실시간 뉴스



[강은성의 CISO 스토리] 정보보호 인증에 대한 몇 가지 이슈와 바람


개인정보 유출 사고가 나면 정보보호 인증을 받은 회사인데 왜 사고가 났느냐, 부실하게 인증을 준 건 아니냐는 등의 비판이 나오는 경우가 있다. 한국인터넷진흥원(KISA) 소속의 고참 연구원을 포함해 정보보호 분야의 실력과 자부심을 함께 갖춘 인증심사팀으로부터 꼼꼼하고 예리한 심사를 거쳐 정보보호 관리체계(ISMS) 인증을 받았던 나로서는 선뜻 동의하기 어렵다.

컨설팅업체에서 인증 준비를 해 주고, 인증도 부여하는 ‘정보보호 안전진단’ 체계에서는 엄격한 인증심사 이뤄지기 어려운 측면이 있었지만, 2012년 2월 정보통신망법이 개정되면서 정보보호 안전진단이 폐지되고, 일정 규모 이상의 업체에 ISMS 인증이 의무화 된 뒤로는 상황이 많이 바뀌었다. ISMS에서는 KISA 인력을 팀장으로 하는 별도의 인증심사팀이 심사를 하고, 그 결과를 다시 전문가들로 구성된 인증위원회에서 심의를 거쳐 인증을 부여하기 때문에 인증심사팀 역시 심사를 소홀히 할 수 없는 구조가 갖춰져 있다. 게다가 2013년 5월에 ISMS 인증 세부 점검항목이 대폭 강화된 이후로는 인증을 받는 데 드는 기업의 노력이 크게 늘었다.

지난 4월에 열렸던 Privacy Global Edge(PGE) 2014 패널 토론에서 인증심사팀의 책임 문제에 대한 질문이 있었다. 인증을 받은 업체에서 보안사고가 날 경우에 인증을 부여해 준 심사원에게 책임이 있는 게 아니냐는 것이었다. 그 때 패널로 참석했던 정부 쪽 한 인사가. 인증대상에 취약점이 있는 것을 알고도 의도적으로 무시했거나 심사 의무를 과도하게 소홀히 한 경우가 아니라면 심사원에게 책임을 묻는 것은 적절하지 않다고 답했다. 그 답변에 전적으로 공감한다.

그러한 질문의 바탕에는 정보보호 인증에 대한 오해가 깔려 있는 듯하다. ISMS인증이나 개인정보보호 관리체계(PIMS) 인증, 개인정보보호 인증제(PIPL), ISO27001 등 ‘관리체계’ 인증은 보안취약점을 없애는 역할도 하지만, 날로 발전하는 보안위협에 대해 정보자산의 보안위험을 평가하고 그에 대한 정보보호 대책을 수립하여 시행하는 체계를 갖추는 것에 핵심 목적이 있다. 정보보호는 결국 기업 스스로 해 나가야 할 문제이기 때문이다. 인증의 의미와 효과를 과소 평가해서도 안되지만, 그것을 과대 평가하지도 말아야 한다.

한국정보화진흥원이 펴낸 ‘개인정보보호 인증(PIPL) 안내서’(2013.11)에는 “인증심사는 인증기준 및 법률 요구사항을 준수하기 위해 신청기관 스스로 구축한 개인정보 보호 관리체계의 적절성, 보호대책 구현에 대한 이행현황을 샘플링 기법으로 점검하는 과정”이기 때문에 “개인정보와 관련된 어떠한 침해나 유출사고가 발생하지 않는다는 것을 담보하는 것은 아니다”(4쪽)라고 인증의 의미를 정확하게 짚었다. 그럼에도 불구하고 안전행정부의 ‘개인정보 보호 인증제 운영에 관한 규정’ 고시 제29조(인증의 취소) 1항에 PIPL을 취소할 수 있는 사유로서 “거짓 혹은 부정한 방법으로 인증을 취득한 경우”(1호) 이외에도 “개인정보 유출ㆍ침해 사고가 발생한 경우”(2호)를 적시하였다.

