정보보호관리체계 인증의 본질 재정립: 자율보안체계로의 전환
[보안뉴스= 김정덕 중앙대 산업보안학과 명예교수/인간중심보안포럼 의장] 최근 발생한 쿠팡의 3,370만 건 개인정보 유출 사태는 단순한 기업 실패가 아니다. 정보보호 및 개인정보보호 관리체계(ISMS/ISMS-P 이하 ISMS) 인증을 두 차례 갱신하고 막대한 보안 투자를 한 업계 선두주자가 5개월간 해외 서버 비인가 접근을 미탐지한 이 사건은, 국내 ISMS 인증의 실효성 논란을 불러일으켰다.
[자료: gettyimagesbank]
그러나 논쟁의 초점은 ‘ISMS 무용론’이 아니라 ‘우리가 ISMS를 제대로 이해하고 사용하고 있는가’에 있다. ISMS는 국제표준 ISO 27001의 위험 기반 접근방식(Risk-based approach)을 바탕으로 만든 프레임워크다. ISMS 인증은 조직의 자율적 위험관리 역량을 점검하는 일종의 ‘건강검진;과 유사하다고 볼 수 있다. 문제는 국내에서는 이를 3년짜리 ’서류상 프로젝트‘로만 취급한다는 거다.
ISMS 설계 철학 vs. 한국형 ‘체크리스트화’ 현실
ISMS가 추구하는 건 결국 ‘살아 있는 보안관리 시스템’이다. 조직은 PDCA(Plan-Do-Check-Act) 사이클을 돌리면서 관리체계를 세우고 위험을 관리하며, 실제로 운영하고 점검하며, 개선하는 일을 반복한다. 보호대책 요구사항(64개)과 개인정보 처리단계별 요구사항(21개)은 기본적인 통제(Baseline Controls)와 법적 기준을 정리해 놓은 거다.
하지만 이 기준을 조직마다 어떻게 구체적으로 적용할지는 각자 책임이다. 조직의 규모, 일하는 방식, 그리고 산업 특성에 따라 위험 수준이 다르니, 같은 체크리스트로 모두를 맞출 수 없다. 보호대책 요구사항은 ‘무엇(what)을 해야 하는지’를 제시할 뿐이고, ‘어떻게(how) 할지’는 각 조직이 위험평가와 환경 분석을 바탕으로 정해야 한다. 결국 ISMS의 핵심은 ‘자율성과 책임’이다. 단일 보안 체크리스트만으로는 모든 조직이 충분한 보안 수준을 갖추기 어렵다는 전제를 깔고 설계된 거다.
우리나라 ISMS 제도는 2001년에 한국인터넷진흥원(KISA)이 국제표준 ISO/IEC 27001을 우리나라 실정에 맞게 손질해서 만든 관리체계 모델에서 시작됐다. 그때부터 인증 제도가 본격적으로 도입됐다. 2013년에 개인정보보호 관리체계(PIMS) 인증이 도입됐고, 2018년에 PIMS가 ISMS와 합쳐지면서 ISMS-P로 확대되고 정비됐다. 2016년 전후로는 공공기관, 금융권, 대형 민간기업 등으로 인증 의무 대상이 점점 넓어졌고, 침해사고 보고나 제재 체계와도 연결되면서 점점 ‘컴플라이언스 중심’의 체크리스트 방식이 강해졌다.
이런 흐름 속에서 현장에서는 점점 ‘심사 대응’에만 집중하는 분위기가 자리 잡았다. 연 1회나 3년마다 돌아오는 심사 일정에 맞춰 문서와 증거자료를 준비하는 데 자원을 쏟아붓는 반면, 실질적인 운영—예를 들면 상시 로그 분석, 취약점 점검, 모의훈련 같은 일—은 뒷전으로 밀리는 경우가 많다. 클라우드, AI처럼 시스템 환경이 계속 바뀌는 상황에서 한 시점의 상태만 보는 ‘스냅샷’ 방식으로는 ISMS가 원래 지향했던 ‘지속적인 보안관리’가 제대로 운영되는지 파악하기 힘들다.
결국 쿠팡 사례처럼, 인증을 받은 후에도 권한 관리가 제대로 수행되지 않거나 비인가 접근에 대한 모니터링이 제대로 수행되지 않는다면 보안사고는 발생할 수밖에 없다. 여기서 중요한 메시지는 “ISMS-P 인증을 받았어도 관리체계 운영이 따라가지 않으면 사고는 언제나 반복된다”는 것이다.
