법제도/정책

카드사 개인정보유출 사고로 ISMS 관심 집중

이민형

[디지털데일리 이민형기자] 최근 발생한 신용카드사의 개인정보유출 사고 이후 정보보호관리체계(ISMS) 인증에 대한 관심이 높아지고 있다.

기존에 ISMS 인증을 획득했거나 획득을 추진 중인 금융회사들은 이번 사고를 모두 피해갔기 때문이다. 특히 비씨카드의 경우 가장 많은 고객정보를 보유하고 있으나 ISMS 인증 획득(2012년 11월) 이후 단 한건의 정보유출 사고가 발생하지 않았다는 부분이 회자되고 있다.

30일 보안업계에 따르면 최근 ISMS 인증을 획득을 위해 보안컨설팅을 의뢰하는 기업이 증가하고 있다. 이러한 수요는 향후 인증 기관·기업의 확대로 이어질 것으로 예측된다.

보안컨설팅 업체 고위관계자는 “ISMS 인증 획득을 위해 컨설팅 비용을 산정해달라는 요청이 조금씩 증가하고 있다. 당장 ISMS 인증을 받진 않더라도 최소한의 보안 체계 구축을 필요로 하는 기업이 늘어났다고 봐야한다”며 “올해 하반기부터 이러한 수요가 증가할 것으로 예상된다”고 말했다.

이러한 추세로 볼 때 ISMS 인증 의무 대상이 아닌 금융회사나 기업들도 올해를 기점으로 자발적인 인증 획득에 나설 것으로 기대되고 있다.

현재 금융회사 중 ISMS 인증을 의무적으로 획득해야 하는 곳은 모두 24개이다. 이 중 NH농협과 KB국민은행은 각각 2012년, 2013년에 인증을 획득했다. 나머지 22개는 은행과 증권사로 이들은 지난해 말부터 인증 심사를 받고 있다.

ISMS 인증이 보안사고에 효과를 볼 수 있는 이유는 단순히 보안솔루션의 도입, 보안인력 확보와 같은 단편적인 심사가 아니라 관리체계를 제대로 수립했는지 여부를 살펴보는 인증이기 때문이다.

실제 기준을 살펴보면 정보보호정책, 경영진의 책임과 같은 거시적인 내용에서부터 정보자산 분류, 외부자 보안, 인적보안, 물리보안과 같은 미시적인 내용도 모두 심사하게 된다.

특정 이슈에 대응할 수 있는 체계가 아닌 전사적인 보안관리 플랫폼을 요구하는 것이 ISMS 인증이라는 것이 미래창조과학부의 설명이다.

미래부에서는 이번 신용카드 개인정보유출 사고를 계기로 ISMS 인증의 범위를 확대하고 자발적 인증 취득을 권고하는 등의 정책을 펼칠 계획이다.

미래부 관계자는 “이번 사고를 계기로 자발적으로 ISMS 인증을 취득하고자 하는 금융회사가 증가할 것으로 예상하고 있다”며 “정부차원에서도 안전한 온라인 세상을 만들기 위해 ISMS 인증 확산에 총력을 다할 것”이라고 말했다.

한편 올해 ISMS 인증을 획득해야 하는 기업은 모두 240개로 이중 140여개 기업이 인증을 획득했다. 미래부는 올해 ISMS 인증 대상을 방송사, 금융회사 등 300여개로 확대할 계획이다.

<이민형 기자>kiku@ddaily.co.kr

이민형
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널