2020-08-04 23:35 (화)
[G-PRIVACY 2020] 박나룡 소장 “ISMS-P, 정보보호 수준 향상에 가장 효과적…대상 확대필요”
상태바
[G-PRIVACY 2020] 박나룡 소장 “ISMS-P, 정보보호 수준 향상에 가장 효과적…대상 확대필요”
  • 길민권 기자
  • 승인 2020.06.02 14:08
이 기사를 공유합니다

“CISO나 CPO의 겸직은 문제 있어… CISO 산하에 IT조직 운영돼야”
G-PRIVACY 2020. 박나룡 보안전략연구소 소장이 ‘ISMS-P 인증의 이해와 활용’을 주제로 강연을 진행하고 있다.
G-PRIVACY 2020. 박나룡 보안전략연구소 소장이 ‘ISMS-P 인증의 이해와 활용’을 주제로 강연을 진행하고 있다.

상반기 최대 개인정보보호&정보보안 컨퍼런스 G-PRIVACY 2020이 5월 28일 더케이호텔서울 가야금홀에서 성황리에 개최됐다.

이 자리에서 박나룡 보안전략연구소 소장은 ‘ISMS-P 인증의 이해와 활용’을 주제로 강연을 진행해 참관객들의 큰 관심을 끌었다.

박나룡 소장은 “ISMS(정보보호 관리체계 인증)와 PIMS(개인정보보호 관리체계 인증)가 융합화, 고도화되고 있는 침해위협에 효과적인 대응을 위해 연계가 필요해 ISMS-P로 통합하게 됐다”며 “하지만 현재 두 인증체계는 물리적 통합만 이루어졌을 뿐 완전한 통합으로 보기는 어렵다. 인증기준에 PIMS도 녹여서 하나의 인증기준으로 인증체계를 완성해야 한다. 인증기준도 심플한 요구사항으로 가야한다”고 강조했다.

이어 그는 “초기 ISMS는 IT시스템을 보호하기 위해 만들어졌지만 이제 기업 정보보호의 핵심은 개인정보보호다. 고객의 정보를 보호하는 것이 정보보호의 주된 목적이 된 만큼 정보시스템 보호만을 위한 단계를 넘어 개인정보보호까지 통합한 인증체계가 필요한 시점이 됐다”고 덧붙였다.

그는 또 “CISO와 CPO 통합도 필요하다. 누가 의사결정을 하느냐가 관건이다. 즉 개인정보보호를 위한 의사결정이 중요해 진 만큼 CPO의 역할이 더욱 커질 것으로 보인다. 따라서 CISO와 CPO를 분리할 것이 아니라 통합하는 논의도 필요하다”고 제안했다.

또 ISMS와 PIMS 인증제도가 대한민국 정보보호 발전에 큰 기여를 한 것도 언급했다. 인증제도 의무화로 인해 기업들의 정보보호 수준은 그 이전과는 달리 상당히 상향됐으며 예전처럼 쉽게 해킹을 당하거나 정보유출 사고 발생 비율을 낮추고 있다고 전했다.

더불어 그는 “1천명 이상 조직에서 CISO나 CPO가 겸직을 하는 것은 문제가 있다. 전담임원이 책임감을 갖고 보안관리를 해야 한다. 그리고 모든 IT업무가 보안성에 포커싱을 두고 움직여야 한다. 즉 CISO 산하에 IT조직이 운영돼야 안전하게 비즈니스 이루어질 수 있는 시대가 도래했다”고 강조했다.

조직의 개인정보보호 관련 예산도 대폭 확대되어야 한다고 강조했다. 정보보호의 최종 목표가 고객의 개인정보를 보호하는데 초점이 맞춰진 만큼 이에 대한 투자가 과감히 이루어져야 한다는 것이다.

박나룡 소장은 “ISMS-P 인증은 가장 적은 비용으로 최대의 효과를 볼 수 있는 방안이다. 단발적인 컨설팅이나 모의해킹보다 장기적으로 조직의 면역력과 회복력을 향상시키기 위해서는 인증만큼 효과적인 방법은 없다”며 “보다 전향적으로 ISMS-P 인증을 받는 자세가 필요하다. 인증 과정을 통해 보안조직도 구축하고 필요한 솔루션도 도입하고 조직의 IT현황도 정확하게 파악해야 한다. 임직원들의 보안인식 개선에도 큰 영향을 미친다. ISMS-P 인증 대상 확대를 통해 국가 전체의 정보보호 수준을 향상시켜 나가야 한다”고 밝혔다.

박나룡 보안전략연구소 소장의 G-PRIVACY 2020 발표자료는 데일리시큐 자료실에서 다운로드 가능하다.

★정보보안 대표 미디어 데일리시큐!★