건강검진에서 ‘이상 없음’ 판정을 받았음에도 불구하고, 몇 달 뒤에 암이 발견되는 경우도 주변에서 종종 발견할 수 있다. 결국 건강은 병원과 의사의 조언을 받아 자신이 스스로 평소에 생활습관과 운동으로 챙기는 거랑 똑같다. 정보보호도 외부 기준의 컴플라이언스 수준이 아니라 최고경영진이 확실하게 리더십을 갖고 위험관리에 기반한 대책을 제대로 구현하고, 전 구성원이 이를 준수하고 적극적으로 참여할 때, 가능한 것이다. I
SMS는 이를 위한 틀을 제시하는 것이고, 인증은 이를 객관적으로 점검하는 정기 건강검진과 유사하다. 이제는 ISMS 제도가 원래 가진 취지와 현장 현실 사이의 차이를 줄이려면, 제도의 본질을 다시 고민하고 제대로 보완할 때다.
기업 실천 로드맵: 자율보안체계 만들기
ISMS를 그냥 인증만 취득하는 도구로 두지 말고, 진짜 ‘일하는 시스템’으로 바꾸려면 기업이 주도적으로 움직여야 한다. 제일 먼저 챙겨야 할 건 보안 거버넌스다. 솔직히 이제 “보안은 CISO만의 일”이라고 생각하는 시대는 끝났다.
사이버 위험이 기술 부서만의 골칫거리가 아니라, 회사의 존폐까지 위협하는 경영 리스크로 떠올랐다. 그래서 요즘 전 세계적으로 최고경영진, 특히 이사회와 CEO에게 보안 책임을 법적으로 명확히 하려는 움직임이 많다. 이제 이사회와 CEO는 보안 관련 의사결정과 감독 역할을 확실히 챙겨야 한다. 전담 조직도 두고, 리소스도 제대로 배분해야 한다. 보안팀에 역량 있는 전문가를 두고, 예산도 충분히 배정해야 ‘자율보안’이 가능하다. 또한 CISO의 권한과 위상도 높여서 보안 자원과 인력을 제대로 컨트롤 할 수 있어야 한다.
ISMS의 핵심은 위험관리다. 그래서 상시로 위험을 관리하는 체계를 제대로 만들어 운영해야 한다. 컨설팅 업체가 뚝딱 만들어 주는 ‘보고서용 위험분석’만으론 부족하다. 실제로 쓸 수 있는 핵심 위험지표(Key Risk Indicator)를 직접 만들어서 이를 계속 모니터링하는 시스템을 시급히 마련해야 한다. 예를 들어, 매주 로그 리뷰와 취약점 스캔을 하고 매달 권한 감사와 모의훈련을 한다든가, 분기마다 침해사고 시뮬레이션을 돌리는 식으로 정기적인 위험 모니터링이 필수적으로 수행되어야 한다.
아울러 보안문화 강화도 함께 추진해야 한다. 연 1회 형식적인 교육은 이제 효과가 없다. 실제 상황을 반영한 시나리오(예를 들면 피싱 실습이나 모의 해킹)와 게임 요소를 넣은 재미있는 교육 모듈을 개발해서 자주 마이크로 러닝도 하고, 맞춤형 콘텐츠로 실질적인 행동 변화를 끌어내야 한다. 또 스토리텔링이나 우수 사례를 공유하고, ‘비난 없는 보고 문화’를 만들어서 심리적으로 안전한 분위기를 갖추는 것도 중요하다. 이를 통해 조직 안에 자연스럽게 보안 규범이 자리 잡는다.
인증 제도상의 과제: 심사 제도와 기준 업그레이드
KISA와 인증기관도 ISMS 인증의 실효성을 높이는 데 더욱 노력해야 할 것이다. 현행 스냅샷 중심 심사 모델을 ‘지속 운영 증거 기반’으로 전환하는 것이 첫걸음이다. 단순히 보호대책 구현 여부만 확인하는 데 그치지 말고, 보안 시스템 운영 기록, 접근 권한 변경 로그, 보안 교육 결과 내역처럼 조직이 평소에 보안을 어떻게 지키고 있는지 보여주는 증적 자료를 더 많이 요구해야 한다. 그래야 심사원도 종이서류에 갇히지 않고, 실질적으로 보안이 돌아가고 있는지 객관적으로 점검할 수 있다.
