CSO / IoT / 보안
2017.07.14

강은성의 보안 아키텍트 | ISMS/PIMS 인증과 IoT 보안인증

강은성 | CIO KR
기업에서 많이 받는 인증 중에 ISO 9001(품질경영시스템) 인증이 있다. 한국표준협회에서는 ISO 9001 인증은, “모든 산업 분야 및 활동에 적용할 수 있는 품질경영시스템의 요구사항”인 ISO 9001 국제 표준을 “제품 또는 서비스의 실현 시스템이 충족하고 유효하게 운영하고 있음을 제3자가 객관적으로 인증”해 주는 것이라고 설명하고 있다. 즉 인증은 제정된 ‘요구사항’을 ‘충족’하는지 여부를 공신력 있는 제3자가 ‘검증’해 주는 것이다.

보안컨설팅 기업이 사전 컨설팅도 하고, 인증심사도 하고, 확인증도 부여하는 구조적 문제를 포함해 부실하다는 비판을 받았던 ‘정보보호 안전진단’이 전면 폐지되면서, 2012년 정보통신망법 제47조(정보보호 관리체계의 인증)를 근거로 정보보호 관리체계(ISMS) 인증이 도입되었다. ‘정보보호 관리체계 인증 등에 관한 고시’(미래창조과학부 고시)에서는 ISMS 인증기준으로 13개 통제분야, 92개 통제항목을 정의하였다. ISO 9001 인증에서의 ‘요구사항’에 해당된다. 같은 법 제47조의3에서 규정한 개인정보보호 관리체계(PIMS) 인증 역시 ‘개인정보보호 관리체계 인증 등에 관한 고시’(방송통신위원회 고시)에서 9개 영역, 최대 86개 항목의 인증기준을 설정하였다.

2014년 국정감사에서 유승희 의원은 PIMS 인증을 받은 24개 기업 중 5개 기업에서 ‘개인정보 및 비밀번호 유출사고’가 발생하였다고 하면서 그 이유로 인증심사원의 역량 부족과 획일적 심사기간에 따른 심사의 부실화라고 짚었다. 보완해야 할 점이 있을 것이다. 다만 본질적으로 이런 질문을 할 수 있을 것 같다. 위 문제를 해결하는 수준으로 인증을 강화하면 PIMS 인증 취득기업에는 개인정보 유출사고가 발생하지 않을 것인가? 또는 PIMS 인증 취득기업에서 개인정보 유출사고가 나지 않게 하려면 인증의 무엇을 얼마나 강화해야 할까?

PIMS 인증을 받았는데, 개인정보 유출사고가 발생하였다면 그 이유는 다음과 같이 추정할 수 있을 듯하다.

(1) PIMS 인증기준이 부실함
(2) PIMS 인증심사원의 자질이 부실함
(3) PIMS 인증심사가 부실함(기간 부족, 투입 인력 부족, 제도의 문제 등으로)
(4) PIMS 인증의 속성상 그럴 수 있음
(5) 보안의 속성상 그럴 수 있음

보안인증에 대한 사회적 비판은 주로 (2)와 (3)을 중심으로 이뤄지는데, 필자는 일부 그런 측면도 있지만, 본질적 원인은 (4)와 (5)에 있다고 생각한다. (4)에서 ‘관리체계’ 인증이란 특정한 보안취약점을 찾아내고 해결해 나가는 것도 필요하지만, 사업자가 스스로 지속적이고 체계적으로 보안 문제를 해결해 나갈 수 있는 종합적인 ‘관리체계’를 갖췄는지 검증하는 인증이란 말이다. PIMS 인증에서는 개인정보보호 ‘관리체계’를 제대로 갖추고 운영하는지 증적과 선별 실사(샘플링)를 통해 확인한다.

(5)는 이렇게 설명할 수 있다. 보안인증과 ISO 9001 인증은 인증이라는 공통점이 있지만, 품질과는 달리 보안은 그것을 공격하는 적대자가 있다는 큰 차이가 있다. 사업자가 PIMS 인증을 받았다는 것은 개인정보보호 관리체계가 지속적이고 체계적으로 작동한다는 것을 인증기준에 따라 검증받은 것이지, 개인정보 유출사고가 나지 않을 기준으로 검증받은 것이 아니다. 사실 그러한 검증은 가능하지도 않다. 심지어 PIMS 인증기준에는 ‘침해사고 관리(7.4)’ 항목이 있어서 인증취득 기업에서 개인정보 침해사고가 발생할 수 있다는 점을 인정하고 있다.

