정보보호 안전진단제도를 개편한 정보보호관리체계(ISMS)가 시행되고 있지만, 대상기업의 절반 이상이 인증을 획득하지 않았다. ISMS에 대한 이해가 낮을 뿐 아니라 자사가 규제대상 기업인지 조차 모르는 기업이 다수를 이룬다.
현실을 반영하지 못한 규제 때문에 오히려 기업/기관의 규제준수 의지가 약해진다는 비판도 나오고 있는데, 정부부처마다 또 다른 규제를 만들기에 혈안이 돼 있다. 그러나 지능형 공격이 성행하고 있어 규제준수를 위해 필요한 프로세스를 구축하다 보면 지능형 방어 체계를 구축할 수 있다.
규제준수 솔루션으로 안정적 사후관리
ISMS 시장은 단일규제를 준수하기 위한 솔루션/서비스 시장으로 국한되지 않는다. 앞서도 언급했듯, 정보보안과 관련된 인증 사업이 계속 생기고 있으며, 글로벌 진출을 고려하는 기업들이 ISO27001 등 국제규제도 함께 추진하고 있기 때문에 모든 규제를 만족할 수 있는 보안체계 구축이 필요하다. 국제표준을 따른 보안인증과 각각의 규제에서 요구하는 항목을 일일이 맞출 수 있는 시스템이 반드시 필요하다.
이를 위해 컨설팅 기업들과 관련 소프트웨어 기업들이 ISMS 규제준수를 위한 패키지 솔루션을 출시하고 보다 쉽게 규제를 준수할 수 있도록 돕고 있다. 규제준수 패키지 솔루션은 반복적으로 진행되는 단순업무를 자동화해 전문인력 업무를 줄일 수 있으며, 컨설팅 기간을 단축해 인력과 비용을 절감할 수 있다. 컨설팅 기업에서 이러한 솔루션을 이용할 경우, 고급 컨설턴트들이 더 많은 고객에게 서비스를 제공할 수 있어 서비스 수준을 높일 수 있다.
이외에도 인증에 필요한 매뉴얼, 지침서, 양식서 샘플을 제공하고, 이러한 문서들을 체계적으로 관리하고 유지할 수 있는 솔루션과 위험분석 과정에 필수적인 자동화 취약점진단 솔루션을 이용하는 것이 도움이 된다.
이성표 유와이즈원 ISMS 매니저는 “ISMS 인증 의무 대상 기업 중 무엇을 어떻게 해야하는지 정보를 거의 갖고 있지 않은 곳이 많다”며 “와이즈원 ISMS는 특히 사후관리에 초점을 맞춰 보안 업무를 유지할 수 있도록 하고 기업 전반의 보안 수준을 높일 수 있도록 한다”고 말했다.
ISMS는 시스템 전반의 인적·물리적 보안 체계를 수립하도록 하고 있기 때문에 정보보호 체계 수립을 위해 다양한 기술기업의 협조가 필요하다. 이러한 필요에 의해 유와이즈원, 웨어밸리, 이스트소프트, 드림시큐리티, 시큐에이스, 에스지엔, 채울 등 7개 기업이 ‘ISMS&PIMS 포럼’을 결성하고, 정보보안 규제 준수에 필요한 기술과 서비스를 제공한다.
유와이즈원의 전지영 마케팅팀장은 “규제준수를 위해서는 임원의 강력한 의지와 직원들의 적극적인 참여가 함께 필요하지만, 보안조직에서 임직원을 설득하고 실천을 이끌어내기가 쉽지 않다. 포럼에서는 인증 관련 기술·서비스 기업이 함께 고객의 문제를 해결하고 필요한 기술 및 서비스 지원을 제공하고자 한다. 더불어 관련 부처에 적극적으로 정책 제안을 제공해 현실적인 정부정책이 마련될 수 있도록 할 예정”이라고 말했다.
보안 컨설팅과 온라인 교육 사업을 전문으로 하는 씨드젠은 올해 초 규제준수 솔루션 브랜드 ‘솔리드’를 런칭하며 컴플라이언스 시장에 뛰어들었다. 4월 ‘솔리드 PIA’를 출시한데 이어 10월 ‘솔리드 ISMS’를 출시했다.
