미래창조과학부가 인증하는 ISMS는 조직에 적합한 정보보호를 위한 정책과 조직수립, 위험관리, 대책구현, 사후관리 등의 업무 체계를 종합적으로 평가하는 정부의 대표적인 정보보안 인증제도다. PIMS는 방송통신위원회와 한국인터넷진흥원(KISA)이 주관하며 특히 개인정보보호에 집중해 체계적, 지속적인 보호조치 체계를 구축했는지 점검해 인증하는 제도다. ISO27001는 국제표준화기구에서 제정한 정보보호 관리체계에 대한 국제 표준으로, 정보보호 분야에서 가장 권위 있는 국제 인증이다. 이 세가지 주요 정보보호 인증을 모두 획득한 곳이 바로 소셜커머스 대표 기업 쿠팡(대표 김범석 www.coupang.com)이다.

쿠팡은 지난해 말 ISMS(정보보호관리체계)와 PIMS(개인정보보호관리체계) 인증을 동시 획득했으며 올해 5월에는 ISO27001까지 획득했다. 쿠팡의 정보보호에 대한 이런 순발력과 추진력은 어디서 나오는 것일까. 바로 제대로 된 보안책임자 한 명이 얼마나 중요한지를 보여주는 사례다. 이번 인증작업을 총괄한 쿠팡 정보보안실 박나룡 실장(사진)을 만나봤다.
 
박나룡 실장은 지난해 4월 쿠팡 정보보안팀 구축작업을 위해 쿠팡에 합류했다. 그 전에는 포털 다음 보안담당자를 거쳐 보안전략연구소를 설립하고 인증심사원과 정보보호 관련 자문 활동을 수행하며 이 분야 전문가로 인정받아 온 인물이다. 기업의 정보보호 체계를 구축하는데 있어 그의 노하우는 무엇일까.
 
◇회사내 모든 위험요소 분석이 우선=박 실장은 “쿠팡에 합류하면서 가장 먼저 한 일이 회사 내의 모든 위험요소들을 분석하는데 집중했다. 웹, 조직, 솔루션 등 모든 문제점들을 하나도 숨김없이 도출해야만 대책이 나올 수 있다”며 “문제점 도출 후 이를 개선하는데 필요한 리소스인 인력과 예산 산정에 들어갔고 그에 맞춰 보안기술팀과 개인정보팀을 조직하게 됐다”고 말했다.
 
특히 그는 정보보호 체계를 구축하는데 주력했다. 기업의 지속가능성을 위해서 보안투자 없이는 힘들다는 점을 경영진에 효과적으로 어필한 것이다.
 
그는 “체계가 없으면 한번 개선된 문제점에 대해 동일한 문제가 재발될 소지가 크다. 그런 시행착오를 예방하기 위해서 경영진에 회사의 가치대비 현존하는 리스크를 구체적으로 보여줬다”며 “보안투자 안되면 회사 지속가능 성장에 문제가 발생할 수 있다는 것이 당시 PT의 핵심이었다. 경영진에서도 인식을 같이 했다. 경영진의 의지가 없으면 정보보호 체계 구축은 힘들다”고 강조했다.
 
또 박 실장은 보안 인력을 채용할 때부터 ISMS 통제항목 기준으로 채용했고 인력배치도 그 기준으로 정했다고 한다. 그렇게 되면 업무롤과 책임성이 명확해 지기 때문에 누락되는 업무도 없어지고 상호간 커뮤니케이션도 원활해 진다는 것을 장점으로 들었다.
 
◇정보보호 인증심사의 노하우=인증심사와 관련된 내용을 좀더 구체적으로 들어봤다. “ISMS와 PIMS는 준비하는데 6개월이 소요됐다. 심사에서 요구하는 사항들을 나열하고 현재 하고 있는 일들과 그에 따른 문제점들을 구체적으로 작성하고 이를 어떻게 고칠 것인지 엑셀표 하나로 정리해 그대로 진행했다”며 “쿠팡 내부에 심사원이 2명이 있다. 통제항목에 대한 이해도가 있는 사람이 있고 없고가 큰 영향을 미친다. 비용면에서도 내부에 심사원이 있으면 컨설팅 비용도 절감할 수 있어 여러모로 도움이 된다”고 전했다.
 
또 “인증을 위한 노하우가 있다면 PIMS를 기준으로 준비하는 것이 유리하다. PIMS 요구수준이 ISMS 요구사항을 대부분 포함하고 있기 때문에 PIMS를 100으로 하고 나머지 30을 더 준비하면 ISMS도 준비할 수 있다”고 밝혔다.
 