ISMS/PIMS 인증을 받은 사업자에게서 개인정보 유출사고가 발생하면 정부에 대한 비난이 쏟아진다. 관리체계 인증에 대한 이해가 부족한 점도 있지만, 인증을 정부가 주도한 것이 더 큰 이유일 것이다. 국회, 언론, 인터넷 상의 비난 여론에 정부가 대처해 온 방법 중 하나는 부여했던 보안인증을 취소하는 것이다. 과거 개인정보보호 인증제(PIPL)의 「개인정보보호 인증(PIPL) 안내서」(한국정보화진흥원, 2013)에는 인증 취소사유에 “개인정보 유출·침해 사고가 발생한 경우”가 들어 있다. 정보통신망법에는 2015년 12월에 ISMS 인증 취소사유가 들어갔는데(제47조 제10항) 그 중 “인증기준에 미달하게 된 경우”(제2호)는, 보안사고가 발생한 기업을 조사하여 인증기준에 미달한 점이 발견될 경우 인증을 취소할 수 있는 근거가 될 것으로 보인다. PIMS 인증은 ISMS 인증의 취소 조항을 준용한다.

최근 국내에서 화두가 되고 있는 사물인터넷(IoT)과 관련하여 정부는 IoT 보안인증을 시작하였다. 정부는 이미 2014년에 「사물인터넷 정보보호로드맵」(미래부, 2014.10.31.)을 발표하였고, 「사물인터넷 정보보호 로드맵 3개년 시행계획」(미래부, 2015.6.)에서 세부계획을 밝힌 바 있다. IoT 보안인증은 여기에 있는 내용으로서 정부가 핵심 5개 IoT 분야로 잡고 있는 홈·가전, 자동차, 의료, 제조, 에너지 분야에서 보안인증을 추진한다고 한다.

홈네트워크건물인증 보안점검 추진 체계

출처: KISA, 홈네트워크건물인증 보안점검 가이드, 2017.7.1


미래부에서는 ‘홈네트워크건물인증’의 기존 AA 등급에 모바일앱, 기기 확장성, 보안 등 홈IoT 사항을 추가하여 이를 충족할 경우 AAA(홈IoT) 등급을 부여한다(7월 1일 시행). 인증기관은 중앙전파관리소, 심사기관은 한국정보통신진흥협회, 보안점검기관은 KISA가 맡았다. KISA는 「홈네트워크건물인증 보안점검 가이드」(2017.7.1)를 발간하여 “건설사 및 홈IoT 제조사 등 관련된 이해관계자들이 손쉽게 홈네트워크건물 인증 보안점검을 수행할 수” 있도록 하였다. IoT 기기와 서비스가 가정에 많이 설치된 것을 생각하면 이러한 보안인증은 반드시 필요하리라 생각된다. 하지만 ISMS/PIMS와 마찬가지로 이 보안인증을 받는다고 해서 해당 IoT제품들에서 정보의 유출이나 훼손, 제품의 악용이 발생하지 않는 것은 아니다. 최소한의 보안대책을 구비했다는 인증일 뿐이다. 그래서 인증을 취득한 IoT 제품에서 보안사고가 발생할 경우에 정부의 입장은 ISMS/PIMS 인증 때와 유사하게 전개되지 않을까 우려된다.


위에서 살펴본 보안인증의 전반적인 문제점을 다음과 같이 요약할 수 있다.
 
(1) 정부가 주도하는 보안인증은 결국 법규 준수의 문제가 된다. 앞에서 설명했던 ‘인증’의 일반적 방식과 다르다. 물론 인증을 받으면 받지 않는 것보다 보안수준이 높아질 수 있다. 하지만 딱 통과 수준까지만 하는 악습이 생겼다. 중요 정보자산을 보호하기 위해서가 아니라 법규 준수를 위해 하는 보안인증의 핵심 문제다. 피해는 결국 소비자에게 돌아간다.

(2) 인증을 준 IoT 제품이 해킹되든지 하여 사회적 비판이 커지면 결국 정부는 이것은 ‘최소한의 조치’라고 하거나 인증 취소의 사유를 만드는 방식으로 지금처럼 피해가지 않을까 싶다. 사실 현 시점의 최고의 보안대책을 구현했다 하더라도 새로운 취약점이 발견되어 보안사고가 생길 수도 있다. 규제 준수를 위해 보안인증을 취득한 기업도 피해자가 될 수 있다.
 
