[2015.09.23]

얼마 전 행사장에 온 고객 한 분이 ISMS솔루션에 관해 큰 관심을 보였었다. 올해 마지막 사후 심사를 진행하고, 내년이면 갱신을 해야 하는데, 인증관리 업무로 인해 담당자가 매년 업무 후 그만 둬서 해결책을 찾으러 왔던 것이다. 규정관리가 정착화 되어가는 단계이긴 하지만, 그 속에 서 애로사항을 안고 가는 우리 모습의 한편이란 생각에 씁쓸함이 묻어났다. 또한 ISMS, PIMS 등 보안컴플라이언스 인증을 운영해야 하는 많은 고객들도 위 사례와 같이 컴플라이언스 운영의 어려움을 많이 호소하고 있음을 자주 확인할 수 있었다.

정보보호관리체계(ISMS), 개인정보보호관리체계(PIMS), 국제보안규정(ISO27001), 개인정보보호인증제(PIPL), 개인정보영향평가(PIA), PCI DSS(Payment Card Industry Data Security Standard) 등 각각의 인증규정들이 존재하고 기업들은 서비스유형이나 범위에 따라 인증을 하나 또는 그 이상 획득 운영하고 있다. 하지만 이러한 규정들은 중복되는 항목들과 업무들이 다수 존재하기 때문에 인증관리 업무들을 운영하기에는 현실적으로 인력, 지원이 부족한 것이 현실이다. 그뿐만 아니라 공공기관의 경우 이러한 복수 규정에 대한 운영에 있어서는 기업 내 정보보호 인력이 부족하고 관리해야 할 항목도 많이 때문에 시간이 지날수록 업무도 누락되고 증적도 유실되기도 한다. 또한 보안업무에 대한 수행현황이 가시화되지 않는 부분들이 많기 때문에 이행에 대한 현황관리가 어려운 것도 사실이다. 실제로 공공기관은 수시로 국정원에서 실태 감사를 받고, 금융기관은 금융감독원에서 감사를 받고 있다. 특히 금융기관의 경우 정보통신망 기반 전자금융서비스로 인한 매출이나 이용자 수 기준에 따라 파악된 의무화 대상 금융사는 40여곳이고, 기존에 ISMS 인증을 받았던 금융사를 포함해 사후심사 또는 신규심사 대상이 되는 금융사는 50곳이다. 은행 대부분은 인터넷 뱅킹 운영부문에서, 증권사 경우 온라인 트레이딩시스템 부문에서 ISMS 인증을 취득한 경우가 많다고 한다.

금융기관을 비롯하여 많은 기업들은 이러한 어려움을 해결하고 지속적인 보안 관리체계가 유지되기 위해서 점검항목 이행에 필요한 업무를 정의하고 담당자를 정확히 지정하며 이행에 대한 현황을 관리 할 수 있도록 시스템화가 필요하다. 또한 보안담당자의 부재나 변경이 있을 때 업무의 연속성을 확보할 수 있도록 정책이 명확하게 정리되어 관리되어야 한다. 또한 기업 내 자산현황에 대한 변경 이력관리와 변경이나 추가된 자산에 대한 위험분석을 통해 지속적으로 관리해야 정보자산에 대한 관리보안이 지속적으로 유지된다. 이러한 보안에 대한 문화가 정착되려면 다소 시간이 소요될 수도 있으나 명확한 업무정의, 업무분장, 현황관리가 지속적으로 이루어지면 점차 보안업무의 생활화가 정착될 것이다. 당장 귀찮고 힘든 일이라고 여기고 보안사고가 불가항력적인 일이라고 생각하여 관리체계가 느슨해진다면 막을 수 있는 사고도 막지 못하게 된다. 결론적으로 이제는 기술적, 물리적 보안뿐만 아니라 관리적 보안도 중요성이 커졌기 때문에 기술, 물리, 관리적 보안 3박자가 골고루 이루어져야 기업보안의 체계가 잡혔다고 말할 수 있을 것이다. 더 나아가 효율적인 관리를 위해서는 기업 내 보안 인식이 전사적으로 갖추어 져야 하고, 관리자 입장에서는 인지하지 않고 하는 업무 조차 보안 프로세스 상에서 움직여 행해 질 수 있도록 자동화 되어야 현실적인 관리가 될 것이다.

