ISMS 인증은 정보보호를 위한 최소한의 요건 또는 체계를 갖췄다는 의미
ISMS만 믿고 담당자 이해력이 떨어지거나 인증을 위한 인증만 할 경우 정보보호 능력 떨어져
[보안뉴스= 홍성권 한국정보시스템감사통제협회 저널편집이사] 2016년 모 쇼핑몰에서 1,000만 명에 해당하는 개인정보 유출사고가 발생했다. 2014년에는 모 통신사에서 홈페이지 해킹으로 1,200만 명에 해당하는 개인정보가 유출됐으며, 2023년 1월에도 다른 통신사에서 18만 명의 개인정보가 유출된 사고가 발생했다. 이들 개인정보 유출 사고가 발생한 기업의 공통점은 정보보호 관리체계(ISMS)를 수립하고 인증을 획득하였다. 이러한 기업에서 정보 유출 또는 개인정보 유출사고가 발생하면 가장 많이 받는 질타 중에 하나가 “정보보호 관리체계를 수립하고 인증을 받았는데, 왜 사고가 발생하냐, 인증 체계에 문제가 있는 거 아니냐”라는 의견이 많다. 정보보호 관리체계가 무엇인지 알아보고 왜 관리체계를 수립했음에도 보안사고가 발생하는 지 알아보자.
[이미지=gettyimagesbank]
우선, 정보보호 관리체계와 정보보호 관리체계 인증에 대해 알아보자. 정보보호 관리체계는 조직이 보유한 정보 및 정보자산을 식별해 보안 위협과 취약점으로부터 안전하게 보호하고 체계적, 지속적으로 관리하기 위해 수립한 체계이며, 이 체계가 적합한 지 인증지관/심사기관이 증명하는 제도다.
정보보호 관리체계를 수립하고 운영하며, 매년 심사를 받는 조직에서 개인정보 유출, 랜섬웨어 감염 등 보안사고가 지속적으로 발생하는 이유는 무엇일까? 정보보호 관리체계의 속성, 조직의 정보보호 관리체계 역량 부족과 형식적 운영, 전사가 아닌 정보보호 부서만의 업무 등 다양한 문제점이 있으며 세부적인 사항을 살펴보고자 한다.
첫 번째로 정보보호 관리체계 수립 및 인증 획득은 해당 조직의 정보보호 역량이 뛰어나다는 것을 의미하는 게 아니라, 해당 조직이 정보보호를 위한 최소한의 요건 또는 체계를 갖추었다는 것이다. 정보보호 관리체계 수립을 통해 주기적인 예방활동(취약점 진단, 위험평가 및 조치 등)을 통해 보안사고를 예방하고 보안사고가 발생하더라도 조기에 탐지하여 대응하고자 한다.
두 번째로 조직과 조직 내 정보보호 담당자가 정보보호 관리체계 수립의 기본이 되는 통제항목에 대한 이해도가 부족하다는 것이다. 관리체계는 다양한 정보보호 분야(정책, 조직, 내부자/외부자, 물리적, 기술적 등)에 대한 통제로 구성되어 있으며, 해당 통제는 달성해야 할 목표가 있다. 정보보호 담당자가 통제 목표에 대한 사항을 고려하지 않고 정보보호 규정의 단순 이행으로 본다면 지속적인 정보보호 수준의 제고는 요원하고 일회성 보안활동이 될 가능성이 높다.
세 번째로 정보보호 관리체계 수립과 인증을 형식적으로 수행하는 조직도 있다. 정보통신망법에 따라 의무대상자와 자체적인 필요에 의해 인증을 획득하고자 하는 자율 신청을 하는 조직으로 구분될 수 있다. 의무대상자 중 정보통신서비스 부문 전년도 매출액이 100억원 이상이거나, 전년도 말 기준 3개월 간 일일평균 이용자 수가 100만명 이상인 경우 법적 요건에 따라 인증을 획득해야 한다. 이러한 조직은 정보보호의 필요성과 중요도를 필요로 해서 인증 획득하기 보다는 법적 의무준수를 위해 인증을 획득하니, 지속적인 활동보다는 형식적으로 인증을 유지하고자 한다. 예를 들어, 정보보호 관리체계 수립 후 지속적인 정보보호 활동에 따른 이행증거 자료를 확보하는 것이 아닌 심사 전 인증에 필요한 필수 사항만 외부 전문가로부터 지원을 받아 인증 유지에 필요한 최소한의 요건만 준수하고자 한다.
