2016.04.14

강은성의 보안 아키텍트 | ISMS 인증제도와 심사 대비

강은성 | CIO KR
지난 3월 23일에 1천 석 규모의 코엑스 오디토리움홀이 정보보호 분야에서 일하는 사람들로 가득 찼다. 한국인터넷진흥원(KISA)에서 주최한 '정보보호 관리체계(ISMS) 인증제도 설명회' 자리였는데. 참석자들의 관심을 반영하듯 질문도 수십 개가 쏟아졌다.

이토록 설명회가 성황을 이룬 것은 작년 12월에 개정된 정보통신망법 덕분이다. 여기에서 ISMS 인증의무 대상을 "전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자"(제47조 제2항)라고 넓혀 정보통신망을 이용하는 비영리법인인 학교나 병원, 단순 홍보나 채용 목적으로 홈페이지를 운영하는 오프라인 업체도 해당될 수 있는 근거를 마련했고, 기존 "정보통신서비스 부문 전년도 매출액 100억 원 이상" 외에 "연간 매출액 또는 세입 등이 1,500억 원 이상"(제47조 제2항 제3호)을 추가함으로써 인증의무 대상이 크게 늘었다.



             [그림] ISMS 인증 마크

지난 2월에 발표된 이 법의 시행령 개정안에서는 인증의무 대상을 개정법의 기준을 충족하면서 (1) 「의료법」 제3조 제2항에 따른 의료기관 (2) 「전자금융거래법」 제2조의3에 따른 금융회사 (3) 전년도 말 기준 직전 3개월간의 하루 평균 이용자 수가 1만 명 이상의 세 조건 중 하나에 해당하는 사업자로 제한하였다. 이에 따르면 매출액 1,500억 원 이상인 병원이나 금융회사는 인증의무 대상자가 된다. 3번 기준은 직관적으로 읽히는 '순방문자 수'(UV: Unique Visitor)가 아니라 설명회에서 밝힌 대로 '페이지 열람 수'(PV: Page View)라고 한다면 홈페이지가 있는 매출액 1,500억 원 이상인 많은 회사들이 이에 해당할 것으로 보인다. 게다가 법인에서 운영하는 모든 사이트의 PV를 합산한다고 하니 '제한'의 의미는 훨씬 떨어진다. 다만 미래부에서 의견 제출 기간 동안 받은 의견을 반영하여 인증의무 대상자를 조정할 의지를 표명하였으므로 인증의무 대상이 현 시행령 개정안보다는 줄어들 가능성이 있다.

ISMS 인증을 받는 목적은 다음 3가지로 나눌 수 있다.
(1) 규제 대응 (법규 준수)
(2) 정보보호 이미지 제고 (정보보호 소홀 이미지 방지)
(3) 정보보호 수준의 객관적 평가와 실질적인 향상

(이에 관해서는 [강은성의 CISO 스토리] 정보보호 인증과 정보보호 수준을 참고하기 바란다)

(1)을 위해서는 정보보호를 위한 관리체계를 수립하고, 운영의 증적을 확보하는 것이 중점이 되고, (3)을 위해서는 관리체계를 수립하고 이를 기반으로 실제 보안위험을 체계적, 지속적으로 줄여나가는 것에 중점을 두게 된다. (1)을 인증의 최소 목표로 본다면 (3)을 최대 목표로 볼 수도 있다. 당연히 (3)을 목표로 하는 것이 바람직하지만 기존 업무에 치이면서 인증을 준비하다 보면 어느새 (1)을 목표로 하는 길에 들어선 자신을 발견하게 된다.

ISMS 인증을 처음 준비할 때 핵심 관심사 중의 하나는 인증컨설팅을 받아야 하느냐는 점이다. 인증컨설팅을 받으려면 적지 않은 예산이 들어가기 때문이다. 무조건 인증컨설팅을 받으라고 하는 것도 적절하지 않지만, 보안인력 2~3명만 있으면 컨설팅이 필요 없다는 주장을 일반화하는 것 또한 무리다.

