사람을 대상으로 하여 ISMS,PIMS인증심사를 하면서 느낀점과 향후 대응책에 대하여 알아 보았다.  미래를 보는 눈을 가진 사람이 유능한 사람이다. @엔시스.

Posted by 엔시스

지난 4월28일에 부산 글로벌IT센터에서 "정보보호관리체계(ISMS)의 이해" 라는 주제로 저녁 오후 7시부터 10시까지 강의를 하였습니다.

강의 공지 링크  -> 여기

아직까지 많은 분들이 관심은 가지고 있으나, 어떠한 내용인지를 잘 모르는 경우가 있으며, 그에 기초하여 조금 쉽게 접근하려고 했습니다.  내용은 다음과 같습니다.


○ 1교시
 - ISMS(정보보호관리체계)란 무엇인가?
 - ISMS(정보보호관리체계)의 연혁
 - ISMS(정보보호관리체계)의 정보보호 정책수립, 범위설정, 위험관리, 구현 및 사후관리

○ 2교시
 - 15개 보호조치기준 살펴보기

○ 3교시
 - ISMS(정보보호관리체계)인증심사준비 요령 및 인증심사원 활동 방법 제시
 - 질의응답


사실, 참석 하신 분들 중에서는 이미 감리를 하시는 분들도 계셨지만 그래도 잘 모르는 부분도 있으리라 생각이 되어 이런저런 이야기로 현재 ISMS 인증심사를 주관하고 있는 한국인터넷진흥원 (KISA) 입장에서 여러가지 인증심사를 하면서 느꼈던 점이나 주의점 등을 이야기 하였습니다.

                                                  <사진 - BITEC 에서 ISMS 강의 모습>

특히 이번에는 <15개 보호조치사항> 에 대한 부분을 자세히 살펴 봄으로 인하여 조금은 세부적인 사항으로 접근 할 수 있다고 볼수 있었습니다.

사실, 지방에서 이러한 강의를 들을 수 있는 기회는 많지 않습니다. 그것도 무료로 말이죠. 자주 이런 기회가 있었으면 좋겠고, 조금 더 질적인 전달을 위하여 강의를 하는 사람 입장으로서는 보다 많은 인증심사와 제도를 이해하고 하여 강의에 참석하시는 분들에게 실질적인 도움을 주는게 바람직 할 것입니다.  하지만 최근엔 먹고 사느라고 인증심사에도 자주 참여 하지 못하다 보니 여러가지 사례가 조금 부족하지 않았나 하는 생각을 합니다. 하지만 매년에 한번이라도 참여는 하고 있으니 그 현장감을 잊지 않으려고 노력하고 있고, 이번 농협과 현대캐피털 같은 사고가 나지 않도록 인증심사원 관점에서 널리 보급하고 인식시키는 자부심으로 활동을 해야 할 것입니다. 

저는 그리고 강의 마지막에 이런 말을 했습니다.

"관리체계라는 것은 보안에만 적용되어 정보보호 관리체계만 있는 것은 아니다. 우리네 인생도 관리체계를 잘 세워 체계적관리하여 지속 가능하게 운영관리하면 그것 역시 인생의 관리체계인 것이다. 하나를 잘 알아서 보안에도 적용하고 인생에도 적용하면 꼭 성공하는 삶을 살수 있은 것이다." 라고.   @엔시스.


Posted by 엔시스

ISMS 인증심사를 통하여 과연 지금까지 ISMS인증심사를 통과 하여 인증서 발행인 된 발행수는 얼마나 될까요? 한국인터넷 진흥원 홈페이지에 확인을 해 보니 지금까지 99개 업체가 인증서를 교부 받았네요.


                                                           <출처: 한국인터넷진흥원 홈페이지>


2002년부터 약 9년동안 99개 업체가 인증서를 교부 받았는데, 무조건적인 인증서 남발 보다는 정말 인증서를 받을 만한 곳에서 받는 것이 당연한 것이라 생각을 한다.

또한 이러한 요인중에 하나가 '정보보호관리체계'에 대한 인식은 하고 있으면서 막상 인증심사를 신청과 인증을 받기까지 여러가지 애로 사항이 있는게 아닌가 생각을 한다.

하지만 위 그림을 보면 알겠지만 연도가 지날수록 인증수는 점점 증가를 하고 있으며, 기존 인증 업체중에서 ISMS에 대한 부정적인 내용 보다는 긍정적인 측면이 더욱 강조가 되어, 다수의 기업체들이 많은 관심을 가지고 준비를 해야 한다. 또한 관련 기관에서도 문턱을 더욱 낮추고 있으며, 인센티브 제도를 늘이고 있기에 조금 더 관심을 가져 볼만하다.

