▲ 전주현 한국CISSP협회 영남지부장

2010년 올 한 해는 정보보호관리체계의 해가 될 듯 하다. 우선 대표적인 관리체계로서 한국인터넷진흥원(KISA)의 ISMS와 영국 BSI의 ISO27001이 있다. 그리고 올해 시행예정인 G-ISMS(전자정부정보보호관리체계)와 PIMS(개인정보보호관리체계) 등이 있다.

KISA의 ISMS인증제도는 국내에 실정에 맞게 정보보호관리체계를 도입, 2002년부터 시행하고 있고, 최근까지 KISA의 ISMS 인증심사를 통과한 기업수는 70여 업체에 달한다.

KISA의 ISMS는 인증심사 항목 137개에 통제항목 446개 세부 통제 사항으로 구성됐다. 조금 세부적으로 살펴보면 관리과정 14개 통제사항·47개 세부통제사항이 있고, 또한 문서화영역에 3개 통제사항에 3개 세부통제사항이 있다. 정보보호대책에는 120 통제사항에 396세 세부통제사항이 있다.

그럼 왜 정보보호관리체계를 수립해야만 하는가?

정보보호관리체계를 수립한다는 것은 하나의 기업에 전체적인 정보보호에 대한 뼈대를 세우는 것으로 매우 중요한 의미를 지니고 있다. 정보보호관리체계는 기존에 주먹구구식으로 운영해 왔던 운영을, 또는 보안솔루션만 도입을 하면 보안이 되었다고 생각하는 체계화되지 않는 부분들을 프로세스화하고 시스템화·문서화하는 것이다.

기업과 조직에 중요한 것과 중요하지 않는 것에 대한 자산을 목록화 하는 것도 주요 핵심 중에 하나이다. 자산 목록중에 중요한 자산에 대한 보안 위협성의 구분해 내는 작업중에 하나인 것이다.

이런 정보보호관리체계가 수립돼 인증심사를 통과했다는 사실만으로 해당 기업은 대외적인 신뢰성에 의미를 부여할 수 있다. 따라서 인증심사를 통과한 기업은 통과에만 급급하기 보다는 관리체계를 수립하고 난 이후에도 잘 운영하고 이행을 하는 것이 중요하다.

문서로는 좋은 문구와 멋진 말로 문서화 되어 있지만 실제 이행을 하지 않는다면 그것은 한낱 문서에 지나지 않는다. 결국 뼈대를 만들고 살을 하나하나씩 붙여 나가면서 자신의 기업과 조직에 유연하게 정보보호를 이행함으로써 진정한 보안 시스템을 만들어 가는 것이다.

하지만 필자도 ISMS인증심사를 하면서 느낀 점은 아직도 현장에서 정보보호관리체계을 수립하는 게 적지 않게 어렵다는 점이다. 그것은 경영자의 보안 인식 부족과 홍보 및 교육 부족에 따른 것으로 실무 담당자는 아직도 많은 고충을 겪고 있는 것이 주지의 사실이다.

잘 아는 사람도 없고 운영을 할 인력도 없지만 조금 더 조직에 정보를 보호한다는 차원에서 외부전문가의 도움과 지식을 바탕으로 체계를 수립한 이후에 해당 조직의 운영자는 자신의 것으로 만들어야 한다. 그것이 스스로 관리체계를 통제하는 방법이 아닌가 생각한다.

한 가지 더 부연설명하자면 올 한해 이러한 정보보호에 관련된 체계수립이 권고나 의무화로 인해 많은 이슈가 될 듯하다.

이러한 관점에서 볼 때 제도 운영과 강화에도 좋겠지만 조금은 관련기관에서 홍보와 교육에 집중을 해주었으면 하는 바램을 가져 본다. 정보보호에 관심이 있는 기업을 대상으로 한 설문 조사를 살펴보면 ‘ISMS가 무엇인지 아는가?’ 또는 ‘ISMS 수립하면서 최고 애로사항이 무엇인가?’라는 질문에 가장 많이 한 답변이 ‘관련 교육을 많이 받고 싶다’는 명쾌한 답변이었다.

처음 아이가 걸음마를 할 때 스스로 노력도 많이 해야겠지만 어떻게 일어서고 걸어가야 하는 지에 대한 부모 노력도 중요하다. 이런 점에서 정보보호관리체계는 이제 걸음마를 시작한 것이 아닌가 하는 생각이 든다.

조금 더 힘차게 일어서고 걸어 갈려면 제도 운영과 강화도 좋겠지만 ‘G-ISMS’와 ‘PIMS’가 조금 더 실효성을 거둘려면 아직도 가야할 길이 멀기만 하다. 이러한 부분을 민·관·학에서 서로 협동해 정보보호관리체계를 더 굳건히 하고 긍정적으로 바라볼 때 더 나은 관리체계로 정착하지 않을까 생각해 본다.

전주현 한국CISSP협회 영남지부장 | sis@sis.pe.kr