금융시장서 부는 ISMS 바람, 새로운 개선 필요한 때
인증을 위한 인증돼선 안돼, 기존 인증과 중복으로 인력ㆍ비용 낭비 우려

금융기업은 정보보호 관련 법률에 따라 금융위원회에 국제 또는 국내 인증 획득 현황을 보고하고 있다.
특히 ISMS(Information Security Management System)는 정보통신망의 안전성 확보를 위한 기술/물리적 보호조치 등을 포함한 종합적인 국내 정보보호관리체계 인증제도다. ISMS 인증은 방송통신위원회가 결정하고, 인증 업무 전반은 한국인터넷진흥원 등 4개 인증기관에서 수행하며 인증서 발급은 한국인터넷진흥원에서 이뤄진다. ISMS 인증의 유효기간은 3년이지만 인증 받은 기관은 매년 1회 이상의 사후관리 심사를 통해 인증기준 이행 여부를 지속적으로 확인해야 한다. 또한 정보보호 관리등급을 받은 경우, 유효기간이 1년으로 지정된바 있다.
중요한 점은 지난 3.20 사이버테러로 인해 보안관리 문제가 다시 제기되면서 일반 기업뿐만 아니라 금융권에서 역시 ISMS 도입의 확대 필요성과 실효성 문제가 함께 대두되고 있다는 점이다. ISMS가 의무화 됐음에도 불구하고 금융권의 인증획득은 아직 미미한 수준이며, 이미 국제 인증인 ISO27001을 획득한 금융기업에서는 ISO27001과 ISMS가 중복되는 사항이 많고, 이를 준비할 수 있는 리소스(인력 및 비용)가 부족한 점을 진행 시 가장 큰 애로사항으로 꼽고 있다. 하지만 ISMS 인증을 주관하고 있는 한국인터넷진흥원 측은 이러한 업계 우려의 목소리에 대해 명확한 입장을 내놓지 못하고 소극적인 입장을 보이고 있다.
또한 이미 ISO27001과 ISMS를 모두 획득한 모 금융기관에서도 해킹이 발생하는 등 정보보호에 대한 불안감과 함께 ISMS 제도의 실효성 논란은 쉽사리 가라앉지 않고 있다. 이에 대해 금융업계는 ISMS가 기업 매출액 및 이용자수 등 단편적이고 일률적인 지표보다 각 기업의 특성 및 기능에 따른 실질적인 평가기준으로 개선돼야 한다고 강조한다. 이번 호에서는 금융권 정보보안 담당자들을 만나 ISMS 획득 이슈에 대한 의견에 대해 들어봤다.

이지혜 팀장 jh_lee@ciociso.com

ISMS는 기업 정보보호 체계의 수립을 가능하게하고 전 방위 보안을 폭넓게 체크할 수 있다는 측면, 정보보호 수준향상 측면에서 어느 정도 도움이 되는 것이 사실이다. 또한 단편적인 보안 대응 및 타율적인 정보보호점검에서 탈피해 기업의 체계적이고 자율적인 정보보호 수준 제고를 유도한다는 데에서는 업계는 긍정을 표하고 있다.
하지만 실제 정보시스템의 안전도를 진단한 것이 아니라 인증 확인서 발급을 위한 보고서 작성 등으로 실효성 문제가 도출될 수 있으며, ISMS 역시‘인증을 위한 인증’으로 진행된다면 기업의 효과적인 정보보호 수준 향상은 기대하기 어렵다. 가장 큰 우려는 감독기관이 기업에 대한 일률적인 잣대로 ISMS를 적용할 수 있다는 점이다. 특히 이미 ISO27001을 획득한 기업에서는 ISMS와 이것과의 차이는 국내외 어디서 활용되고 인정받을 수 있냐만 다르다는 목소리다.
실제로 업계 한 관계자는 인증 시행기관이 ISMS를 만들 때 ISO27001을 대폭 참조했다는 얘기도 심심치 않게 들리고 있다고 전했다. 두 인증 사이의 크로스 체크(cross check)되는 부분보다 중복되는 사항이 많을 수밖에 없다는 것이다. 또한 ISMS 획득을 위한 투입 인력과 비용 또한 이중으로 진행돼 기업 입장에서는 상당한 부담감을 느끼고 있는 것으로 보인다. 절차에 따라 인증획득을 위한 자료 수집 및 획득 후 진행/운영에는 그에 적당한 리소스가 투입돼야 하지만 현재 557모범규정도 빠듯하게 시행하고 있는 대다수 금융기관에서는 보안 임직원들의 업무가 2, 3배 가중될 것이 뻔하다는 지적이다.