ISMS 인증심사에서는 관련 법과 함께 'ISMS 인증기준 세부점검항목(2013.5.15)'을 기준으로 진행된다. 이것은 104개 '통제항목'과 253개 '점검항목'으로 구성되어 있는데, 인증심사 기준을 충족하지 못했을 때 심사팀이 작성하는 '결함보고서'는 '통제내용' 기준으로 작성하지만, '점검항목'을 기준으로 심사하기 때문에 이에 대비해야 한다. '설명' 항목은 예시나 참고할 내용이므로 반드시 이대로 할 필요는 없다. 또한 'ISMS 인증제도 안내서'(2016)에서는 심사절차와 준비문서를 설명하고 있다. 인증 준비와 자체 수행 가능성을 판단하기 위해 필독해야 할 문서다. KISA의 ISMS 자료실에는 이 두 문서뿐 아니라 가보면 참고할 만한 자료가 있다. 궁금한 점이 있다면 isms@kisa.or.kr로 질문하는 것도 좋다.

필자가 맡고 있던 정보보호 조직에는 10여 명이 있었고, 보안컨설팅 업체 출신이나 인증심사원 자격증이 있는 인력들이 있었지만, ISMS 인증취득 때 컨설팅을 받았다. 일차적으로는 그 인력들이 기존 업무가 있어서 인증심사 준비를 전담할 수 있는 상황이 아니었기 때문이다. 심사까지 대비한 인터뷰 인력 선정과 일정 잡기, 나온 이슈들 처리, 보안대책에 관한 컨설팅 및 현업과의 협업 등 할 일이 적지 않다. 컨설팅의 결과물은 보고서와 (일부) ISMS 운영 증적이지만, 컨설팅을 받는 1차 목적은 인증 취득이라는 점을 항상 염두에 둬야 한다. 처음 ISMS 인증을 받는 업체라면 인증컨설팅을 받으면서 노하우를 쌓고 ISMS 심사원 인력도 양성하여 이후를 대비하는 것이 좋지 않을까 싶다.


ISMS 인증취득을 위해서는 전사 관련 조직이 함께 움직여야 하므로, 다음 몇 가지를 적극적으로 추진하는 게 좋겠다.

첫째, ISMS 인증은 IT운영, IT개발 조직은 물론이고 정보보호 정책ㆍ지침, 인적 보안, 물리적 보안 담당 조직 등이 협업이 이뤄져야 하므로 최고경영진(CxO)의 의사결정이 필요하다. 또한 한번 인증을 취득하는 것으로 끝나는 것이 아니라 사후심사, 갱신심사를 통해 관리체계가 지속해서 운영되어야 한다는 점을 경영진이 인식할 수 있도록 보고하고 승인을 받는다.

둘째, 인증 준비과정 또는 취득 이후에도 경영진 및 관련 조직과 의사소통을 잘 해야 한다. 인증취득 과정을 통해 실제 회사와 사업의 보안위험을 어느 정도 줄였는지, 보안취약점 같은 기술 언어가 아니라 경영의 언어로 소통할 필요가 있다. 또한 인증취득은 법에서 요구하는 최소한의 요건이므로 앞으로도 보안위험을 탐지, 관리, 경감시켜 나가야 함도 밝힌다. 협업 측면에서 보면 IT조직은 인증취득을 위해 업무를 많이 했는데, 결국 성과는 정보보호조직에 가져간다는 생각을 가질 수 있다. 경영진 보고나 임원회의, 주례보고 등에서 IT조직의 기여를 충분히 인정받을 수 있는 방법을 찾아야 한다.

셋째, 일상적으로 발생하는 정보보호 업무를 그대로 수행하면서 인증심사를 준비, 대응하기는 쉽지 않다. 특히 인증준비를 자체적으로 하기로 했다면 이를 전담할 인력을 최소 2~3명은 확보하고 TF를 꾸리는 것이 필요하다. 경영진의 승인을 통해 업무 우선순위 조정이 필요한 대목이다. ISMS 인증을 지속해서 유지해야 하므로 가능한 대로 관리체계에 대한 지식과 경험이 있는 인력을 확보한다. 자체 인력이 심사원 자격증을 따고 외부심사 경험을 가질 수 있도록 팀에서 지원하는 것도 좋은 방법이다.

인증준비를 위해 보안실무자들에게 다음 몇 가지를 권하고 싶다.

첫째, 모의심사다. 실제 심사경험이 있는 인력의 도움을 받아 심사원들의 관점을 이해하고 질문을 경험하면 담당자의 실수를 줄일 수 있다. 자체적으로 인증심사 준비를 하는 회사도 모의심사는 심사경험 인력을 확보하여 진행할 것을 권한다.