다음은 보안컴플라이언스 운영을 시스템화하여 보안 인증 관리 및 보안업무를 수행하고 있는 사례이다. 각 기업들은 어느 정도 업무 자동화를 구현하여 다양한 보안컴플라이언스 관리, 업무 프로세스 관리, 담당자 운영현황 관리를 영속성 있게 운영하고 있다.

인증운영의 현실적인 어려움을 극복하기 위해 대외적 모바일 서비스를 하는 ○○사는 복수의 인증업무관리를 통합으로 운영할 수 있는 솔루션을 올해 도입하였다. 국내규정인 ISMS, PIMS와 해외규정인 PCI DSS를 해당 서비스별로 운영하는 이슈가 발생하여 보안인력이 일일이 수작업으로 관리하는 것 아니라 솔루션으로 규정을 관리하고 이행에 대한 점검과 통합 증적관리까지 시스템화 하였다. 솔루션 도입으로 업무연속성이 확보되고 정책배포 및 업무가이드가 되어 전반적인 보안관리체계가 시스템화 되어 지속적이고 체계적이게 관리될 것으로 예상된다.

대형유통업체인 ○○사도 본사에서 정책관리, 업무정의, 업무분장을 총괄하고 각 지역의 지점별 보안 담당자에게 업무를 할당하여 주기적으로 보안컴플라이언스 업무이행을 확인하는 방향으로 운영하고 있다. 또한 그룹웨어 연동, SSO연동을 통해 일반 담당자들이 편리하게 접근 가능하도록 연동하였고 업무이행시기가 도래하였을 때 매일 알림을 통해 업무이행 가이드를 하고 있다.

금융사인 ○○사는 보안컴플라이언스 이행 운영뿐만 아니라 자산 취약점에 대한 조치내용 및 이력을 관리한다. 또한 각 담당자별 보안지수를 산정하여 상시 보안이행 상태를 확인 할 수 있도록 확대한 계획에 있다.

또한 그룹 계열사인 ○○사는 보안컴플라이언스 관리뿐 아니라 기타 그룹웨어 하던 보안신청업무들을 솔루션으로 통합하려는 계획을 가지고 있으며, 곧 그룹사 전체로 확대하여 운영할 계획이다. 이에 더하여 그룹웨어 전자결재 연동을 통해 보안업무 프로세스를 단일화하여 복잡하게만 느껴졌던 보안업무를 기존 업무관리 시스템과 연계하여 편리하게 운영할 계획이다.

이 밖에도 컴플라이언스 관리 시스템과 수탁사 관리시스템을 연계하여 외부로 유출될 수 있는 개인정보 등 중요정보에 대한 점검항목을 이행 점검할 수 있는 계획, DB접근제어 등 기술적 보안솔루션 연계를 통한 관련 증거자료 관리계획 등 기술적 솔루션과 연계 요청도 많이 있다.

위와 같은 컴플라이언스 운영관리 시스템을 도입하는데 기업의 관리자와 업무 담당자 사이에 많은 Gap이 있는 것도 사실이다. 가령 관리자는 인력으로도 할 수 있는 일이고 컨설팅을 받았으니 간단히 운영만 하면 된다는 생각을 가지고 있는 반면, 실제 업무 담당자들은 컨설팅은 받았으나 운영관리 범위나 조직 구성에 따른 업무분장의 어려움 때문에 업무과중의 어려움이 있다. 약 200여개의 업무이행을 관리해야 하기 때문에 노동집약적 업무 특성상 지속적인 관리 운영이 현실적으로 힘들다. 요즘 컴플아이언스 시스템을 도입하는 고객들은 관리자부터 이러한 현실적 어려움을 파악하고 앞서 도입을 검토하고 있으며, 도입 후 관리자 분들도 이행에 대한 파악이 편리해져서 추후 지속적 운영에 대한 기대가 높아지고 있다.

ISMS인증 기준 세부점검항목 시 향 후 시스템을 통한 통합 운영이 가능한 몇 가지 조항을 염두하는 것도 방법이다.

