2020-11-30 02:35 (월)
[박나룡 칼럼] ISMS-P 인증제도, 적극적 활용을 위한 개선 제언
상태바
[박나룡 칼럼] ISMS-P 인증제도, 적극적 활용을 위한 개선 제언
  • 길민권 기자
  • 승인 2020.10.29 09:00
이 기사를 공유합니다

KISA 인증 전담 조직 확대·수수료 현실화·국가·공공기관 인증 의무화 시급

IBM, 아마존 AWS, 오라클, 마이크로소프트, 텐센트..

이 기업들의 공통점은 국내 컴플라이언스 준수를 위해 ISMS(정보보호관리체계) 인증을 받은 글로벌 기업이라는 점이다. 국내 지사가 아닌, 글로벌 본사가 주체적으로 심사를 받고 인증서를 발급 받은 곳들이다.

[이미지 출처] 아마존 AWS서비스 홈페이지
[이미지 출처] 아마존 AWS서비스 홈페이지

지금도 국내에 진출한 글로벌 기업들은 ISMS 인증을 받기 위해 준비 중인 곳이 다수 존재하고 앞으로도 늘어날 것이다.

이렇듯 ISMS 제도에 대한 신뢰가 높아지고, 다양한 글로벌 기업들이 ISMS 인증을 준비하고 있는 상황에, 국내·외 다양한 조직에 더 많은 도움이 될 수 있는 ISMS 인증 제도로 성장하기 위해서는 몇 가지 개선해야 할 부분이 있다.

첫 번째, KISA의 인증 담당 조직의 확대다.

현재 KISA(한국인터넷진흥원)는 한 개 팀에서 인증제도 관리, 인증 심사원 선발, 인증 품질 관리, 심사원 교육 등을 담당하고 있다. 여기에 인증 심사도 수행하고 있다. 이런 상황에 제도를 효과적으로 운영할 것이라는 기대를 충족하긴 어렵다.

이러한 상황은 심사품질과도 직결되어, 제대로 된 심사를 받아 정보보호 리스크를 최소화하고 싶어 하는 조직에 충분한 서비스를 제공하기 어려운 환경이 되고 있다.

일차적으로 KISA 인증 심사팀을 확대하고, 인증제도 운영과 관리에 초점을 맞출 필요가 있다.

부족한 인력은 ‘책임심사원’을 적극적으로 발굴해 전문가들을 인증 심사 분야로 끌어 모을 필요가 있다.

이는 국가적인 측면에서 전문 인력 양성과도 관련성이 높은 부분으로 마땅한 전문가 양성 프로그램이 없는 상황에서 최적의 방안이라고 볼 수 있다.

두 번째, 인증 수수료의 현실화다.

인증 수수료는 인증 품질에 많은 영향을 미치는 부분 중에 하나다. 수수료의 정상적인 인상을 통해 전문가들을 심사 환경으로 끌어들이고, 심사 기관에게 자체적인 심사 품질 관리가 가능한 비용 구조를 마련해줘야 심사 품질이 올라갈 것이다. 장기적으로 국가 전반적인 정보보호 시장에도 긍정적인 영향을 미칠 수 있음을 간과해선 안 된다.

인증 품질을 중요하게 생각하는 글로벌 기업이나 대기업에 대해서는 인증 심사 수수료에 대한 최대 금액 한도를 없앨 필요가 있고, 일정 기준 이하의 인증 의무대상자나 중소규모 기업에 대해서는 현재 기준을 준용하면 큰 무리가 없을 것이다.

현재의 수수료 산정 방식은 대기업과 소규모 기업과의 인증 대상 시스템과 대상 인원수, 서비스 수의 차이에 비해 수수료 차이가 크지 않아 합리적인 방식으로 보기 어렵다.

인력 1명, 정보시스템 1대, 서비스 수 1개 일 때 인증 수수료=1천76만4,000원
인력 1명, 정보시스템 1대, 서비스 수 1개 일 때 인증 수수료=1천76만4천원
인력 1만명, 정보시시스템 1만대, 서비스 1,000개 일 때 인증수수료=3천650만4,000원(KISA 인증 수수료 산출 계산식에 근거)
인력 1만명, 정보시시스템 1만대, 서비스 1,000개 일 때 인증수수료=3천650만4천원(KISA 인증 수수료 산출 계산식에 근거)

직원 1명, 정보시스템 1대, 서비스 수 1개인 회사가 1천만원대 수수료가 책정되고 있다. 한편 직원 1만 명, 정보시스템 1만대, 서비스 수 1천개인 조직의 수수료와 비교하면 2천500여 만원 밖에 차이가 나지 않는다. 이것은 중소규모 조직의 부담이 상대적으로 크거나, 대기업이 과도한 수수료 혜택을 받고 있다고 볼 수 있다.

세 번째, 국가·공공기관의 개인정보를 포함한 ISMS-P 인증제도 의무화다.

올 해 국감에서도 어김없이 다양한 공격 시도에 대한 문제 제기가 있었고, 개인정보보호에 대해서는 아직까지 효과적인 보호 대책을 마련하고 있지도 못하고 있는 것이 현실이다.

국가정보원이 국가·공공기관에 대해 체크리스트 방식의 보안 점검을 주기적으로 시행하고 있지만, 지속적 개선(Continual improvement)이 가능한 체계를 만들기 위해서는 ISMS 관리체계를 수립해 자체적으로 P-D-C-A 사이클이 운영될 수 있도록 만들어 주는 것이 효과적이다.

국가정보원에서는 보안기술개발, 국방과 외교 분야, 중요 시설 등 국가기밀보호와 보안목표시설 등 핵심적인 부분에 집중하는 것이 국가 안보 측면에서 더 효율적일 수 있다.

그 외 분야에 대해서는 ISMS-P 인증 제도를 활용해 지속적으로 개선할 수 있도록 도와주는 것이 장기적인 국가 거버넌스 체계에 적절하다.

박나룡 보안전략연구소장
박나룡 보안전략연구소장

ISMS 인증 제도가 20년 가까이 다양한 조직에 도입되어 보안 수준을 높이는데 효과적이었다는 사실이 검증된 만큼, 국가·공공 기관에 대해서도 더 이상 단편적인 보안 점검이 아닌, 지속적 개선이 가능한 정보보호 체계를 수립할 수 있도록 해야 한다.

[글. 박나룡 보안전략연구소 소장/ isssi@daum.net]


[하반기 최대 정보보안&개인정보보호 컨퍼런스 PASCON 2020 개최]

-날짜: 2020년 11월 10일 화요일

-장소: 서울 양재동 더케이호텔서울 2층 가야금홀

-대상: 공공, 금융, 기업 정보보안 및 개인정보보호 실무자

(이외 보안실무와 관련 없는 등록자는 참석이 제한 될 수 있습니다.)

-교육이수: 공무원, 기업 보안의무교육 7시간 인정. CPPG, CISSP 등 교육인정

-전시회: 국내외 최신 보안솔루션 트랜드를 한 눈에

-사전등록: 클릭

-참가기업 모집중: mkgil@dailysecu.com으로 문의

★정보보안 대표 미디어 데일리시큐!★