자동차 연비 등급을 매기듯이 민간 자율로 보안성을 평가해 등급을 매기는 '정보보호 준비도 평가'가 시행을 앞두고 있다.
일각에서는 기존 정보보호관리체계(ISMS), 개인정보보호관리체계(PIMS), 개인정보보호인증(PIPL) 등 여러 보안 관련 인증들을 받고 있는 상황에서 또 다시 새로운 인증을 받아야 하는 것이냐는 담당자들의 우려섞인 목소리가 나오기도 한다.
그러나 실제로 유통, ICT, 교육 분야에서 각각 정보보호 준비도 평가를 모의 수행해 본 기업, 대학들은 자율적으로 평가를 진행하는 만큼 그동안 '예/아니오' 식으로 이뤄졌던 다른 인증 방식에 비해 자체 보안 역량을 점검할 수 있다는 기회가 됐다는 평가다.
29일 서울 역삼동 한국기술센터에서 한국정보방송통신대연합(ICT대연합) 주최로 열린 '정보보호 준비도 평가 출범식'에서는 쿠팡, 하우리, 서울디지털대학교가 각각 정보보호 준비도 평가를 모의 수행한 결과에 대해 발표했다.
김창오 쿠팡 인증감사팀장은 다른 인증방식들에 비해 정량적으로 우리 회사가 보안성과 관련 어느 위치에 와있는지를 판단하고, 보완해야 하는 항목을 찾아낼 수 있었다는 점에서 해당 제도를 긍정적으로 평가했다.
준비도 평가는 정보보호리더십, 정보보호 자원관리를 평가하는 '기반지표', 기술적, 관리적, 물리적 보호활동에 대한 내용을 평가하는 '활동지표', 개인정보보호와 관련한 '선택지표'로 분류된다.
평가는 각 지표별 질문사항에 대해 신청한 기업/기관이 자체적으로 점수를 매기는 방식으로 진행된다. 이후 심사원이 해당 항목에 대한 검토를 거쳐 객관성을 유지하도록 했다. 기존 인증이 약 1천만원 이상 비용이 드는 반면 절반 수준으로 비용을 낮췄고, 평가기간역시 2일~3일이 걸린다.
김 팀장은 공부도 스스로 해야지 느는 것처럼 ISMS와 같이 의무로 받아야 하는 인증과 달리 기업 스스로 보안 측면에서 부족한 부분을 빠르게 점검해 내부 보안관리수준에 반영할 수 있었다고 설명했다.
쿠팡과 같은 전자상거래회사들은 많은 파트너 회사들을 확보하고 있다. 이들에 대한 보안점검 역시 필수다. 김 팀장은 올해도 65개 파트너 회사들에 대해 보안성을 확인했다고 밝혔다. 이들 파트너 회사들은 쿠팡 뿐만 아니라 다른 소셜커머스, 오픈마켓에서 자신들의 제품을 판매한다.
따라서 쿠팡 외에 다른 여러 전자상거래회사들로부터 검증을 받아야 할 경우 업무가 중복된다. 이에 대한 해결책으로 정보보호 준비도 평가를 파트너 회사들이 일정한 보안수준을 갖추고 있는지 평가할 수 있는 공통지표로 활용하는 방안을 고려해볼 수 있다고 그는 덧붙였다.
교육 분야에서는 서울디지털대학교가 준비도 평가를 모의 수행했다. 최성우 서울디지털대학 교육정보개발센터 정보관리팀장은 ISMS를 운영하면서 나왔던 공통적인 보안 결함 사항들을 4시간만에 준비도 평가를 통해 찾아낼 수 있었다고 밝혔다.
그는 특히 다른 인증은 보고서 형태로 제공되기 때문에 보안담당자나 인증관련 전문가가 보지 않고서는 내용을 알기 어려운 반면 준비도 평가는 점수로 매겨지기 때문에 대학 총장, 기업 사장과 임원들이 보안수준을 보다 쉽게 파악할 수 있다는 점이 장점이라고 밝혔다.
준비도 평가를 통해 여전히 기업 경영진들의 참여가 필요하고, 여러 기업들의 다양한 특성을 고려할 필요가 있다는 의견도 제시됐다.
ICT쪽에서는 보안회사 하우리가 준비도 평가를 수행했다. 김의탁 하우리 연구소장은 모의 수행 결과 대부분 다른 평가지표에서는 기준을 통과했지만 기반지표 일부 항목에서 과락을 받아 등급을 받지는 못했다며 결국 준비도 평가는 회사 경영진의 참여, 인식전환을 위한 노력이 핵심이라고 밝혔다. 기반지표에는 정보보호리더십이라는 항목이 포함된다.
김 소장은 또한 보안회사의 경우 이미 회사 내에 보안전문인력이 있는데도 불구하고, 외부 전문가를 통해 항목을 평가해야 하는 대목은 개선이 필요하다고 설명했다. 예를 들어 소프트웨어 개발 단계에서부터 보안성을 검토하는 '시큐어코딩' 관련 전문교육이 필요하다는 항목에 대해서는 이미 외부 강의가 가능한 전문가가 있는데도 외부자원을 통해 평가를 받아야 하는지 의문이라는 설명이다.
그는 ICT분야에서는 중소기업의 형태가 너무 다양하기 때문에 업체 특성을 고려하지 않고, 보안성 위주 항목들만 나열할 경우 평가가 어려워질 수 있다고 덧붙였다.
일종의 컴플라이언스(규제)로 작동하고 있는 다른 인증들은 주로 대기업이나 규모가 있는 사업자들이 수행해 왔다. 문제는 보안의 사각지대로 남아있는 중소, 중견기업 등에 대해서도 보안성을 검토할 수 있는 방안이 필요하다는 점이다.
준비도 평가는 자발적으로 보안성을 검토하고, 보완할 수 있다는 점에서 기존 정보보호 인증을 받은 대기업은 물론 중소, 중견기업들까지 폭넓게 활용할 수 있다는 장점이 있다. 이 제도가 안착하기 위해서는 각 분야별 여건을 고려한 평가의 최적화와 함께 얼마나 많은 기업/기관들이 자발적으로 참여할 수 있는가에 달렸다.
관련기사
- "국내 ISMS, 분야별 통제 항목 추가 필요"2014.10.30
- 車 연비처럼 '정보보호준비도' 평가한다2014.10.30
- ‘정보보호 준비도 평가’ 기술설명회 13일 개최2014.10.30
- ISMS 인증 의무대상자 확대 법안 발의2014.10.30
정보보호 준비도 평가 심의위원장을 맡고 있는 염흥열 순천향대 정보보호학과 교수는 평가대상을 일반 기업에서 금융, 에너지 등 특정 분야 기업으로까지 확산 적용시킬 필요가 있다며 공통평가기준에서 섹터별 세부평가 기준을 추가로 마련해야 한다고 말했다.
현재 정보보호 준비도 평가는 ICT대연합이 인증기관을 맡고, 한국정보통신기술협회(TTA), 한국정보통신진흥협회(KAIT), 한국침해사고대응팀협의회(CONCERT) 3개 평가기관이 평가를 진행한다.