예를 들면, 외부자 보안 항목의 경우 업무 종료 후 정보시스템 자산 반납 및 업무 중 사용하였던 모든 접근계정 삭제 확인이 보장되어야 인정이 되는 만큼 외부자에 대한 보안 규정을 엄격히 하고 있다. 이는 외주인력 관리가 가능한 솔루션 등과의 연계를 통해 일부 도움이 될 수 있다. (3.2 외부자 보안 이행)

운영보안 항목의 정보시스템 저장매체 관리에서는 정보시스템 폐기 또는 재사용 시 중요정보를 담고 있는 하드디스크, 스토리지, 테잎 등의 저장매체 폐기 및 재사용 절차를 수립하고 매체에 기록된 중요정보는 복구 불가능하도록 완전히 삭제하여야 한다(11.4.1 정보시스템 저장매체 관리)고 명시되어 있는 바 데이터 완전 삭제에 대한 수요도 증가하고 있다. 이 역시 물리적파기와 더불어 소프트웨어의 근본적 데이터 삭제가 필요하다는 점을 인지하고, 중앙관리를 통해 복구 불가능한 삭제를 수행할 수 있도록 준비해야 한다.

취약점 점검 역시 필요하다. 11.2.10 취약점 점검 조항에서는 정보시스템이 알려진 취약점에 노출되어 있는 지 여부를 확인하기 위하여 정기적으로 기술적 취약점 점검을 수행하고 발견된 취약점들은 조치하여야 한다고 나와있는데, 관리자는 정기적인 점검과 문서화된 보고서가 수반되어야 하는 점을 염두해 두어야 한다.

수 많은 솔루션에 대한 투자와 운영을 해왔지만, 모든 솔루션이 정상 작동하는지 사전에 모의 훈련을 통해 관리하는 것도 방법이다. 12. 침해사고 관리 조항에서도 ‘DDoS 등 침해사고 유형별 중요도 분류, 유형별 보고 대응․복구 절차, 비상연락체계, 훈련 시나리오 등을 포함한 침해사고 대응 절차를 수립하여야 한다.’,’ 침해사고 대응 절차를 임직원들이 숙지할 수 있도록 시나리오에 따른 모의훈련을 실시하여야 한다.’라고 명시 되어 있는 등 침해사고 대응 절차 수립과 훈련에 관해 언급되어 있다. DDoS모의 훈련 등 간단한 솔루션을 통하여서도 사전 연습이 가능하기 때문에 이를 적극 활용하여 침해사고에 대응할 수 있다.

위의 조항 외에도 각 항목별 업무 수행을 위한 솔루션 및 각종 도구들이 많이 있다. 이를 적극 활용하면 노동생산성을 증가시킬 수 있다.

그 동안 기업 및 기관들은 넓은 보안분야와 다양한 사고들을 대응 하기 위해 솔루션 설치 등 끊임없이 투자를 해 오고 있다. 기술적인 조치들이 유지 되기 위해서는 그 이상의 관리적인 조치가 필요하다. 그런 의미에서 주어진 보안 규정을 준수하는 것이 형식적이 아닌 생활화가 된다면 매우 유의미한 일이 될 것이다.  이를 위한 근본적인 업무 환경 조성을 위해 기업에서는 일정과 예산에 맞추어 자동화 할 수 있는 것은 최대한 시스템화 하고, 한정된 인력으로 관리 능률을 최대화 할 수 있도록 계획해야 할 것이다.  

 참고로 ISMS인증심사는 최초심사, 사후심사로 구분되는데 최초심사 후 인증획득을 하게 되면 인증유효기간은 3년이지만 매년 사후심사를 받아야만 인증유효가 된다. 인증심사는 서면심사와 현장심사를 병행하게 되며 규모에 따라 차이는 나겠지만 최초심사는 1주일, 사후심사는 3~4일정도 하게 된다. ISMS의 시행근거는 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제47조(정보보호 관리체계의 인증)이며, 의무대상자는 정보통신망서비스 제공자(ISP), 집적정보통신시설 사업자(IDC), 주요 정보통신서비스 제공자가 대상이다. 의무대상이지만 인증을 획득하지 않은 기업은 정보통신망법 제76조(과태료) 규정에는 1천만원 이하의 과태료 부과가 되도록 되어있다. ISMS는 정보자산 전반에 관한 관리체계이지만 개인정보 이슈가 증가하면서 개인정보보호법률에 기반한 PIMS나 PIPL이 확대 운영될 예정이다.