- ISMS 인증 취득업체 “인증 획득 효과 누리고 있다” 한목소리

[디지털데일리 이민형기자] “정보보호관리체계(ISMS) 인증은 기업의 보안강화를 위해 가장 좋은 솔루션입니다.” 쿠팡 박나룡 정보보안실장

“ISMS 인증 심사에서 나오는 지적사항은 우리 기업의 보안강화에 많은 도움이 됐습니다.” 현대유엔아이 이은경 과장

“ISMS 인증은 여러 환경적 제약하에서 기업의 보안 강화를 위한 가장 합리적인 방법입니다.” 티아이시큐리티 오현화 대표

4일 서울 파티오나인에서 열린 해킹방지워크숍 ‘ISMS 인증의 의미와 향후 전망’ 패널토의에서 기업의 보안담당자들과 컨설팅 업체들은 ISMS 인증 획득을 준비하는 과정이 기업 보안강화를 위한 가장 바람직한 방안이라고 입을 모았다.

패널 좌장을 맡은 고규만 한국인터넷진흥원 보안관리팀 책임연구원은 “ISMS 인증은 기업의 통합적 정보보호 수준을 제시하기 위해 마련됐으며, 기업이 도달해야할 보안목표를 제시할 수 있을 것”이라며 “이 자리를 통해 대상업체, 컨설팅업체 간의 기탄없는 의견교류가 있길 기대한다”고 전했다.

◆“ISMS 인증, 일시적인 비용 아닌 미래에 대한 투자”=이날 패널토의에서는 ISMS 인증은 단순히 법률에서 지정하는 의무사항이 아니라 기업의 보안, 인프라 강화를 위한 필수요소임을 인지해야 한다는 의견이 제기됐다.

박나룡 쿠팡 정보보안실장은 “ISMS 인증은 법률상 통제항목이 아니라 조직의 보안현황 파악을 위한 최적의 솔루션”이라며 “ISMS 인증의 통제항목이 기업의 모든 보안 분야를 망라하고 있다는 점을 착안해야 한다. 즉, 보안조직이 작은 기업일수록 ISMS 인증 획득이 기업의 연속성 유지에 유리할 것”이라고 강조했다.

박 실장은 쿠팡이 ISMS 인증을 획득하게 된 계기를 설명했다. 그는 “지난해 쿠팡에 합류한 이후 가장 먼저 고민했던 부분은 회사가 가진 리스크, 회사의 보안수준, 임직원들의 보안인식 등이었다”며 “여기에서 가장 도움이 됐던 것이 ISMS 인증이다. 기업이 가진 보안 리스크를 찾아내고 보안강화를 위한 기초적인 솔루션이 될 수 있을 것으로 자신한다”고 전했다.

현대그룹의 SI 자회사인 현대유엔아이도 지난 2010년 ISMS 인증을 획득했다. 현대유엔아이는 ISMS 인증 획득 이후 내부의 보안체계가 강화됐고, 외부적으로 다양한 혜택을 받아 업무에 많은 도움을 얻었다.

이은경 현대유엔아이 과장은 “당초 ISMS 인증 심사를 위한 컨설팅에서 우리는 수십, 수백개의 지적사항이 나와도 긍정적으로 받아들였다”며 “실례로 우리는 IDC를 직접 운영하고 있는데 망분리에 대한 이슈를 지적받은 적이 있다. 이에 대한 문제점을 해소해 보다 튼튼한 인프라를 갖추게 된 것 같다”고 설명했다.

◆ISMS 인증 컨설팅, 꼭 필요한가=ISMS 인증 심사를 받기 위해서는 그전에 컨설팅을 받아야 한다. 기초체력과 체계가 갖춰진 기업의 경우 이 과정이 생략될 수 있으나 대부분의 기업들은 사전 컨설팅을 받아야 올바른 정보보호체계를 수립할 수 있다.

하지만 사용자 정보를 많이 가지고 있는 기업의 경우 배(ISMS 심사 비용)보다 배꼽(컨설팅 비용)이 더 커 ISMS 인증 획득을 포기하는 사례도 나타나고 있다.

오현화 티아이시큐리티 대표는 “ISMS 의무 대상자들이 가장 많이 하는 질문이 컨설팅의 필요성”이라며 “여러 환경적 제약하에서 체계적, 효과적 인증 구축을 위해서는 합리적이고 적용이 가능한 방안을 모색해야 한다”고 말했다.

일부 업체들은 ISMS 인증 미획득으로 인한 과태료보다 컨설팅 비용이 비싸다는 이유를 들어 인증 획득을 회피하고 있다.

오 대표는 “기업이 ISMS 인증 획득에 대한 의지가 있어도 예산이 없다면 힘든 것은 사실”이라며 “다만 핵심적인 요소에 대한 부분이라도 컨설팅을 받으면 추후 많은 도움이 될 것”이라고 설명했다.

그가 지목하는 핵심요소란 ‘보안관리 체계 수립’과 ‘위험관리 프로세스’다. 기업들이 실행하기 가장 힘든 부분이기도 하다.

이에 대해 오 대표는 “컨설팅을 통해 체계를 수립하고 유지해야 한다. 이후 위험관리 프로세스에 대한 것을 지도 받아 임직원들이 습득할 수 있도록 유도하면 최소한의 비용으로도 최대의 효과를 누릴 수 있을 것”이라고 덧붙였다.

◆“권위주의적인 심사원 사라져야”=허경석 인포섹 이사는 권위주의적인 ISMS 심사원으로 인해 선의의 피해가 발생하고 있다고 지적했다.

허 이사는 “지나치게 권위주의적인 심사원으로 인해 피감기관, 컨설팅업체 모두 당황스러운 경우가 많다”며 “ISMS 인증의 신뢰성 확보를 위해서는 이러한 사례는 사라져야 할 것”이라고 말했다.

ISMS 인증 심사 과정에서 심사원이 고압적인 태도를 보여 제대로된 심사가 진행되지 못한다는 지적이다. 감사와 피감이라는 이분법적인 생각이 깔려있기 때문이다.

이와 관련 고 책임은 “올해가 ISMS 인증 의무화가 막 시행된 시기라 일부 문제가 있었다”며 “올해의 경험을 바탕으로 (KISA에서) 심사원의 자질을 높일 수 있도록 교육에 앞장서겠다”고 해명했다.

한편 ISMS 인증제도는 기존 ‘정보보호 안전진단제도’를 대체해 의무화되는 정보보호관리체계 인증제도다. 일정 요건을 가진 정보통신 서비스 제공자는 의무적으로 인증을 받아야 하며, 매년 사후심사를 받도록 돼 있다.

전년도 매출액 100억원 이상의 해당하는 경우와 전년도 말 기준 3개월간 하루 평균 이용자수가 100만명 이상 사업자도 포함된다.
 
<이민형 기자>kiku@ddaily.co.kr