김휘영 씨드젠 대표는 “솔리드 제품군은 컨설팅 과정에서 나타나는 반복되는 업무를 자동화해 컨설턴트의 업무를 줄이기 위해 개발됐으며, 규제준수를 준비하는 고객에게도 도움이 될 것으로 판단해 상용화된 패키지 솔루션으로 출시했다”며 “솔리드 제품군은 고도의 전문지식이 필요한 업무 외에는 모두 다 자동화된 관리를 가능하게 한다. 예를 들어 보고서를 작성할 때에도 해당 규제에서 요구하는 보고서 양식을 그대로 제공하기 때문에 몇 번의 클릭 만으로 정확한 보고서 작성이 가능하다”고 설명했다.
이 제품은 ISMS 통제항목이 변경돼도 그에 맞는 체크리스트 업데이트를 지원하며, 주요 정보자산 현황과 자산별 보안수준 모니터링, 침해요인 분석, 증적관리, 직관적인 대시보드를 통한 모니터링 등의 기능을 갖췄다.
변화관리 사업부(CMU)의 정보보안 교육운영 시, 교육대상자(보안담당자 및 컨설턴트 등)의 의견이나 에로사항 등을 솔루션에 반영하여 지속적으로 업데이트 할 예정이다. 향후 ‘솔리드 PIMS’, ‘솔리드 ISO27001’도 출시해 전사적 규제관리 솔루션 라인업을 구성할 예정이다.
이와 같은 규제준수 솔루션은 컨설팅 기간과 비용을 줄일 수 있을 뿐 아니라 위탁업체 관리도 보다 용이하게 한다. 최근 지능형 공격은 보안체계가 잘 수립된 대기업을 공격하는 것이 아니라 보안이 취약한 위탁업체나 하청업체의 취약점을 파고들어 상위 기업 네트워크로 침투한다. 규제준수 솔루션을 위탁업체 및 하청업체에 설치하면 인증 획득시 보안수준을 유지하는데 도움이 된다.
“ISMS 인증 획득은 새로운 시작”
ISMS는 인증을 획득하는 것만큼 이를 제대로 유지·관리하는 것이 중요하다. 매년 재인증을 받아야 하기 때문에 인증획득만을 목적으로 한다면 시간과 비용이 더 많이 든다.
기존의 정보보안 안전진단은 40여개의 체크리스트에 대해 준비가 됐는지 안됐는지 단순하게 묻는 방식이었지만, ISMS는 105개 항목이 이행되고 있는지와 함께 이행 현황과 미 이행 현황을 분석하고, 향후 계획까지 세부적으로 확인하게 돼 있다. 보안 관리자가 모든 항목을 수동으로 관리하는 것은 불가능하며, 프로세스를 제대로 수립하고, 실제로 이행되고 있는지 관리해야 한다.
성경원 인포섹 보안컨설팅팀 이사는 “ISMS 인증은 최초 획득이 새로운 시작이며, 인증 자격을 지속적으로 유지하는 것이 훨씬 어렵다. 특히 최초 인증 획득 시에는 전사적인 노력을 집중했다가 인증 획득 이후 이행 노력을 게을리해 인증 자격 자체가 유명무실해 지거나 관리체계를 유지하는 것 자체가 버겁고 힘들게 되는 경우도 종종 발생한다”며 “인증 추진 시 컨설팅 수행을 통해 마련된 정보보호/개인정보보호 관리체계를 유지 발전시킬 수 있도록 보안 담당자 및 여러 구성원들의 실무적인 보안업무 수행이 필수다. 아울러 보안 담당자들은 경영진의 관심과 전폭적인 지원을 이끌어 내는데 심혈을 기울여야 한다”고 말했다.
방인구 안랩 상무는 “ISMS 인증 획득보다 장기적으로 인증을 유지하는 것이 더 중요하다. 10년 이상 인증을 유지하는 기업/기관이 있다면 베스트 프랙티스라고 평가할 수 있을 것”이라며 “일회성 규제준수가 아니라, 차근차근 보안 수준을 높여가는 과정으로 접근하는 것이 현명한 방법”이라고 강조했다.
카페 소개 : 정보보안기사 카페(다음 정보보안기사 대표 카페)
카페 주소 :http://cafe.daum.net/Security-no1클릭
교재 소개 : 알·기·사(알기쉬운 정보보안기사.산업기사(필기편,실기편))