2024.05.03 (금)
금융시장서 부는 ISMS 바람, 새로운 개선 필요한 때
인증을 위한 인증돼선 안돼, 기존 인증과 중복으로 인력ㆍ비용 낭비 우려
금융기업은 정보보호 관련 법률에 따라 금융위원회에 국제 또는 국내 인증 획득 현황을 보고하고 있다.
특히 ISMS(Information Security Management System)는 정보통신망의 안전성 확보를 위한 기술/물리적 보호조치 등을 포함한 종합적인 국내 정보보호관리체계 인증제도다. ISMS 인증은 방송통신위원회가 결정하고, 인증 업무 전반은 한국인터넷진흥원 등 4개 인증기관에서 수행하며 인증서 발급은 한국인터넷진흥원에서 이뤄진다. ISMS 인증의 유효기간은 3년이지만 인증 받은 기관은 매년 1회 이상의 사후관리 심사를 통해 인증기준 이행 여부를 지속적으로 확인해야 한다. 또한 정보보호 관리등급을 받은 경우, 유효기간이 1년으로 지정된바 있다.
중요한 점은 지난 3.20 사이버테러로 인해 보안관리 문제가 다시 제기되면서 일반 기업뿐만 아니라 금융권에서 역시 ISMS 도입의 확대 필요성과 실효성 문제가 함께 대두되고 있다는 점이다. ISMS가 의무화 됐음에도 불구하고 금융권의 인증획득은 아직 미미한 수준이며, 이미 국제 인증인 ISO27001을 획득한 금융기업에서는 ISO27001과 ISMS가 중복되는 사항이 많고, 이를 준비할 수 있는 리소스(인력 및 비용)가 부족한 점을 진행 시 가장 큰 애로사항으로 꼽고 있다. 하지만 ISMS 인증을 주관하고 있는 한국인터넷진흥원 측은 이러한 업계 우려의 목소리에 대해 명확한 입장을 내놓지 못하고 소극적인 입장을 보이고 있다.
또한 이미 ISO27001과 ISMS를 모두 획득한 모 금융기관에서도 해킹이 발생하는 등 정보보호에 대한 불안감과 함께 ISMS 제도의 실효성 논란은 쉽사리 가라앉지 않고 있다. 이에 대해 금융업계는 ISMS가 기업 매출액 및 이용자수 등 단편적이고 일률적인 지표보다 각 기업의 특성 및 기능에 따른 실질적인 평가기준으로 개선돼야 한다고 강조한다. 이번 호에서는 금융권 정보보안 담당자들을 만나 ISMS 획득 이슈에 대한 의견에 대해 들어봤다.
이지혜 팀장 jh_lee@ciociso.com
ISMS는 기업 정보보호 체계의 수립을 가능하게하고 전 방위 보안을 폭넓게 체크할 수 있다는 측면, 정보보호 수준향상 측면에서 어느 정도 도움이 되는 것이 사실이다. 또한 단편적인 보안 대응 및 타율적인 정보보호점검에서 탈피해 기업의 체계적이고 자율적인 정보보호 수준 제고를 유도한다는 데에서는 업계는 긍정을 표하고 있다.
하지만 실제 정보시스템의 안전도를 진단한 것이 아니라 인증 확인서 발급을 위한 보고서 작성 등으로 실효성 문제가 도출될 수 있으며, ISMS 역시‘인증을 위한 인증’으로 진행된다면 기업의 효과적인 정보보호 수준 향상은 기대하기 어렵다. 가장 큰 우려는 감독기관이 기업에 대한 일률적인 잣대로 ISMS를 적용할 수 있다는 점이다. 특히 이미 ISO27001을 획득한 기업에서는 ISMS와 이것과의 차이는 국내외 어디서 활용되고 인정받을 수 있냐만 다르다는 목소리다.
실제로 업계 한 관계자는 인증 시행기관이 ISMS를 만들 때 ISO27001을 대폭 참조했다는 얘기도 심심치 않게 들리고 있다고 전했다. 두 인증 사이의 크로스 체크(cross check)되는 부분보다 중복되는 사항이 많을 수밖에 없다는 것이다. 또한 ISMS 획득을 위한 투입 인력과 비용 또한 이중으로 진행돼 기업 입장에서는 상당한 부담감을 느끼고 있는 것으로 보인다. 절차에 따라 인증획득을 위한 자료 수집 및 획득 후 진행/운영에는 그에 적당한 리소스가 투입돼야 하지만 현재 557모범규정도 빠듯하게 시행하고 있는 대다수 금융기관에서는 보안 임직원들의 업무가 2, 3배 가중될 것이 뻔하다는 지적이다.
▲ “인증 관련 주도기관들은 업계 내 우수 사례들을 공유해주고 충분한 정기 감사 유예기간을 줘야한다, 보안은 단시간 내 급박하게 이뤄질 수 있는 사안이 아닌만큼 금융기관이 철저히 준비할 수 있는 시간이 필요하다” 공웅식 KEB 외환은행 IT본부 본부장 |
국내외 인증에 대한 부담 높다
금융기관의 ISMS 인증 획득 의무사항 바람이 심상치 않게 포착되는 가운데 이미 ISO27001을 획득한 기업에서는 불만사항이 거세지고 있다.