네 번째로 정보보호 관리체계 수립과 인증이 전사 측면이 아닌 정보보호 담당부서의 업무로 협소한 시각으로 바라보고 있다. 관리체계는 특성 상 범위를 정의할 수 있어 특정한 서비스, 특정한 부서 단위로 관리체계를 수립하고 인증을 획득할 수 있다. 이러한 경우 해당 인증은 전사 측면에서 해야 할 업무가 아닌, 특정부서와 정보보호부서 등에서만 해야 하는 업무로 제한되고 있다. 또한 경영진은 정보보안을 정보보호 최고책임자 중심의 실무적 문제로 인식하고 사고 발생 시 임기응변식으로 대응하고 있으며, 현업부서나 내부통제부서 등을 포함한 전사적 차원의 정보보안 책임과 역할 부여는 미흡하다.
정보보호 관리체계의 수립 후 운영을 위한 조직 측면의 지원과 정보보호 담당자의 역량, 이해관계자의 적극적인 참여가 있어야만 관리체계 수립에 따른 효과를 달성할 수 있으며, 조직이나 담당자가 형식적으로 수행하는 경우 관리체계는 조직의 정보보호에 아무런 도움이 되지 않고, 관리체계를 수립하고 인증을 받았음에도 불구하고 보안사고는 발생하며 피해는 더 증가할 수 있다.
따라서 정보보호 관리체계를 수립해 지속적인 정보보호 활동을 통해 보안사고를 예방하고, 임직원의 인식을 제고하기 위한 교육, 이벤트 등을 실시한다. 또한 정보보호 담당자는 정보보호 관리체계 통제에 대한 목표와 목적에 대해 충분히 이해하고 조직에 맞는 체계로 개선해야 하며, 정보보호 부서만의 일이 아닌 전사적 차원에서 정보보안을 수행하고, 형식적인 절차의 준수가 아닌 실질적인 활동을 수행할 수 있도록 임직원의 인식 개선을 지속적으로 실시해야 한다.
수립된 정보보호 관리체계를 기업에서 정상적으로 운영되지 않고 단순 인증 획득과 유지의 목적으로만 수행되는 경우 개인정보 유출, 랜섬웨어 감염 등 보안사고가 발생할 가능성이 높다. 이러한 상황에서 정보보호 관리체계 제도만 문제가 있다고 한다면, 정보보호 관리체계(ISMS) 인증은 억울하다.
[글_ 홍성권 한국정보시스템감사통제협회 저널편집이사]
ISMS만 믿고 담당자 이해력이 떨어지거나 인증을 위한 인증만 할 경우 정보보호 능력 떨어져
[보안뉴스= 홍성권 한국정보시스템감사통제협회 저널편집이사] 2016년 모 쇼핑몰에서 1,000만 명에 해당하는 개인정보 유출사고가 발생했다. 2014년에는 모 통신사에서 홈페이지 해킹으로 1,200만 명에 해당하는 개인정보가 유출됐으며, 2023년 1월에도 다른 통신사에서 18만 명의 개인정보가 유출된 사고가 발생했다. 이들 개인정보 유출 사고가 발생한 기업의 공통점은 정보보호 관리체계(ISMS)를 수립하고 인증을 획득하였다. 이러한 기업에서 정보 유출 또는 개인정보 유출사고가 발생하면 가장 많이 받는 질타 중에 하나가 “정보보호 관리체계를 수립하고 인증을 받았는데, 왜 사고가 발생하냐, 인증 체계에 문제가 있는 거 아니냐”라는 의견이 많다. 정보보호 관리체계가 무엇인지 알아보고 왜 관리체계를 수립했음에도 보안사고가 발생하는 지 알아보자.
[이미지=gettyimagesbank]
우선, 정보보호 관리체계와 정보보호 관리체계 인증에 대해 알아보자. 정보보호 관리체계는 조직이 보유한 정보 및 정보자산을 식별해 보안 위협과 취약점으로부터 안전하게 보호하고 체계적, 지속적으로 관리하기 위해 수립한 체계이며, 이 체계가 적합한 지 인증지관/심사기관이 증명하는 제도다.
정보보호 관리체계를 수립하고 운영하며, 매년 심사를 받는 조직에서 개인정보 유출, 랜섬웨어 감염 등 보안사고가 지속적으로 발생하는 이유는 무엇일까? 정보보호 관리체계의 속성, 조직의 정보보호 관리체계 역량 부족과 형식적 운영, 전사가 아닌 정보보호 부서만의 업무 등 다양한 문제점이 있으며 세부적인 사항을 살펴보고자 한다.