이를 위해서는 금융 아이삭과 같이 ISMS 인증 취득을 위한 과정 중 비용 및 인력 지원이 어려운 기업이 있다면 이를 정부 차원에서 도움을 줄 수 있는 방안이 심도 있게 다뤄져야 한다는 의견도 높다. 또한 만약 ISMS가 금융권에서 의무화 된다면, 인증 심사기준 역시 기관의 주관성을 절대 배제시킨 완벽성을 기해야 하며, 이를 위해 법 해석을 위한 가이드라인 및 지침이 시행 전에 충분한 시간을 갖고 업계에 제공돼야 한다.

▲ “인증 관련 주도기관들은 업계 내 우수 사례들을 공유해주고 충분한 정기 감사 유예기간을 줘야한다, 보안은 단시간 내 급박하게 이뤄질 수 있는 사안이 아닌만큼 금융기관이 철저히 준비할 수 있는 시간이 필요하다” 공웅식 KEB 외환은행 IT본부 본부장

특히 ISMS는 IT 부서뿐만 아니라 현업의 협조 없이는 진행이 이뤄질 수 없기 때문에 인증 전담 조직체계를 반 강제 형식으로라도 의무화하게 하자는 의견도 나오고 있다. 한편, ISMS와 ISO27001인증을 모두 획득한 기업에 대해서는 업무 중복성을 줄이기 위해 ISMS가 해외에서도 인정받을 수 있도록 하는 ‘동시·더블 인증 정립’을 국가기관 차원에서 관리해야 한다는 목소리도 높다.

국내외 인증에 대한 부담 높다

금융기관의 ISMS 인증 획득 의무사항 바람이 심상치 않게 포착되는 가운데 이미 ISO27001을 획득한 기업에서는 불만사항이 거세지고 있다.
ISO27001은 국제표준화기구에서 제정한 정보보호 관리체계에 대한 국제표준이자 인증으로, 정보보호정책/ 물리적 보안/ 정보접근 통제 등 정보보안 관련 11개 영역, 133개 항목에 대한 국제 심판원들의 심사와 검증을 통과해야 인증되는 제도이다. 이 인증을 획득하
면 3년간의 유효기관의 연2회 또는 1회의 사후관리 심사를 통해 갱신을 지속해야 한다. ISO27001이 국제 인증이라면 ISMS는 ‘전기통신사업법’ 제6조 제1항에 따라 허가 받은 자로 대통령령이 정하는 정보통신서비스 제공자로서 정보통신서비스 부문 전년도 매출액이 100억 원 이상인 자, 전년도 말 기준 3개월간의 일일평균 이용자 수가 100만명 이상인 자, 직접정보통신시설사업자로서 연 매출액이 100억 원 이상 일평균 이용자 수가 100만 명 이상인 자, 전국적으로 정보통신망 서비스를 제공하는 자를 기준으로 하는 국내 인증제도다.

▲ “인증 역시 해석을 위한 지침이 미리 마련돼야 한다. 기업이 생각하는 정도의 보안과 관리 당국이 원하는 수준은 분명 다르기 때문에 이에 대한 사전 언급 정도가 미흡한 것이 현실이다” 김형진 동양생명 IT기획팀 팀장