ISO27001은 올해 1월부터 준비해 4월 25일 인증서를 받았다. 약 4개월 정도 걸렸다. “ISMS나 PIMS와 큰 차이는 없다. ISO 통제항목에서 빠진 부분을 더 보강하고 요구사항에 대한 대책들을 충실하게 이행하면 된다”며 “실제 심사에 들어가기 전에 모의 심사를 받는 것이 좋다. 인증심사에 직접 참여하는 심사원들에게 미리 점검을 받아보는 것이다. 10일정도 2명의 심사원에게 모의심사를 받고 보강할 것을 보강해 실제 심사를 받으면 큰 도움이 된다”고 조언했다.
 
비용문제는 어떨까. 인증을 위해서는 컨설팅 비용과 인증 비용이 든다. 컨설팅 비용은 기업 규모에 따라 수천만원에서 수억원까지 든다고 한다. 인증비용은 KISA 고시에 나와있는 수준이다. 이때 내부에 심사원이 있다면 컨설팅 비용은 세이브된다는 것이다.
 
◇정보보안 체계를 확립하는 인증의 효과=인증을 받고 난 후 어떤 변화가 생겼을까. “정보보안 체계가 잡히니 전반적인 보안인식이 높아졌다. 보안조직 내에서도 자체적으로 돌아갈 수 있는 동력을 얻게 됐다. 지시에 따라 움직이는 것이 아니라 자신의 롤과 책임을 정확히 인지하고 스스로 이슈를 발굴해서 수정하는 등 자연스럽게 업무가 돌아가고 있다”며 “그렇게 되니 보안문제 발생 포착과 이에 대응하는데 시간이 상당히 단축돼 신속한 조치가 이루지고 있다. 또 다른 부서와 협업이 잘 된다. 인증심사 과정에서 회사 전반적인 시스템과 프로세스 등을 보안조직에서 이해할 수 있게 돼 원활한 상호 커뮤니케이션이 이루어지고 있다”고 전했다.
 
또 “인증 후 비용절감 효과도 발생한다. 예를 들어 보안솔루션 종류가 많은데 이런 솔루션은 꼭 필요하고 어떤 솔루션은 굳이 구매하지 않아도 관리적으로 커버할 수 있다는 것이 명확해 지기 때문에 쓸데없는데 돈을 낭비하지 않는다”고 밝혔다.
 
더불어 “정보보안 관리체계는 보안에서 건물의 기초와 같다. 기초를 세우고 건물을 올려야 하듯이 관리체계를 세우고 구체적인 보안업무를 진행하는 것이 중요하다”며 “그래야 회사 전체적으로 고른 보안수준이 이루어진다. 인증은 전체 보안 수준을 높이는 취지에서 필요하고 지속적으로 리스크를 방치하면 회사 성장에 언젠간 위협으로 작용하기 때문에 리스크 관리를 효과적으로 할 수 있다는 점에서 인증은 꼭 필요하다”고 강조했다.
 
◇인증을 받으려는 기업들이 주의해야 할 사항들=한편 인증심사에서 안 좋은 사례에 대해 “숨기면 실패한다”고 강조한다. 즉 보안담당자가 사내에 어떤 시스템이 있는지 빠짐없이 알고 있어야 한다는 것이다. 현업부서에서 개인정보나 운영하는 서버 등 모든 것을 숨김없이 드러내야 한다. 회사 구석구석 모든 것을 알아야 대책이 나올 수 있다고 강조한다.
 
즉 인증을 받는 이유가 인증서를 받으려고만 하면 안된다는 것이다. 조직의 보안 수준을 높이려는 것이 목적인 만큼 그것을 달성하려면 현업부서에서 절대 숨겨서는 안된다는 것이 중요한 포인트다.
 
한편 그는 “보안담당자의 오픈 마인드도 필요하다”고 강조했다. 즉 “심사 받을 때 보안담당자의 오픈마인드가 필요하다. 숨기고 심사에 방어적으로 대응하면 문제점을 알려줄 수가 없다”며 “심사원은 감사를 하러 온 것이 아니라 문제점을 알려주고 도와주러 왔다는 것을 인식하는 것이 중요하다. 그래야 인증효과가 있다”고 한다.
 
또 “경영진도 지적사항이 나왔다고 해서 보안담당자를 문책하면 안된다. 질책보다는 적극적으로 개선될 수 있도록 지원해주려는 마음가짐이 필요하다”고 덧붙였다. 
 
성공적인 인증을 위해 또 어떤 것이 필요할까. 박 팀장은 “인증도 중요하지만 그 후가 더 중요하다. 어떻게 하면 조직의 보안 수준을 높여 보안사고를 예방할 수 있을까. 사고가 나더라도 빠른 시간에 복구해서 리스크를 최소화할 수 있는 방법은 뭘까에 초점을 두고 지속적으로 수준을 높여나가야 진정한 인증 효과가 있는 것”이라고 강조했다. 
 
“직원들을 위해서라도 모험은 하지 말자. 튼튼한 회사로 만들자”는 경영진의 의지와 내부에 노련한 보안관리자의 존재가 기업의 정보보호 체계를 잡는데 얼마나 중요한지를 느끼게 해준 인터뷰 자리였다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com