정보보호 관리절차 수립 및 내재화에 중점
“임직원의 정보보안 인식 변화와 수준 향상이 가장 중요”
[보안뉴스 김태형] 한국고용정보원(원장 유길상)의 고용보험전산망(www.ei.go.kr)이 지난해 12월 정보보호관리체계(이하 ISMS) 인증을 취득했다. 고용보험전산망은 구직자와 근로자, 기업 등이 실업급여나 고용지원금 같은 고용보험 서비스를 이용할 수 있는 시스템이다. 고용보험과 관련된 다양한 민원 서비스를 제공하다보니 체계적이고 엄격한 보안 및 개인정보보호 조치들이 요구되고 있다.
ISMS 인증은 보안위협으로부터 주요 정보자산을 보호하기 위해 수립·관리·운영하는 종합적인 정보보호 관리체계를 얼마나 잘 갖춰 운영하는지를 평가하는 제도로, 한국고용정보원은 △정보보안에 대한 경영진 등 조직의 지속적인 관심과 투자 △정보보안 관련 법의 철저한 준수 △시스템 및 서비스 운영 보안 등 정보보호와 관련된 총 104개 항목에 대한 까다로운 심사를 통과해 인증을 취득했다.
한국고용정보원 정보보안팀 김경구 팀장은 “이번 인증을 계기로 취업정보사이트 워크넷과 직업능력개발훈련정보망 HRD-Net 등으로 인증 범위를 확대해 나갈 것이며, 국민이 안전하게 고용서비스를 이용하도록 최선을 다할 계획”이라고 말했다.
한국고용정보원은 국가 고용서비스의 선진화를 위해 지난 2006년 3월 설립됐다. 국내외 고용정보의 수집과 분석·제공 △국가 중장기 인력수급전망 및 고용동향 분석 △청년패널 등 각종 고용패널 조사 △생애 진로지도 프로그램 개발 및 보급 △신직업 등 직업에 관한 연구 △고용서비스 진흥 △워크넷과 직업능력개발정보망 HRD-Net, 고용보험전산망, 외국인고용관리시스템 등 고용정보시스템 개발 및 운영·관리 등의 업무를 수행하고 있다. 또한, 고용보험전산망 및 고용안정전산망, 직업능력개발훈련정보망 3개의 주요정보통신기반시설을 운영하고 있으며 고용보험전산망의 경우에는 국가기반시설로도 지정된 상태다.
이에 한국고용정보원은 고용보험전산망과 정보자산의 보호를 위해 체계적인 보안정책과 보안 시스템 운영이 필수적이다. 기본적인 보안관리 정책은 정보통신망법과 국가 정보보안 기본지침 등을 준용하고 있다.
이와 관련 김경구 팀장은 “한국고용정보원은 보다 체계적인 보안관리 절차 마련을 위해 지난해 정보보호 관리체계(ISMS) 인증을 취득했다. 그리고 원내에 많은 정보화용역 사업이 추진되고 있어 외부용역사업에 대한 보안점검을 주기적으로 수행하고 있다”면서 “정보보안 전문인력 구성을 강화하기 위해 올해 초 정보보안 전담조직인 정보보안팀을 신설했다. 팀장을 포함해 총 7명이고 정보보안파트 4명, 개인정보보호파트 2명으로 구성되어 있다”고 설명했다.
이어서 그는 “최근 보안사고와 피해사례가 지속적으로 발생함에 따라 내부 정보자산 보호를 위한 종합적인 보안대책 마련이 시급했다. 이에 정보보호 관리체계(ISMS) 구축을 통해 원내 정보자산에 대한 비밀성·무결성·가용성을 향상시켜 시스템의 안정적 운영을 도모하기 위해 이번 ISMS 인증을 획득하게 됐다”고 덧붙였다.