(3) 정부가 시장을 없애고 있다. ISMS 인증과 본질이 같은 ISO 27001 인증은 인증을 부여하는 기관이 민간기업이다. 하지만 ISMS 인증에서는 인증의 주체가 정부가 되면서 사전 인증컨설팅 시장만 있고, 보안인증 시장은 없다. 민간에 핵심 역량이 쌓이지 않는다. 회계시장은 자본주의 경제의 근간을 이루는데도 가끔 회계부정도 드러나지만, 정부는 강력한 관리·감독 권한을 행사하지 직접 회계사업에 나서지는 않는다. 보안인증 시장에서는 정부가 플레이어로 뛰고 있다.

IoT 국제표준 단체인 OCF(Open Connectivity Foundation)에서는 보안 스펙을 포함해 표준 스펙을 내 놨고, 이를 준수하는 인증을 대비해 국내 2개 등 공인 테스트랩(Authorized Test Lab)을 지정하였다. 국내에서도 보안을 포함해 OCF 스펙을 준수하는 OCF 인증 IoT 제품들이 출시될 것이다. 이제 보안인증은 인증의 요구사항 제시 – 요구사항 구현 – 요구사항 충족 여부 검증으로 이뤄지는 인증의 본질로 돌아가야 한다. 정부도 시장의 플레이어가 아니라 시장의 조성자, 감독자로서의 역할에 충실해야 한다. 지금 KISA를 통해 정부가 주도하는 방식은 오히려 보안산업의 경쟁력을 약화시킨다. 새로이 시작하는 IoT 보안인증에서는 기존 국내 보안인증의 패러다임을 바꿔 나가기를 바라 마지 않는다.

*강은성 대표는 소프트웨어 개발자로 시작하여 국내 최대 보안전문업체에서 연구소장과 시큐리티대응센터장을 거치고, 인터넷 포털회사에서 최고보안책임자(CSO)를 역임한 국내 최고의 보안전문가다. 그는 대기업 임원으로서 기업보안을 책임졌던 리더십과 보안 현업에서 얻은 풍부한 관리적ㆍ기술적 경험, 수사기관과 소송에 대응했던 위기관리 경험을 토대로 실효성 있는 기업보안 거버넌스와 보안위험 관리, 정보보호대책을 제안하고 있다. 지금은 CISO Lab을 설립하여 기업 차원의 보안위험 대응 전략을 탐구하여 기업 보안컨설팅과 보안교육을 진행하고 있으며, 저서로 IT시큐리티(한울, 2009)와 CxO가 알아야 할 정보보안(한빛미디어, 2015)가 있다. ciokr@idg.co.kr
CSO / IoT / 보안
2017.07.14

강은성의 보안 아키텍트 | ISMS/PIMS 인증과 IoT 보안인증

강은성 | CIO KR
기업에서 많이 받는 인증 중에 ISO 9001(품질경영시스템) 인증이 있다. 한국표준협회에서는 ISO 9001 인증은, “모든 산업 분야 및 활동에 적용할 수 있는 품질경영시스템의 요구사항”인 ISO 9001 국제 표준을 “제품 또는 서비스의 실현 시스템이 충족하고 유효하게 운영하고 있음을 제3자가 객관적으로 인증”해 주는 것이라고 설명하고 있다. 즉 인증은 제정된 ‘요구사항’을 ‘충족’하는지 여부를 공신력 있는 제3자가 ‘검증’해 주는 것이다.

보안컨설팅 기업이 사전 컨설팅도 하고, 인증심사도 하고, 확인증도 부여하는 구조적 문제를 포함해 부실하다는 비판을 받았던 ‘정보보호 안전진단’이 전면 폐지되면서, 2012년 정보통신망법 제47조(정보보호 관리체계의 인증)를 근거로 정보보호 관리체계(ISMS) 인증이 도입되었다. ‘정보보호 관리체계 인증 등에 관한 고시’(미래창조과학부 고시)에서는 ISMS 인증기준으로 13개 통제분야, 92개 통제항목을 정의하였다. ISO 9001 인증에서의 ‘요구사항’에 해당된다. 같은 법 제47조의3에서 규정한 개인정보보호 관리체계(PIMS) 인증 역시 ‘개인정보보호 관리체계 인증 등에 관한 고시’(방송통신위원회 고시)에서 9개 영역, 최대 86개 항목의 인증기준을 설정하였다.

2014년 국정감사에서 유승희 의원은 PIMS 인증을 받은 24개 기업 중 5개 기업에서 ‘개인정보 및 비밀번호 유출사고’가 발생하였다고 하면서 그 이유로 인증심사원의 역량 부족과 획일적 심사기간에 따른 심사의 부실화라고 짚었다. 보완해야 할 점이 있을 것이다. 다만 본질적으로 이런 질문을 할 수 있을 것 같다. 위 문제를 해결하는 수준으로 인증을 강화하면 PIMS 인증 취득기업에는 개인정보 유출사고가 발생하지 않을 것인가? 또는 PIMS 인증 취득기업에서 개인정보 유출사고가 나지 않게 하려면 인증의 무엇을 얼마나 강화해야 할까?