첫 번째로 정보보호 관리체계 수립 및 인증 획득은 해당 조직의 정보보호 역량이 뛰어나다는 것을 의미하는 게 아니라, 해당 조직이 정보보호를 위한 최소한의 요건 또는 체계를 갖추었다는 것이다. 정보보호 관리체계 수립을 통해 주기적인 예방활동(취약점 진단, 위험평가 및 조치 등)을 통해 보안사고를 예방하고 보안사고가 발생하더라도 조기에 탐지하여 대응하고자 한다.
두 번째로 조직과 조직 내 정보보호 담당자가 정보보호 관리체계 수립의 기본이 되는 통제항목에 대한 이해도가 부족하다는 것이다. 관리체계는 다양한 정보보호 분야(정책, 조직, 내부자/외부자, 물리적, 기술적 등)에 대한 통제로 구성되어 있으며, 해당 통제는 달성해야 할 목표가 있다. 정보보호 담당자가 통제 목표에 대한 사항을 고려하지 않고 정보보호 규정의 단순 이행으로 본다면 지속적인 정보보호 수준의 제고는 요원하고 일회성 보안활동이 될 가능성이 높다.
세 번째로 정보보호 관리체계 수립과 인증을 형식적으로 수행하는 조직도 있다. 정보통신망법에 따라 의무대상자와 자체적인 필요에 의해 인증을 획득하고자 하는 자율 신청을 하는 조직으로 구분될 수 있다. 의무대상자 중 정보통신서비스 부문 전년도 매출액이 100억원 이상이거나, 전년도 말 기준 3개월 간 일일평균 이용자 수가 100만명 이상인 경우 법적 요건에 따라 인증을 획득해야 한다. 이러한 조직은 정보보호의 필요성과 중요도를 필요로 해서 인증 획득하기 보다는 법적 의무준수를 위해 인증을 획득하니, 지속적인 활동보다는 형식적으로 인증을 유지하고자 한다. 예를 들어, 정보보호 관리체계 수립 후 지속적인 정보보호 활동에 따른 이행증거 자료를 확보하는 것이 아닌 심사 전 인증에 필요한 필수 사항만 외부 전문가로부터 지원을 받아 인증 유지에 필요한 최소한의 요건만 준수하고자 한다.
네 번째로 정보보호 관리체계 수립과 인증이 전사 측면이 아닌 정보보호 담당부서의 업무로 협소한 시각으로 바라보고 있다. 관리체계는 특성 상 범위를 정의할 수 있어 특정한 서비스, 특정한 부서 단위로 관리체계를 수립하고 인증을 획득할 수 있다. 이러한 경우 해당 인증은 전사 측면에서 해야 할 업무가 아닌, 특정부서와 정보보호부서 등에서만 해야 하는 업무로 제한되고 있다. 또한 경영진은 정보보안을 정보보호 최고책임자 중심의 실무적 문제로 인식하고 사고 발생 시 임기응변식으로 대응하고 있으며, 현업부서나 내부통제부서 등을 포함한 전사적 차원의 정보보안 책임과 역할 부여는 미흡하다.
정보보호 관리체계의 수립 후 운영을 위한 조직 측면의 지원과 정보보호 담당자의 역량, 이해관계자의 적극적인 참여가 있어야만 관리체계 수립에 따른 효과를 달성할 수 있으며, 조직이나 담당자가 형식적으로 수행하는 경우 관리체계는 조직의 정보보호에 아무런 도움이 되지 않고, 관리체계를 수립하고 인증을 받았음에도 불구하고 보안사고는 발생하며 피해는 더 증가할 수 있다.
따라서 정보보호 관리체계를 수립해 지속적인 정보보호 활동을 통해 보안사고를 예방하고, 임직원의 인식을 제고하기 위한 교육, 이벤트 등을 실시한다. 또한 정보보호 담당자는 정보보호 관리체계 통제에 대한 목표와 목적에 대해 충분히 이해하고 조직에 맞는 체계로 개선해야 하며, 정보보호 부서만의 일이 아닌 전사적 차원에서 정보보안을 수행하고, 형식적인 절차의 준수가 아닌 실질적인 활동을 수행할 수 있도록 임직원의 인식 개선을 지속적으로 실시해야 한다.
수립된 정보보호 관리체계를 기업에서 정상적으로 운영되지 않고 단순 인증 획득과 유지의 목적으로만 수행되는 경우 개인정보 유출, 랜섬웨어 감염 등 보안사고가 발생할 가능성이 높다. 이러한 상황에서 정보보호 관리체계 제도만 문제가 있다고 한다면, 정보보호 관리체계(ISMS) 인증은 억울하다.
[글_ 홍성권 한국정보시스템감사통제협회 저널편집이사]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.jpg)
.jpg)
 TH.jpg)
 th.jpg)
 THJ.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