한국고용정보원은 이번 ISMS 인증 획득을 위해서 지난 2013년도부터 전자정부 정보보호 관리체계 인증 기준에 맞춰 프로세스를 개선했고, 본격적인 ISMS 인증 취득을 위해 지난 2015년 7월부터 12월까지 지침 개정 및 증적자료 수집 등 활동을 진행했다.
특히, 체계적이고 강화된 정보보호 관리체계 구축을 위해서 한국고용정보원은 정보보호 관리절차 수립 및 내재화를 가장 큰 주안점으로 두고 이번 인증 획득을 추진했으며, 투입된 예산은 컨설팅 비용과 인증 심사수수료를 포함해 약 8천만원 가량이며, 원내 ISMS 전담 인력 1명과 외부 컨설팅 전문 인력 3명이 수행했다.
이에 대해 김경구 팀장은 “ISMS 인증 획득을 위해서는 인증 획득 요건인 104개의 관리항목을 만족시켜야 하는데 실무자 입장에서 세부 항목들을 이해하는데 조금 어려운 부분이 있다. 또한, 실무를 하면서 현황 분석 및 GAP 분석 등 전체적으로 모든 것을 수행하기에는 부족한 게 사실이다. 이에 전문 보안 컨설팅 업체를 통해 진행했다”면서 “전문 업체의 컨설팅을 받게 되면 ISMS 획득 요건에서 어떤 부분이 부족한지, 개선해야 될 사항이 어떤 것이 있는지 쉽게 파악할 수 있는 장점이 있다. 하지만 컨설팅 회사에 모든 것을 의지하게 되면 컨설팅 사업 완료 후, 자체적인 정보보호 관리체계를 운영하는데 어려움이 있을 수 있어 내부 담당자를 투입해 ISMS 인증 과정을 함께 진행함으로써 전반적인 내용을 숙지하도록 하는 것이 좋다”고 말했다.
▲ 한국고용정보원 김경구 팀장
김 팀장이 이번 인증 획득에서 가장 고려한 부분은 타 부서와의 협업과 증적자료 관리였다. 이에 대해 그는 “ISMS 인증 획득은 정보보안 부서만 잘한다고 되는 것이 아니라, 인증범위에 따라 시스템 운영부서와 개발부서와의 협업이 중요한데, 인증 취득 배경 및 취지를 이해시키는 과정과 증적자료 관리 부분이 가장 어려웠다”면서도 “이를 위해서 관련부서 교육을 통해 인증 취득의 필요성에 대해 이해시켰으며, 원 전체적으로 정보보안 인식수준 향상 및 문화 형성을 위해 보안 홍보물을 제작하기도 했다. 또한, 인증관련 수행활동 및 증적관리를 보다 체계적으로 하기 위해 ISMS 운영 현황표를 작성해 배포한 것도 효과적이었다”고 말했다.
한국고용정보원이 이번 ISMS 인증 획득 후 얻은 가장 큰 효과는 기존의 일회성 단편적인 정보보호 대책에서 벗어나 조직적이고 종합적인 정보보호 대책이 마련되어 원내 정보보호관리 수준이 한층 향상됐다는 점이다. 아울러 인증 획득 준비 과정에서 원내 정보보안 홍보활동 및 보안문화 활성화를 통해 임직원들의 보안수준도 향상됐다는 게 자체 평가다.
“과거에는 정보보호 시스템 운영과 정책 수립이 가장 중요하다고 생각되었으나 최근엔 사회공학적 기법을 활용한 해킹과 이메일 공격 등에 의한 사고가 증가하고 있기 때문에 직원들의 정보보안 인식 변화와 수준을 향상시키는 것이 가장 중요하다”는 김경구 팀장은 “앞으로 한국고용정보원은 ISMS 인증 범위를 확대해 나가고 개인정보보호를 위한 개인정보보호 관리체계 인증(PIMS)도 추진할 계획이다. 또한, 상시 취약점 진단 및 개선을 위한 진단 도구 등을 도입해 안전한 고용서비스를 제공할 것”이라고 강조했다.