ISMS의 통제항목 수는 104개, 세부 점검항목 수는 261개에 달한다. 특히 지난 2월 시행된 개정 정보통신망법에 따른 개정안에는 경영진 책임 강화, 최고정보보호책임자(CISO)지정 등 조직 구성 강화, 외주개발 보안과 스마트워크 보안, 망분리 등의 통제항목이 새롭게 포함됐다. ISMS는 방송통신위원회가 결정하고, 인증 업무 전반은 한국인터넷진흥원 등 4개의 인증기관에서 수행하며 인증서 발급은 한국인터넷 진흥원에서 이뤄진다.
ISMS 인증 유효기간 역시 3년이며, 인증을 받은 기관은 매년 1회 이상의 사후관리 갱신심사를 통해 인증기준 이행 여부를 지속적으로 확인해야 한다. 문제는 두 인증을 함께 획득한 기업의 경우, 사후관리 심사를 통해 갱신해야 한다는 이중적 어려움이 존재한다는 것이다.
하지만 최근 금융기관들 역시 글로벌화를 비전으로 내세우며 이에 주력하고 있는 가운데, 이중 어느 한 가지를 포기할 수는 없다는 입장이다.
결국 해외 영업 확대에 필요한 인증과 국내 인증을 동시에 유지하기 위해 기업의 이중적인 투자비용이 소요되기 마련이며, 갱신 심사를 위한 기간 또한 평균 2, 3개월 소요돼 리소스 역시 부족하다. 지속적인 위험관리 체계의 작동, 취약점 점검 및 조치에 투입되는 모든 인력 및 비용도 문제지만, 취득 후 유지 및 관리하는 작업에 있어서도 현재 금융기관의 정보보호 팀 내 인력들이 담당하기에는 버거운 것이 사실이다.
정보보호 업무뿐만 아니라, 감사, 재해복구센터 업무 등 중복되는 업무를 맡고 있는 기업보안 담당자들 입장에서는 관리 항목만 해도 200여 개가 훌쩍 넘는 ISMS를 획득 및 유지하기에는 버겁다는 입장이다. 한 업계 관계자는 이에 대해 “ISMS 취득 의무사항만을 강조할 것만이 아니라 차라리 ISMS를 위한 전담 조직을 기업 내 강제로라도 배정하거나 금융 아이삭처럼 인증의 유지보수관리를 위해 조직이 체제를 유지할 수 있는 구체적인 방안을 내줘야 할 것”이라고 강조했다. 일례로 보안 인증 취득 전 수행해야 하는 컨설팅이나 관리 인력 지원 등이 집행 수행기관 지휘 아래 이뤄져야 한다.
업계는 특히 보안 규제나 인력, 예산 부분이 언급될 때 기업 IT담당자들에게뿐만 아니라 기업 인사를 관리하는 현업부서에도 함께 지침을 내려 보안의 중요성을 인식하는 동시에 즉각적인 대응이 이뤄질 수 있도록 해야 한다는 의견이다.

▲ “보안을 강화하게 된다면 당연히 현업의 지원 또한 뒷받침 돼야 한다. 이를 위해서는 현업 반발의 최소화를 위한 작업과 최고 경영진 층의 강한 지원이 필수적이다” 임병묵 동부생명 IT전략팀 팀장

‘HOW’를 위한 업계 사례 및 법해석 절실

인증제도를 추진하는 감독기관의 배려가 필요하다는 시각도 있다. 예를 들어 ISO27001인증에 포함돼 있는 영역이라면 ISMS 심사에서는 제외시키거나, 정부 기관이 주도해 국제기구와 제휴를 맺어 하나의 인증을 획득하면 다른 하나도 인정받을 수 있는 동시 인증이나 더블인증 제도를 도입하는 것을 고려해야 한다는 것이다.
만약 ISMS 취득이 금융권 의무사항이 된다면 준비 및 정비기간이 상당 기간 필요한데 이에 대한 충분한 유예기간을 줘야 한다는 입장도 팽배하다. 기업 입장에서는 일종의 운영주의로 인해 ‘이정도면 될 것이다’라는 생각으로 넘어가는 경우가 있지만, 관리 감독 기관에서는 엄격한 기준을 들이댐으로써 상호 간 갭(GAP)이 생길 수 있기 때문이다. 업계 한 관계자는 “인증 획득을 준비할 수 있는 충분한 기간을 주는 동시에 사전 예비 심사를 통해 본 심사에 들어가기 전 예비점검 할 수 있는 체제가 마련돼야 한다”고 강조했다.
또한 앞서 지적된 바와 같이 큰 기업, 고객정보를 다수 보유한 기업부터 인증 획득 점검을 시작해 관리감독을 진행하고, 위배에 따른 처벌 시점은 되도록 여유를 두는 것이 좋다는 의견이다. 이런 과정들을 위해서는 결국 법 해석의 정확성이 요구되며, 기업 입장에서는 어느 범위까지 인증을 준비해야 할지와 그에 따른 투입 장비 및 비용을 미리 산정하는 과정이 필요하다. 한 관계자는 “‘what’은 있지만 ’how’가 없는 보안은 완벽하지 않다. 시장에서는 ’how’를 위한 많은 업계 사례 또는 샘플을 원한다”고 전했다.
실제로 ISO27001은 관련 예시가 충분해 적용이 보다 수월하다. ‘what’만 강조되는 제도는 결국 감독기관의 면피성이 짙은 것으로 해석될 수밖에 없다. 또한 인증은 ‘인증을 위한 인증’이 아닌 명확한 ‘표준화’로 자리 잡아야 한다. 완벽한 심사기준으로 인해 항목에 대한 오해의 소지가 없게끔 명확한 기준이 필요하다는 것이다. 하지만 일각에서는 인증을 받아도 집행기관이 요구하는 보안 체제와 시행하는 기업 입장의 차이는 분명히 존재할 것이라는 입장이다.