둘째, 회사의 정보보호 현황을 있는 그대로 파악하기 위해 노력한다. 보안위험은 알면 관리할 수 있기 때문이다. ISMS 심사 준비는 좋은 기회다. 특히 담당 인력 인터뷰를 할 때는 가능하면 보안실무자들이 참여하기 바란다. 보고서에서는 얻을 수 없는 얘기를 들을 수 있다. 혹시 몰랐던 다른 조직 실무자들과 얼굴과 업무를 익힐 수 있는 기회이기도 하다.

셋째, 근본적인 보안대책을 세우도록 노력한다. 현업과도 함께한다. 인증을 받기 위해 '증적' 위주의 대책만 세우면 관련 조직에서 앞으로도 보안을 그런 식으로 '대응'하려고 할 수 있다. 어쩔 수 없는 경우에는 인증을 위해 단기 대책을 세우지만 언제나 ISMS인증 취득의 목적을 주관조직에서 잊지 말아야 한다.

넷째, 같은 업종의 보안실무자들끼리 인증취득 관련 정보교환을 하는 것이 좋겠다. 다른 업종도 도움이 많이 된다. 접한 심사원들에 따라 차이가 있을 수 있다는 점도 염두에 둔다.

설명회에서 만난 보안실무자들은 걱정이 많았다. 하지만 ISMS 인증 취득은 위기이자 기회다. 회사 안팎에서 협업하여 회사의 보안인식과 보안수준, 보안업무 환경을 크게 개선하는 기회로 삼기를 바란다.

*강은성 대표는 소프트웨어 개발자로 시작하여 국내 최대 보안전문업체에서 연구소장과 시큐리티대응센터장을 거치고, 인터넷 포털회사에서 최고보안책임자(CSO)를 역임한 국내 최고의 보안전문가다. 그는 대기업 임원으로서 기업보안을 책임졌던 리더십과 보안 현업에서 얻은 풍부한 관리적ㆍ기술적 경험, 수사기관과 소송에 대응했던 위기관리 경험을 토대로 실효성 있는 기업보안 거버넌스와 보안위험 관리, 정보보호대책을 제안하고 있다. 지금은 CISO Lab을 설립하여 기업 차원의 보안위험 대응 전략을 탐구하여 기업 보안컨설팅과 보안교육을 진행하고 있으며, 저서로 IT시큐리티(한울, 2009)와 CxO가 알아야 할 정보보안(한빛미디어, 2015)가 있다. ciokr@idg.co.kr
 



2016.04.14

강은성의 보안 아키텍트 | ISMS 인증제도와 심사 대비

강은성 | CIO KR
지난 3월 23일에 1천 석 규모의 코엑스 오디토리움홀이 정보보호 분야에서 일하는 사람들로 가득 찼다. 한국인터넷진흥원(KISA)에서 주최한 '정보보호 관리체계(ISMS) 인증제도 설명회' 자리였는데. 참석자들의 관심을 반영하듯 질문도 수십 개가 쏟아졌다.

이토록 설명회가 성황을 이룬 것은 작년 12월에 개정된 정보통신망법 덕분이다. 여기에서 ISMS 인증의무 대상을 "전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자"(제47조 제2항)라고 넓혀 정보통신망을 이용하는 비영리법인인 학교나 병원, 단순 홍보나 채용 목적으로 홈페이지를 운영하는 오프라인 업체도 해당될 수 있는 근거를 마련했고, 기존 "정보통신서비스 부문 전년도 매출액 100억 원 이상" 외에 "연간 매출액 또는 세입 등이 1,500억 원 이상"(제47조 제2항 제3호)을 추가함으로써 인증의무 대상이 크게 늘었다.



             [그림] ISMS 인증 마크

지난 2월에 발표된 이 법의 시행령 개정안에서는 인증의무 대상을 개정법의 기준을 충족하면서 (1) 「의료법」 제3조 제2항에 따른 의료기관 (2) 「전자금융거래법」 제2조의3에 따른 금융회사 (3) 전년도 말 기준 직전 3개월간의 하루 평균 이용자 수가 1만 명 이상의 세 조건 중 하나에 해당하는 사업자로 제한하였다. 이에 따르면 매출액 1,500억 원 이상인 병원이나 금융회사는 인증의무 대상자가 된다. 3번 기준은 직관적으로 읽히는 '순방문자 수'(UV: Unique Visitor)가 아니라 설명회에서 밝힌 대로 '페이지 열람 수'(PV: Page View)라고 한다면 홈페이지가 있는 매출액 1,500억 원 이상인 많은 회사들이 이에 해당할 것으로 보인다. 게다가 법인에서 운영하는 모든 사이트의 PV를 합산한다고 하니 '제한'의 의미는 훨씬 떨어진다. 다만 미래부에서 의견 제출 기간 동안 받은 의견을 반영하여 인증의무 대상자를 조정할 의지를 표명하였으므로 인증의무 대상이 현 시행령 개정안보다는 줄어들 가능성이 있다.