[김태형 기자(boan@boannews.com)]
“임직원의 정보보안 인식 변화와 수준 향상이 가장 중요”
[보안뉴스 김태형] 한국고용정보원(원장 유길상)의 고용보험전산망(www.ei.go.kr)이 지난해 12월 정보보호관리체계(이하 ISMS) 인증을 취득했다. 고용보험전산망은 구직자와 근로자, 기업 등이 실업급여나 고용지원금 같은 고용보험 서비스를 이용할 수 있는 시스템이다. 고용보험과 관련된 다양한 민원 서비스를 제공하다보니 체계적이고 엄격한 보안 및 개인정보보호 조치들이 요구되고 있다.
ISMS 인증은 보안위협으로부터 주요 정보자산을 보호하기 위해 수립·관리·운영하는 종합적인 정보보호 관리체계를 얼마나 잘 갖춰 운영하는지를 평가하는 제도로, 한국고용정보원은 △정보보안에 대한 경영진 등 조직의 지속적인 관심과 투자 △정보보안 관련 법의 철저한 준수 △시스템 및 서비스 운영 보안 등 정보보호와 관련된 총 104개 항목에 대한 까다로운 심사를 통과해 인증을 취득했다.
한국고용정보원 정보보안팀 김경구 팀장은 “이번 인증을 계기로 취업정보사이트 워크넷과 직업능력개발훈련정보망 HRD-Net 등으로 인증 범위를 확대해 나갈 것이며, 국민이 안전하게 고용서비스를 이용하도록 최선을 다할 계획”이라고 말했다.
한국고용정보원은 국가 고용서비스의 선진화를 위해 지난 2006년 3월 설립됐다. 국내외 고용정보의 수집과 분석·제공 △국가 중장기 인력수급전망 및 고용동향 분석 △청년패널 등 각종 고용패널 조사 △생애 진로지도 프로그램 개발 및 보급 △신직업 등 직업에 관한 연구 △고용서비스 진흥 △워크넷과 직업능력개발정보망 HRD-Net, 고용보험전산망, 외국인고용관리시스템 등 고용정보시스템 개발 및 운영·관리 등의 업무를 수행하고 있다. 또한, 고용보험전산망 및 고용안정전산망, 직업능력개발훈련정보망 3개의 주요정보통신기반시설을 운영하고 있으며 고용보험전산망의 경우에는 국가기반시설로도 지정된 상태다.
이에 한국고용정보원은 고용보험전산망과 정보자산의 보호를 위해 체계적인 보안정책과 보안 시스템 운영이 필수적이다. 기본적인 보안관리 정책은 정보통신망법과 국가 정보보안 기본지침 등을 준용하고 있다.
이와 관련 김경구 팀장은 “한국고용정보원은 보다 체계적인 보안관리 절차 마련을 위해 지난해 정보보호 관리체계(ISMS) 인증을 취득했다. 그리고 원내에 많은 정보화용역 사업이 추진되고 있어 외부용역사업에 대한 보안점검을 주기적으로 수행하고 있다”면서 “정보보안 전문인력 구성을 강화하기 위해 올해 초 정보보안 전담조직인 정보보안팀을 신설했다. 팀장을 포함해 총 7명이고 정보보안파트 4명, 개인정보보호파트 2명으로 구성되어 있다”고 설명했다.
이어서 그는 “최근 보안사고와 피해사례가 지속적으로 발생함에 따라 내부 정보자산 보호를 위한 종합적인 보안대책 마련이 시급했다. 이에 정보보호 관리체계(ISMS) 구축을 통해 원내 정보자산에 대한 비밀성·무결성·가용성을 향상시켜 시스템의 안정적 운영을 도모하기 위해 이번 ISMS 인증을 획득하게 됐다”고 덧붙였다.
한국고용정보원은 이번 ISMS 인증 획득을 위해서 지난 2013년도부터 전자정부 정보보호 관리체계 인증 기준에 맞춰 프로세스를 개선했고, 본격적인 ISMS 인증 취득을 위해 지난 2015년 7월부터 12월까지 지침 개정 및 증적자료 수집 등 활동을 진행했다.