디지털 전환이 가속화됨에 따라 AI 학습 데이터나 모델과 관련된 새로운 위험들도 이제 심사 기준에 제대로 반영해야 한다. 산업 분야별로 중요하고 새로운 위험 요소를 따로 반영한 심사 항목을 만들어 현장에 맞는 점검이 이뤄지게 하는 것도 좋은 방법이다. 또한 최고경영자의 리더십과 실제 참여 여부도 명확히 점검해야 한다. 이런 변화들이 모이면, 인증 제도 자체가 기업의 자율보안을 촉진하는 역할을 제대로 할 수 있을 것이다.
▲김정덕 중앙대 명예교수 [자료: 김정덕 교수]
심사원 제도 강화 역시 시급한 과제이다. 실무 사례 중심 교육을 매년 의무적으로 받게 하고, 심사비도 현실적으로 올려서 숙련된 전문가들이 심사에 참여할 수 있도록 해야 한다. 건강검진에서 최신 검진장비만큼 의사의 경험과 태도가 중요하듯, ISMS 인증 심사의 질도 결국 심사원이 얼마나 경험 있고 동기부여가 됐는지에 달렸다. 이런 변화 없이 기준만 자꾸 높이면 심사는 결국 형식적인 절차로 끝나기 쉽다.
자율보안, 이제 선택이 아닌 필수
AI가 복잡하게 바꿔 놓은 디지털 세상에서는 솔직히 보안 사고는 언제든 발생할 수 있다. ISMS는 마치 우리 몸의 면역체계처럼, 조직이 위기에 좀 더 잘 버틸 수 있게 해주는 국제적으로 인정받은 프레임워크다. 쿠팡 사건도 있었고, 지금 우리 조직은 ISMS를 제대로 활용하고 있는지 한 번쯤 자문해 볼 시점이다. ISMS가 강조하는 ‘자율성과 책임’ 원칙에 따라 자율보안 체계를 다시 세우고 인증 제도까지 제대로 보완하면, 우리 조직의 디지털 복원력은 한층 더 강해질 것이다.
[글_ 김정덕 중앙대 산업보안학과 명예교수/인간중심보안포럼 의장]
[보안뉴스= 김정덕 중앙대 산업보안학과 명예교수/인간중심보안포럼 의장] 최근 발생한 쿠팡의 3,370만 건 개인정보 유출 사태는 단순한 기업 실패가 아니다. 정보보호 및 개인정보보호 관리체계(ISMS/ISMS-P 이하 ISMS) 인증을 두 차례 갱신하고 막대한 보안 투자를 한 업계 선두주자가 5개월간 해외 서버 비인가 접근을 미탐지한 이 사건은, 국내 ISMS 인증의 실효성 논란을 불러일으켰다.
[자료: gettyimagesbank]
그러나 논쟁의 초점은 ‘ISMS 무용론’이 아니라 ‘우리가 ISMS를 제대로 이해하고 사용하고 있는가’에 있다. ISMS는 국제표준 ISO 27001의 위험 기반 접근방식(Risk-based approach)을 바탕으로 만든 프레임워크다. ISMS 인증은 조직의 자율적 위험관리 역량을 점검하는 일종의 ‘건강검진;과 유사하다고 볼 수 있다. 문제는 국내에서는 이를 3년짜리 ’서류상 프로젝트‘로만 취급한다는 거다.
ISMS 설계 철학 vs. 한국형 ‘체크리스트화’ 현실
ISMS가 추구하는 건 결국 ‘살아 있는 보안관리 시스템’이다. 조직은 PDCA(Plan-Do-Check-Act) 사이클을 돌리면서 관리체계를 세우고 위험을 관리하며, 실제로 운영하고 점검하며, 개선하는 일을 반복한다. 보호대책 요구사항(64개)과 개인정보 처리단계별 요구사항(21개)은 기본적인 통제(Baseline Controls)와 법적 기준을 정리해 놓은 거다.
하지만 이 기준을 조직마다 어떻게 구체적으로 적용할지는 각자 책임이다. 조직의 규모, 일하는 방식, 그리고 산업 특성에 따라 위험 수준이 다르니, 같은 체크리스트로 모두를 맞출 수 없다. 보호대책 요구사항은 ‘무엇(what)을 해야 하는지’를 제시할 뿐이고, ‘어떻게(how) 할지’는 각 조직이 위험평가와 환경 분석을 바탕으로 정해야 한다. 결국 ISMS의 핵심은 ‘자율성과 책임’이다. 단일 보안 체크리스트만으로는 모든 조직이 충분한 보안 수준을 갖추기 어렵다는 전제를 깔고 설계된 거다.