ISMS 인증을 받는 목적은 다음 3가지로 나눌 수 있다.
(1) 규제 대응 (법규 준수)
(2) 정보보호 이미지 제고 (정보보호 소홀 이미지 방지)
(3) 정보보호 수준의 객관적 평가와 실질적인 향상

(이에 관해서는 [강은성의 CISO 스토리] 정보보호 인증과 정보보호 수준을 참고하기 바란다)

(1)을 위해서는 정보보호를 위한 관리체계를 수립하고, 운영의 증적을 확보하는 것이 중점이 되고, (3)을 위해서는 관리체계를 수립하고 이를 기반으로 실제 보안위험을 체계적, 지속적으로 줄여나가는 것에 중점을 두게 된다. (1)을 인증의 최소 목표로 본다면 (3)을 최대 목표로 볼 수도 있다. 당연히 (3)을 목표로 하는 것이 바람직하지만 기존 업무에 치이면서 인증을 준비하다 보면 어느새 (1)을 목표로 하는 길에 들어선 자신을 발견하게 된다.

ISMS 인증을 처음 준비할 때 핵심 관심사 중의 하나는 인증컨설팅을 받아야 하느냐는 점이다. 인증컨설팅을 받으려면 적지 않은 예산이 들어가기 때문이다. 무조건 인증컨설팅을 받으라고 하는 것도 적절하지 않지만, 보안인력 2~3명만 있으면 컨설팅이 필요 없다는 주장을 일반화하는 것 또한 무리다.

ISMS 인증심사에서는 관련 법과 함께 'ISMS 인증기준 세부점검항목(2013.5.15)'을 기준으로 진행된다. 이것은 104개 '통제항목'과 253개 '점검항목'으로 구성되어 있는데, 인증심사 기준을 충족하지 못했을 때 심사팀이 작성하는 '결함보고서'는 '통제내용' 기준으로 작성하지만, '점검항목'을 기준으로 심사하기 때문에 이에 대비해야 한다. '설명' 항목은 예시나 참고할 내용이므로 반드시 이대로 할 필요는 없다. 또한 'ISMS 인증제도 안내서'(2016)에서는 심사절차와 준비문서를 설명하고 있다. 인증 준비와 자체 수행 가능성을 판단하기 위해 필독해야 할 문서다. KISA의 ISMS 자료실에는 이 두 문서뿐 아니라 가보면 참고할 만한 자료가 있다. 궁금한 점이 있다면 isms@kisa.or.kr로 질문하는 것도 좋다.

필자가 맡고 있던 정보보호 조직에는 10여 명이 있었고, 보안컨설팅 업체 출신이나 인증심사원 자격증이 있는 인력들이 있었지만, ISMS 인증취득 때 컨설팅을 받았다. 일차적으로는 그 인력들이 기존 업무가 있어서 인증심사 준비를 전담할 수 있는 상황이 아니었기 때문이다. 심사까지 대비한 인터뷰 인력 선정과 일정 잡기, 나온 이슈들 처리, 보안대책에 관한 컨설팅 및 현업과의 협업 등 할 일이 적지 않다. 컨설팅의 결과물은 보고서와 (일부) ISMS 운영 증적이지만, 컨설팅을 받는 1차 목적은 인증 취득이라는 점을 항상 염두에 둬야 한다. 처음 ISMS 인증을 받는 업체라면 인증컨설팅을 받으면서 노하우를 쌓고 ISMS 심사원 인력도 양성하여 이후를 대비하는 것이 좋지 않을까 싶다.


ISMS 인증취득을 위해서는 전사 관련 조직이 함께 움직여야 하므로, 다음 몇 가지를 적극적으로 추진하는 게 좋겠다.

첫째, ISMS 인증은 IT운영, IT개발 조직은 물론이고 정보보호 정책ㆍ지침, 인적 보안, 물리적 보안 담당 조직 등이 협업이 이뤄져야 하므로 최고경영진(CxO)의 의사결정이 필요하다. 또한 한번 인증을 취득하는 것으로 끝나는 것이 아니라 사후심사, 갱신심사를 통해 관리체계가 지속해서 운영되어야 한다는 점을 경영진이 인식할 수 있도록 보고하고 승인을 받는다.