특히, 체계적이고 강화된 정보보호 관리체계 구축을 위해서 한국고용정보원은 정보보호 관리절차 수립 및 내재화를 가장 큰 주안점으로 두고 이번 인증 획득을 추진했으며, 투입된 예산은 컨설팅 비용과 인증 심사수수료를 포함해 약 8천만원 가량이며, 원내 ISMS 전담 인력 1명과 외부 컨설팅 전문 인력 3명이 수행했다.
이에 대해 김경구 팀장은 “ISMS 인증 획득을 위해서는 인증 획득 요건인 104개의 관리항목을 만족시켜야 하는데 실무자 입장에서 세부 항목들을 이해하는데 조금 어려운 부분이 있다. 또한, 실무를 하면서 현황 분석 및 GAP 분석 등 전체적으로 모든 것을 수행하기에는 부족한 게 사실이다. 이에 전문 보안 컨설팅 업체를 통해 진행했다”면서 “전문 업체의 컨설팅을 받게 되면 ISMS 획득 요건에서 어떤 부분이 부족한지, 개선해야 될 사항이 어떤 것이 있는지 쉽게 파악할 수 있는 장점이 있다. 하지만 컨설팅 회사에 모든 것을 의지하게 되면 컨설팅 사업 완료 후, 자체적인 정보보호 관리체계를 운영하는데 어려움이 있을 수 있어 내부 담당자를 투입해 ISMS 인증 과정을 함께 진행함으로써 전반적인 내용을 숙지하도록 하는 것이 좋다”고 말했다.
▲ 한국고용정보원 김경구 팀장
김 팀장이 이번 인증 획득에서 가장 고려한 부분은 타 부서와의 협업과 증적자료 관리였다. 이에 대해 그는 “ISMS 인증 획득은 정보보안 부서만 잘한다고 되는 것이 아니라, 인증범위에 따라 시스템 운영부서와 개발부서와의 협업이 중요한데, 인증 취득 배경 및 취지를 이해시키는 과정과 증적자료 관리 부분이 가장 어려웠다”면서도 “이를 위해서 관련부서 교육을 통해 인증 취득의 필요성에 대해 이해시켰으며, 원 전체적으로 정보보안 인식수준 향상 및 문화 형성을 위해 보안 홍보물을 제작하기도 했다. 또한, 인증관련 수행활동 및 증적관리를 보다 체계적으로 하기 위해 ISMS 운영 현황표를 작성해 배포한 것도 효과적이었다”고 말했다.
한국고용정보원이 이번 ISMS 인증 획득 후 얻은 가장 큰 효과는 기존의 일회성 단편적인 정보보호 대책에서 벗어나 조직적이고 종합적인 정보보호 대책이 마련되어 원내 정보보호관리 수준이 한층 향상됐다는 점이다. 아울러 인증 획득 준비 과정에서 원내 정보보안 홍보활동 및 보안문화 활성화를 통해 임직원들의 보안수준도 향상됐다는 게 자체 평가다.
“과거에는 정보보호 시스템 운영과 정책 수립이 가장 중요하다고 생각되었으나 최근엔 사회공학적 기법을 활용한 해킹과 이메일 공격 등에 의한 사고가 증가하고 있기 때문에 직원들의 정보보안 인식 변화와 수준을 향상시키는 것이 가장 중요하다”는 김경구 팀장은 “앞으로 한국고용정보원은 ISMS 인증 범위를 확대해 나가고 개인정보보호를 위한 개인정보보호 관리체계 인증(PIMS)도 추진할 계획이다. 또한, 상시 취약점 진단 및 개선을 위한 진단 도구 등을 도입해 안전한 고용서비스를 제공할 것”이라고 강조했다.
[김태형 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png){kind=spacer}
.png)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