PIMS 인증을 받았는데, 개인정보 유출사고가 발생하였다면 그 이유는 다음과 같이 추정할 수 있을 듯하다.

(1) PIMS 인증기준이 부실함
(2) PIMS 인증심사원의 자질이 부실함
(3) PIMS 인증심사가 부실함(기간 부족, 투입 인력 부족, 제도의 문제 등으로)
(4) PIMS 인증의 속성상 그럴 수 있음
(5) 보안의 속성상 그럴 수 있음

보안인증에 대한 사회적 비판은 주로 (2)와 (3)을 중심으로 이뤄지는데, 필자는 일부 그런 측면도 있지만, 본질적 원인은 (4)와 (5)에 있다고 생각한다. (4)에서 ‘관리체계’ 인증이란 특정한 보안취약점을 찾아내고 해결해 나가는 것도 필요하지만, 사업자가 스스로 지속적이고 체계적으로 보안 문제를 해결해 나갈 수 있는 종합적인 ‘관리체계’를 갖췄는지 검증하는 인증이란 말이다. PIMS 인증에서는 개인정보보호 ‘관리체계’를 제대로 갖추고 운영하는지 증적과 선별 실사(샘플링)를 통해 확인한다.

(5)는 이렇게 설명할 수 있다. 보안인증과 ISO 9001 인증은 인증이라는 공통점이 있지만, 품질과는 달리 보안은 그것을 공격하는 적대자가 있다는 큰 차이가 있다. 사업자가 PIMS 인증을 받았다는 것은 개인정보보호 관리체계가 지속적이고 체계적으로 작동한다는 것을 인증기준에 따라 검증받은 것이지, 개인정보 유출사고가 나지 않을 기준으로 검증받은 것이 아니다. 사실 그러한 검증은 가능하지도 않다. 심지어 PIMS 인증기준에는 ‘침해사고 관리(7.4)’ 항목이 있어서 인증취득 기업에서 개인정보 침해사고가 발생할 수 있다는 점을 인정하고 있다.

ISMS/PIMS 인증을 받은 사업자에게서 개인정보 유출사고가 발생하면 정부에 대한 비난이 쏟아진다. 관리체계 인증에 대한 이해가 부족한 점도 있지만, 인증을 정부가 주도한 것이 더 큰 이유일 것이다. 국회, 언론, 인터넷 상의 비난 여론에 정부가 대처해 온 방법 중 하나는 부여했던 보안인증을 취소하는 것이다. 과거 개인정보보호 인증제(PIPL)의 「개인정보보호 인증(PIPL) 안내서」(한국정보화진흥원, 2013)에는 인증 취소사유에 “개인정보 유출·침해 사고가 발생한 경우”가 들어 있다. 정보통신망법에는 2015년 12월에 ISMS 인증 취소사유가 들어갔는데(제47조 제10항) 그 중 “인증기준에 미달하게 된 경우”(제2호)는, 보안사고가 발생한 기업을 조사하여 인증기준에 미달한 점이 발견될 경우 인증을 취소할 수 있는 근거가 될 것으로 보인다. PIMS 인증은 ISMS 인증의 취소 조항을 준용한다.

최근 국내에서 화두가 되고 있는 사물인터넷(IoT)과 관련하여 정부는 IoT 보안인증을 시작하였다. 정부는 이미 2014년에 「사물인터넷 정보보호로드맵」(미래부, 2014.10.31.)을 발표하였고, 「사물인터넷 정보보호 로드맵 3개년 시행계획」(미래부, 2015.6.)에서 세부계획을 밝힌 바 있다. IoT 보안인증은 여기에 있는 내용으로서 정부가 핵심 5개 IoT 분야로 잡고 있는 홈·가전, 자동차, 의료, 제조, 에너지 분야에서 보안인증을 추진한다고 한다.