둘째, 인증 준비과정 또는 취득 이후에도 경영진 및 관련 조직과 의사소통을 잘 해야 한다. 인증취득 과정을 통해 실제 회사와 사업의 보안위험을 어느 정도 줄였는지, 보안취약점 같은 기술 언어가 아니라 경영의 언어로 소통할 필요가 있다. 또한 인증취득은 법에서 요구하는 최소한의 요건이므로 앞으로도 보안위험을 탐지, 관리, 경감시켜 나가야 함도 밝힌다. 협업 측면에서 보면 IT조직은 인증취득을 위해 업무를 많이 했는데, 결국 성과는 정보보호조직에 가져간다는 생각을 가질 수 있다. 경영진 보고나 임원회의, 주례보고 등에서 IT조직의 기여를 충분히 인정받을 수 있는 방법을 찾아야 한다.

셋째, 일상적으로 발생하는 정보보호 업무를 그대로 수행하면서 인증심사를 준비, 대응하기는 쉽지 않다. 특히 인증준비를 자체적으로 하기로 했다면 이를 전담할 인력을 최소 2~3명은 확보하고 TF를 꾸리는 것이 필요하다. 경영진의 승인을 통해 업무 우선순위 조정이 필요한 대목이다. ISMS 인증을 지속해서 유지해야 하므로 가능한 대로 관리체계에 대한 지식과 경험이 있는 인력을 확보한다. 자체 인력이 심사원 자격증을 따고 외부심사 경험을 가질 수 있도록 팀에서 지원하는 것도 좋은 방법이다.

인증준비를 위해 보안실무자들에게 다음 몇 가지를 권하고 싶다.

첫째, 모의심사다. 실제 심사경험이 있는 인력의 도움을 받아 심사원들의 관점을 이해하고 질문을 경험하면 담당자의 실수를 줄일 수 있다. 자체적으로 인증심사 준비를 하는 회사도 모의심사는 심사경험 인력을 확보하여 진행할 것을 권한다.

둘째, 회사의 정보보호 현황을 있는 그대로 파악하기 위해 노력한다. 보안위험은 알면 관리할 수 있기 때문이다. ISMS 심사 준비는 좋은 기회다. 특히 담당 인력 인터뷰를 할 때는 가능하면 보안실무자들이 참여하기 바란다. 보고서에서는 얻을 수 없는 얘기를 들을 수 있다. 혹시 몰랐던 다른 조직 실무자들과 얼굴과 업무를 익힐 수 있는 기회이기도 하다.

셋째, 근본적인 보안대책을 세우도록 노력한다. 현업과도 함께한다. 인증을 받기 위해 '증적' 위주의 대책만 세우면 관련 조직에서 앞으로도 보안을 그런 식으로 '대응'하려고 할 수 있다. 어쩔 수 없는 경우에는 인증을 위해 단기 대책을 세우지만 언제나 ISMS인증 취득의 목적을 주관조직에서 잊지 말아야 한다.

넷째, 같은 업종의 보안실무자들끼리 인증취득 관련 정보교환을 하는 것이 좋겠다. 다른 업종도 도움이 많이 된다. 접한 심사원들에 따라 차이가 있을 수 있다는 점도 염두에 둔다.

설명회에서 만난 보안실무자들은 걱정이 많았다. 하지만 ISMS 인증 취득은 위기이자 기회다. 회사 안팎에서 협업하여 회사의 보안인식과 보안수준, 보안업무 환경을 크게 개선하는 기회로 삼기를 바란다.

*강은성 대표는 소프트웨어 개발자로 시작하여 국내 최대 보안전문업체에서 연구소장과 시큐리티대응센터장을 거치고, 인터넷 포털회사에서 최고보안책임자(CSO)를 역임한 국내 최고의 보안전문가다. 그는 대기업 임원으로서 기업보안을 책임졌던 리더십과 보안 현업에서 얻은 풍부한 관리적ㆍ기술적 경험, 수사기관과 소송에 대응했던 위기관리 경험을 토대로 실효성 있는 기업보안 거버넌스와 보안위험 관리, 정보보호대책을 제안하고 있다. 지금은 CISO Lab을 설립하여 기업 차원의 보안위험 대응 전략을 탐구하여 기업 보안컨설팅과 보안교육을 진행하고 있으며, 저서로 IT시큐리티(한울, 2009)와 CxO가 알아야 할 정보보안(한빛미디어, 2015)가 있다. ciokr@idg.co.kr
 

X