우리나라 ISMS 제도는 2001년에 한국인터넷진흥원(KISA)이 국제표준 ISO/IEC 27001을 우리나라 실정에 맞게 손질해서 만든 관리체계 모델에서 시작됐다. 그때부터 인증 제도가 본격적으로 도입됐다. 2013년에 개인정보보호 관리체계(PIMS) 인증이 도입됐고, 2018년에 PIMS가 ISMS와 합쳐지면서 ISMS-P로 확대되고 정비됐다. 2016년 전후로는 공공기관, 금융권, 대형 민간기업 등으로 인증 의무 대상이 점점 넓어졌고, 침해사고 보고나 제재 체계와도 연결되면서 점점 ‘컴플라이언스 중심’의 체크리스트 방식이 강해졌다.
이런 흐름 속에서 현장에서는 점점 ‘심사 대응’에만 집중하는 분위기가 자리 잡았다. 연 1회나 3년마다 돌아오는 심사 일정에 맞춰 문서와 증거자료를 준비하는 데 자원을 쏟아붓는 반면, 실질적인 운영—예를 들면 상시 로그 분석, 취약점 점검, 모의훈련 같은 일—은 뒷전으로 밀리는 경우가 많다. 클라우드, AI처럼 시스템 환경이 계속 바뀌는 상황에서 한 시점의 상태만 보는 ‘스냅샷’ 방식으로는 ISMS가 원래 지향했던 ‘지속적인 보안관리’가 제대로 운영되는지 파악하기 힘들다.
결국 쿠팡 사례처럼, 인증을 받은 후에도 권한 관리가 제대로 수행되지 않거나 비인가 접근에 대한 모니터링이 제대로 수행되지 않는다면 보안사고는 발생할 수밖에 없다. 여기서 중요한 메시지는 “ISMS-P 인증을 받았어도 관리체계 운영이 따라가지 않으면 사고는 언제나 반복된다”는 것이다.
건강검진에서 ‘이상 없음’ 판정을 받았음에도 불구하고, 몇 달 뒤에 암이 발견되는 경우도 주변에서 종종 발견할 수 있다. 결국 건강은 병원과 의사의 조언을 받아 자신이 스스로 평소에 생활습관과 운동으로 챙기는 거랑 똑같다. 정보보호도 외부 기준의 컴플라이언스 수준이 아니라 최고경영진이 확실하게 리더십을 갖고 위험관리에 기반한 대책을 제대로 구현하고, 전 구성원이 이를 준수하고 적극적으로 참여할 때, 가능한 것이다. I
SMS는 이를 위한 틀을 제시하는 것이고, 인증은 이를 객관적으로 점검하는 정기 건강검진과 유사하다. 이제는 ISMS 제도가 원래 가진 취지와 현장 현실 사이의 차이를 줄이려면, 제도의 본질을 다시 고민하고 제대로 보완할 때다.
기업 실천 로드맵: 자율보안체계 만들기
ISMS를 그냥 인증만 취득하는 도구로 두지 말고, 진짜 ‘일하는 시스템’으로 바꾸려면 기업이 주도적으로 움직여야 한다. 제일 먼저 챙겨야 할 건 보안 거버넌스다. 솔직히 이제 “보안은 CISO만의 일”이라고 생각하는 시대는 끝났다.
사이버 위험이 기술 부서만의 골칫거리가 아니라, 회사의 존폐까지 위협하는 경영 리스크로 떠올랐다. 그래서 요즘 전 세계적으로 최고경영진, 특히 이사회와 CEO에게 보안 책임을 법적으로 명확히 하려는 움직임이 많다. 이제 이사회와 CEO는 보안 관련 의사결정과 감독 역할을 확실히 챙겨야 한다. 전담 조직도 두고, 리소스도 제대로 배분해야 한다. 보안팀에 역량 있는 전문가를 두고, 예산도 충분히 배정해야 ‘자율보안’이 가능하다. 또한 CISO의 권한과 위상도 높여서 보안 자원과 인력을 제대로 컨트롤 할 수 있어야 한다.