▲ “대기업이 아닌 이상 투입 인력과 비용에 있어 허덕일 수밖에 없다, 정부차원에서 강력한 제도적 밑받침을 마련해 줘야한다” 최성진 코리아크레딧뷰로 고객지원본부정보보호팀 팀장

인증 지속 위한 정부기관 독려 이뤄져야

ISMS 획득에 있어서 투입 비용과 인력 부분만큼 이슈가 되고 있는 부분은 과거 타 정보보호 인증들과 비교해 얼마나 차별성이 있냐는 것이다.
쉽게 ISO27001과 비교하더라도 이런 측면은 간과할 수 없다. 이에 대해 업계 한 관계자는 “두 인증 사이에 동일한 부분 외에 차이가 나는 부분에 대해서만 집중적으로 인증 심사하는 방안 등으로 어려움을 간소화 시킬 수 있을 것”이라고 말했다. 또한 금융기관의 ISMS인증 획득이 의무화된다면 기업들의 인증 취득 시기가 몰릴 가능성이 제기되면서 인증심사기관자체의 부담은 물론, 양질의 사전 준비가 이뤄질 수 있겠냐는 의문이 일고 있다.

예를 들어 현재 국내에서는 인증을 심사하는 컨설팅 기관이 약 7개에 그치는데, 만약 ISMS 취득 기간이 촉박할 경우, 컨설팅 기관들의 자격 기준을 낮춰서라도 업체수를 늘리는 현상이 벌어지게 된다. 급하게 과정을 거친 후 가장 큰 문제점은 인증을 획득한다고 해서 관연 100% 완벽한 보안이 이뤄지냐는 것이다. 업계에서는 부정적인 경향이 강하다. 단지 기업 내부 보안 표준 잣대나 감독기관의 감사를 위한 도구가 될 수는 있지만 보안의 질적인 향상은 어렵다는 입장이다.

▲ “과거 타 보안 인증제도와 중복되는 경향이 많다, 또한 집행기관의 일률적인 잣대로만 사용하려 한다면 인증 획득 자체가 무색해 질 수 있다” 이익수 한국수출입은행 전산정보부 팀장

한편 업계에서는 관련기관들에 바라는 점 중에서 인증을 획득한 기업에 대해 확실한 ‘당근’이 제공돼야 한다는 목소리가 높다. 한 관계자는 “만약 ISMS를 비롯해 여러 보안 인증을 획득해 놨다고 하더라도 보안상의 문제가 발생할 수 있는데, 보안 유지를 위한 일련의 과정들은 무시되고 결과론적인 처벌밖에 이뤄지지 않는다면 차라리 인증 획득을 위해 리소스를 투입하는 것보다 과태료를 지급하는 것이 낫다고 생각할 것”이라는 극단적인 의견을 표했다. 계속해서 언급되는 투입 인력 역시 인증 자체가 일회성으로 그치는 것이 아니라 끊임없이 보안수준을 체크하고 자가 점검을 통해 능력을 향상시켜야 한다.
한편 업계에서는 보안 인증제도들을 실제 보안 업무의 효과보다 대외홍보나 눈요기용으로 먼저 생각하는 경향을 없애고, 현업의 관심과 최고 경영진 층의 독려를 끌어들여야 한다고 강조하고 있다.