ISO27001은 국제표준화기구에서 제정한 정보보호 관리체계에 대한 국제표준이자 인증으로, 정보보호정책/ 물리적 보안/ 정보접근 통제 등 정보보안 관련 11개 영역, 133개 항목에 대한 국제 심판원들의 심사와 검증을 통과해야 인증되는 제도이다. 이 인증을 획득하
면 3년간의 유효기관의 연2회 또는 1회의 사후관리 심사를 통해 갱신을 지속해야 한다. ISO27001이 국제 인증이라면 ISMS는 ‘전기통신사업법’ 제6조 제1항에 따라 허가 받은 자로 대통령령이 정하는 정보통신서비스 제공자로서 정보통신서비스 부문 전년도 매출액이 100억 원 이상인 자, 전년도 말 기준 3개월간의 일일평균 이용자 수가 100만명 이상인 자, 직접정보통신시설사업자로서 연 매출액이 100억 원 이상 일평균 이용자 수가 100만 명 이상인 자, 전국적으로 정보통신망 서비스를 제공하는 자를 기준으로 하는 국내 인증제도다.
▲ “인증 역시 해석을 위한 지침이 미리 마련돼야 한다. 기업이 생각하는 정도의 보안과 관리 당국이 원하는 수준은 분명 다르기 때문에 이에 대한 사전 언급 정도가 미흡한 것이 현실이다” 김형진 동양생명 IT기획팀 팀장 |
‘HOW’를 위한 업계 사례 및 법해석 절실
▲ “보안을 강화하게 된다면 당연히 현업의 지원 또한 뒷받침 돼야 한다. 이를 위해서는 현업 반발의 최소화를 위한 작업과 최고 경영진 층의 강한 지원이 필수적이다” 임병묵 동부생명 IT전략팀 팀장
인증제도를 추진하는 감독기관의 배려가 필요하다는 시각도 있다. 예를 들어 ISO27001인증에 포함돼 있는 영역이라면 ISMS 심사에서는 제외시키거나, 정부 기관이 주도해 국제기구와 제휴를 맺어 하나의 인증을 획득하면 다른 하나도 인정받을 수 있는 동시 인증이나 더블인증 제도를 도입하는 것을 고려해야 한다는 것이다.
만약 ISMS 취득이 금융권 의무사항이 된다면 준비 및 정비기간이 상당 기간 필요한데 이에 대한 충분한 유예기간을 줘야 한다는 입장도 팽배하다. 기업 입장에서는 일종의 운영주의로 인해 ‘이정도면 될 것이다’라는 생각으로 넘어가는 경우가 있지만, 관리 감독 기관에서는 엄격한 기준을 들이댐으로써 상호 간 갭(GAP)이 생길 수 있기 때문이다. 업계 한 관계자는 “인증 획득을 준비할 수 있는 충분한 기간을 주는 동시에 사전 예비 심사를 통해 본 심사에 들어가기 전 예비점검 할 수 있는 체제가 마련돼야 한다”고 강조했다.
또한 앞서 지적된 바와 같이 큰 기업, 고객정보를 다수 보유한 기업부터 인증 획득 점검을 시작해 관리감독을 진행하고, 위배에 따른 처벌 시점은 되도록 여유를 두는 것이 좋다는 의견이다. 이런 과정들을 위해서는 결국 법 해석의 정확성이 요구되며, 기업 입장에서는 어느 범위까지 인증을 준비해야 할지와 그에 따른 투입 장비 및 비용을 미리 산정하는 과정이 필요하다. 한 관계자는 “‘what’은 있지만 ’how’가 없는 보안은 완벽하지 않다. 시장에서는 ’how’를 위한 많은 업계 사례 또는 샘플을 원한다”고 전했다.
실제로 ISO27001은 관련 예시가 충분해 적용이 보다 수월하다. ‘what’만 강조되는 제도는 결국 감독기관의 면피성이 짙은 것으로 해석될 수밖에 없다. 또한 인증은 ‘인증을 위한 인증’이 아닌 명확한 ‘표준화’로 자리 잡아야 한다. 완벽한 심사기준으로 인해 항목에 대한 오해의 소지가 없게끔 명확한 기준이 필요하다는 것이다. 하지만 일각에서는 인증을 받아도 집행기관이 요구하는 보안 체제와 시행하는 기업 입장의 차이는 분명히 존재할 것이라는 입장이다.
▲ “대기업이 아닌 이상 투입 인력과 비용에 있어 허덕일 수밖에 없다, 정부차원에서 강력한 제도적 밑받침을 마련해 줘야한다” 최성진 코리아크레딧뷰로 고객지원본부정보보호팀 팀장 |
인증 지속 위한 정부기관 독려 이뤄져야
ISMS 획득에 있어서 투입 비용과 인력 부분만큼 이슈가 되고 있는 부분은 과거 타 정보보호 인증들과 비교해 얼마나 차별성이 있냐는 것이다.
쉽게 ISO27001과 비교하더라도 이런 측면은 간과할 수 없다. 이에 대해 업계 한 관계자는 “두 인증 사이에 동일한 부분 외에 차이가 나는 부분에 대해서만 집중적으로 인증 심사하는 방안 등으로 어려움을 간소화 시킬 수 있을 것”이라고 말했다. 또한 금융기관의 ISMS인증 획득이 의무화된다면 기업들의 인증 취득 시기가 몰릴 가능성이 제기되면서 인증심사기관자체의 부담은 물론, 양질의 사전 준비가 이뤄질 수 있겠냐는 의문이 일고 있다.
▲ “과거 타 보안 인증제도와 중복되는 경향이 많다, 또한 집행기관의 일률적인 잣대로만 사용하려 한다면 인증 획득 자체가 무색해 질 수 있다” 이익수 한국수출입은행 전산정보부 팀장 |