기타 언급하고 싶은 것 중에 하나는 IT관련 인력에 대하여 시간이 지날수록 , 또한 보안에 관심을 가질수록 나이가 들어 가는 것은 어쩔수 없다. 이러한 유용한 인력을 다시 활용 할 수 있는 그 경험과 지식을 재 활용할 수 있는 인력의 활용적인 측면에 있어서도 나이가 든 시니어 급 보안인력들도 ISMS 에 적극 관심을 가지고 한번 연구 해 볼 가치가 있는 분야이기도 하다.

필자는 늘 관리체계를 접하면서 느끼는 생각은 그것이 꼭 '정보보호' '보안'에만 한정되지 않는다는 생각을 한다. 관리체계를 잘 수립하는 사람은 인생에 있어서도 자신의 인생의 관리체계를 잘 수립할 수있다고 생각을 하기 때문이다. 처음에 보안에 대한 영역으로 시작을 하였지만 자신에 인생에 대한 관리체계까지 수립을 할 수 있다면 그 얼마나 멋진 일인가? 세상을 긍정적으로 바라보고 긴 안목에서 다시금 신발끈을 조이는 것은 순전히 자신의 몫임을 기억 해야 할 것인다. @엔시스.


Posted by 엔시스

관리체계를 수립하고 최종 KISA에서 인증하는 인증심사를 통과를 해야만 인증서가 발급이 됩니다. 제3자의 외부 전문가의 객관적 시각을 통하여 점검을 해 보는 것이죠.




인증 심사에서 주로 심사하는 관점은 3가지로 정리가 될 수 있습니다.

  • 관리과정의 적절성 - 관리과정의 전반적인 적절성과 체계성을 심사.
  • 위험관리 - 위험관리를 통하여 선택된 정보보호대책들이 정확히 구현 되고 사후 관리가 되었는지를 심사.
  • 법의 준거성 - 관리체계 수립시 관련 법률과 제도에 근거한 법의 준거성 측면에서 심사.


아마도 이러한 3가지 측면에서 인증심사를 진행 하게 됩니다. 특히 관리체계의 적적성이란 전문가들 사이에 의견도 달라지고 환경 변화에 따라 변할수 있기 때문에 , 관리체계를 위한 적절한 조직,절차, 방법들이 사용되고 이들이 체계적으로 관리되는지를 보는 것이죠.

따라서, 인증심사시 허점을 찾아내기 보다 전체적인 틀과 운영상태를 중요하게 심사하게 되고, 단기적, 중기적 , 장기적 마스터 플랜을 세워 어떻게 체계적으로 관리해 나갈 것인가에 대한 의지도 중요한 포인트 중에 하나일 것입니다.

예를들어 전산실의 물리적 보호조치가 미흡하여 결함사항이 도출이 되었다고 하면 , 이미 해당년도 예산은 결정이 되어 있고 , 당장 투입할 예산이 없는데도 결함사항을 주어 그것을 보완조치하라는 것은  피 인증 심사기관으로도 힘든 부분일 것입니다.

이럴땐 실무담당자에게 중장기적인 계획을 수립하는 방안을 검토하게끔 조언을 주고 차년도 사후관리 심사시에 적용될 수있는 방안을 권고를 하고 차후 사후관리 심사시에는 반드시 이행 여부를 확인하여 , 보안 관리를 점점 강화해 나갈수 있도록 하는 것이 관리체계의 근본적인 취지일 것입니다. 또한 그것이 심사원의 심사 스킬이 아닌가 생각을 해 봅니다.

무조건 허점을 찾아 단기간 보완조치 하기 힘든 것을 결함을 준다면 실무 담당자는 오히려 더 힘들게 할 수도 있고 관리체계의 어려움을 호소 할 수 있기에 , 그 취지에 벗어날 수 있지 않는가 하는 생각도 해 봅니다.

예외는 있습니다. 실무 담당자가 의사결정자에게 관리체계의 외부 심사원으로부터 심사를 받고 결함을 도출하여 힘을 실리게끔 지원 사격을 원하는 경우가 있습니다. 이럴땐 의사결정자의 마음을 움직여야 함으로 종료보고회의때 실무담당자에 힘도 실어주고 의사결정자의 정보보호에 대한 인식제고도 시킬 겸 적절하게 수위 조절 하여 긴급 보완조치를 취하여야 한다는 당위성을 설명해 주는 것도 좋은 방법중에 하나라 생각합니다.

어떠한 경우 동일한 사업장에 인증심사를 나가보면 작년보다는 올해에 위험관리가 잘 되어 있어 그 취약점을 점점 제거해 나가고 보안이 강화되는 것을 보면 인증심사원으로서는 뿌뜻함을 느끼게 되는 경험도 느끼게 됩니다.  @엔시스.


Posted by 엔시스