홈네트워크건물인증 보안점검 추진 체계

출처: KISA, 홈네트워크건물인증 보안점검 가이드, 2017.7.1


미래부에서는 ‘홈네트워크건물인증’의 기존 AA 등급에 모바일앱, 기기 확장성, 보안 등 홈IoT 사항을 추가하여 이를 충족할 경우 AAA(홈IoT) 등급을 부여한다(7월 1일 시행). 인증기관은 중앙전파관리소, 심사기관은 한국정보통신진흥협회, 보안점검기관은 KISA가 맡았다. KISA는 「홈네트워크건물인증 보안점검 가이드」(2017.7.1)를 발간하여 “건설사 및 홈IoT 제조사 등 관련된 이해관계자들이 손쉽게 홈네트워크건물 인증 보안점검을 수행할 수” 있도록 하였다. IoT 기기와 서비스가 가정에 많이 설치된 것을 생각하면 이러한 보안인증은 반드시 필요하리라 생각된다. 하지만 ISMS/PIMS와 마찬가지로 이 보안인증을 받는다고 해서 해당 IoT제품들에서 정보의 유출이나 훼손, 제품의 악용이 발생하지 않는 것은 아니다. 최소한의 보안대책을 구비했다는 인증일 뿐이다. 그래서 인증을 취득한 IoT 제품에서 보안사고가 발생할 경우에 정부의 입장은 ISMS/PIMS 인증 때와 유사하게 전개되지 않을까 우려된다.


위에서 살펴본 보안인증의 전반적인 문제점을 다음과 같이 요약할 수 있다.
 
(1) 정부가 주도하는 보안인증은 결국 법규 준수의 문제가 된다. 앞에서 설명했던 ‘인증’의 일반적 방식과 다르다. 물론 인증을 받으면 받지 않는 것보다 보안수준이 높아질 수 있다. 하지만 딱 통과 수준까지만 하는 악습이 생겼다. 중요 정보자산을 보호하기 위해서가 아니라 법규 준수를 위해 하는 보안인증의 핵심 문제다. 피해는 결국 소비자에게 돌아간다.

(2) 인증을 준 IoT 제품이 해킹되든지 하여 사회적 비판이 커지면 결국 정부는 이것은 ‘최소한의 조치’라고 하거나 인증 취소의 사유를 만드는 방식으로 지금처럼 피해가지 않을까 싶다. 사실 현 시점의 최고의 보안대책을 구현했다 하더라도 새로운 취약점이 발견되어 보안사고가 생길 수도 있다. 규제 준수를 위해 보안인증을 취득한 기업도 피해자가 될 수 있다.
 
(3) 정부가 시장을 없애고 있다. ISMS 인증과 본질이 같은 ISO 27001 인증은 인증을 부여하는 기관이 민간기업이다. 하지만 ISMS 인증에서는 인증의 주체가 정부가 되면서 사전 인증컨설팅 시장만 있고, 보안인증 시장은 없다. 민간에 핵심 역량이 쌓이지 않는다. 회계시장은 자본주의 경제의 근간을 이루는데도 가끔 회계부정도 드러나지만, 정부는 강력한 관리·감독 권한을 행사하지 직접 회계사업에 나서지는 않는다. 보안인증 시장에서는 정부가 플레이어로 뛰고 있다.

IoT 국제표준 단체인 OCF(Open Connectivity Foundation)에서는 보안 스펙을 포함해 표준 스펙을 내 놨고, 이를 준수하는 인증을 대비해 국내 2개 등 공인 테스트랩(Authorized Test Lab)을 지정하였다. 국내에서도 보안을 포함해 OCF 스펙을 준수하는 OCF 인증 IoT 제품들이 출시될 것이다. 이제 보안인증은 인증의 요구사항 제시 – 요구사항 구현 – 요구사항 충족 여부 검증으로 이뤄지는 인증의 본질로 돌아가야 한다. 정부도 시장의 플레이어가 아니라 시장의 조성자, 감독자로서의 역할에 충실해야 한다. 지금 KISA를 통해 정부가 주도하는 방식은 오히려 보안산업의 경쟁력을 약화시킨다. 새로이 시작하는 IoT 보안인증에서는 기존 국내 보안인증의 패러다임을 바꿔 나가기를 바라 마지 않는다.

*강은성 대표는 소프트웨어 개발자로 시작하여 국내 최대 보안전문업체에서 연구소장과 시큐리티대응센터장을 거치고, 인터넷 포털회사에서 최고보안책임자(CSO)를 역임한 국내 최고의 보안전문가다. 그는 대기업 임원으로서 기업보안을 책임졌던 리더십과 보안 현업에서 얻은 풍부한 관리적ㆍ기술적 경험, 수사기관과 소송에 대응했던 위기관리 경험을 토대로 실효성 있는 기업보안 거버넌스와 보안위험 관리, 정보보호대책을 제안하고 있다. 지금은 CISO Lab을 설립하여 기업 차원의 보안위험 대응 전략을 탐구하여 기업 보안컨설팅과 보안교육을 진행하고 있으며, 저서로 IT시큐리티(한울, 2009)와 CxO가 알아야 할 정보보안(한빛미디어, 2015)가 있다. ciokr@idg.co.kr
X