ISMS의 핵심은 위험관리다. 그래서 상시로 위험을 관리하는 체계를 제대로 만들어 운영해야 한다. 컨설팅 업체가 뚝딱 만들어 주는 ‘보고서용 위험분석’만으론 부족하다. 실제로 쓸 수 있는 핵심 위험지표(Key Risk Indicator)를 직접 만들어서 이를 계속 모니터링하는 시스템을 시급히 마련해야 한다. 예를 들어, 매주 로그 리뷰와 취약점 스캔을 하고 매달 권한 감사와 모의훈련을 한다든가, 분기마다 침해사고 시뮬레이션을 돌리는 식으로 정기적인 위험 모니터링이 필수적으로 수행되어야 한다.
아울러 보안문화 강화도 함께 추진해야 한다. 연 1회 형식적인 교육은 이제 효과가 없다. 실제 상황을 반영한 시나리오(예를 들면 피싱 실습이나 모의 해킹)와 게임 요소를 넣은 재미있는 교육 모듈을 개발해서 자주 마이크로 러닝도 하고, 맞춤형 콘텐츠로 실질적인 행동 변화를 끌어내야 한다. 또 스토리텔링이나 우수 사례를 공유하고, ‘비난 없는 보고 문화’를 만들어서 심리적으로 안전한 분위기를 갖추는 것도 중요하다. 이를 통해 조직 안에 자연스럽게 보안 규범이 자리 잡는다.
인증 제도상의 과제: 심사 제도와 기준 업그레이드
KISA와 인증기관도 ISMS 인증의 실효성을 높이는 데 더욱 노력해야 할 것이다. 현행 스냅샷 중심 심사 모델을 ‘지속 운영 증거 기반’으로 전환하는 것이 첫걸음이다. 단순히 보호대책 구현 여부만 확인하는 데 그치지 말고, 보안 시스템 운영 기록, 접근 권한 변경 로그, 보안 교육 결과 내역처럼 조직이 평소에 보안을 어떻게 지키고 있는지 보여주는 증적 자료를 더 많이 요구해야 한다. 그래야 심사원도 종이서류에 갇히지 않고, 실질적으로 보안이 돌아가고 있는지 객관적으로 점검할 수 있다.
디지털 전환이 가속화됨에 따라 AI 학습 데이터나 모델과 관련된 새로운 위험들도 이제 심사 기준에 제대로 반영해야 한다. 산업 분야별로 중요하고 새로운 위험 요소를 따로 반영한 심사 항목을 만들어 현장에 맞는 점검이 이뤄지게 하는 것도 좋은 방법이다. 또한 최고경영자의 리더십과 실제 참여 여부도 명확히 점검해야 한다. 이런 변화들이 모이면, 인증 제도 자체가 기업의 자율보안을 촉진하는 역할을 제대로 할 수 있을 것이다.
▲김정덕 중앙대 명예교수 [자료: 김정덕 교수]
심사원 제도 강화 역시 시급한 과제이다. 실무 사례 중심 교육을 매년 의무적으로 받게 하고, 심사비도 현실적으로 올려서 숙련된 전문가들이 심사에 참여할 수 있도록 해야 한다. 건강검진에서 최신 검진장비만큼 의사의 경험과 태도가 중요하듯, ISMS 인증 심사의 질도 결국 심사원이 얼마나 경험 있고 동기부여가 됐는지에 달렸다. 이런 변화 없이 기준만 자꾸 높이면 심사는 결국 형식적인 절차로 끝나기 쉽다.
자율보안, 이제 선택이 아닌 필수
AI가 복잡하게 바꿔 놓은 디지털 세상에서는 솔직히 보안 사고는 언제든 발생할 수 있다. ISMS는 마치 우리 몸의 면역체계처럼, 조직이 위기에 좀 더 잘 버틸 수 있게 해주는 국제적으로 인정받은 프레임워크다. 쿠팡 사건도 있었고, 지금 우리 조직은 ISMS를 제대로 활용하고 있는지 한 번쯤 자문해 볼 시점이다. ISMS가 강조하는 ‘자율성과 책임’ 원칙에 따라 자율보안 체계를 다시 세우고 인증 제도까지 제대로 보완하면, 우리 조직의 디지털 복원력은 한층 더 강해질 것이다.
[글_ 김정덕 중앙대 산업보안학과 명예교수/인간중심보안포럼 의장]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