개인정보 유출사고 발생 (미신고) ▲ PIMS 인증 부여 ▲개인정보 유출사고 보도 ▲PIMS 인증 취소로 이어졌던 2012년 8월 K통신사 개인정보 유출사고 당시의 곤혹스런 경험이 녹아 있지 않나 싶다.

하지만 그 경험을 고려한다 하더라도 위 2호의 취소 사유는 제외하는 것이 인증제의 취지와 정의에 부합하는 것으로 판단된다. 게다가 고시 제28조(인증취득기관의 혜택)에 PIPL을 취득한 기업에 주는 혜택을 규정한 것은 PIPL의 효과를 인정한 것인데 개인정보 사고라는 결과를 보고 인증을 취소하는 것은 적절하지 않은 것으로 보인다. 잘못하면 PIPL 인증을 제대로 받으면 개인정보 사고가 나지 않는다는 논리로 비칠 수도 있다.

정보보호 인증을 부여한 기업에 보안사고가 났다고 해서 이해관계자들이 인증기관을 거세게 비판하면 인증기관에서는 이미 사고가 난 기업의 정보보호 인증 신청을 받아 주지 않으려고 할 것이다. 부담스럽기 때문이다. 인증의 취지로 본다면 보안사고가 난 기업이야말로 인증을 빨리 받게 해서 사고 난 원인과 문제점을 파악하고 관리체계도 점검해야 하는데 말이다. 인증기관의 이해관계자들이 이를 고려해 줬으면 한다.

지난 칼럼에 쓴 대로 나는 우리 사회에서 정보보호 인증을 ‘중요한 건강검진’ 정도로 이해해 주면 좋겠다. 정보보호 인증을 취득한 뒤 개인정보 사고가 발생한 회사가 있다면 사고는 터졌지만 그래도 어느 정도 보안관리 체계는 갖춘 회사라고 인식해 주길 바란다. 그래야 수립한 관리체계를 기반으로 실질적인 정보보호 수준을 높이기 위해 해야 할 과제를 더 추진할 수 있다. ‘완벽한 인증’을 위해 시간과 노력을 너무 많이 쏟는 것은 별로 바람직하지 않다.

희망사항을 하나 더 추가한다면, 정보보호 인증 사이의 중복을 최소화 해 줬으면 하는 것이다. 인증제도를 만든 쪽에서는 인증 목적이나 범위, 대상이 다르기 때문에 중복되지 않는다고 한다. 일리가 있다. 하지만 현실에서는 그렇게 되지 않는다. PIMS 인증과 ISMS 인증은 인증 목적과 범위가 다른 인증이지만, 기업에서는 크게 보면 PIMS의 개인정보 생명주기를 제외하고는 두 인증을 위해 같은 부서, 같은 사람이 비슷한 내용을 준비한다. 한꺼번에 받는 게 효율적이라고 다들 말한다.

PIPL의 인증목적은 PIMS와 마찬가지로 ‘개인정보 보호’이지만 부처 간 협의를 통해 PIMS의 대상인 ‘정보통신서비스 제공자’는 인증대상에서 제외하였다. 잘된 일이다. 하지만 정작 정보통신서비스 사업자들은 비고객 정보나 영상정보 처리기기 등 정보통신망법에서 규정하지 않는 사항까지 포함하는 PIPL을 마냥 무시하기는 어려울 것이다. 게다가 개인정보보호법 소관부처인 안전행정부가 주관하는 인증이다. 한 발 더 나아가면 금융위원회에서 앞으로 제정하겠다고 발표한 금융 ISMS(F-ISMS) 인증이 실제로 생기면 금융회사들은 F-ISMS 인증만 받고, ISMS나 PIPL, PIMS 인증은 받지 않을 것인가?

금융위는 정보통신망법이 미래부와 방통위 소관이기 때문에 금융회사에는 적용되지 않는다고 하지만 미래부는 정보통신망법 상의 ISMS가 금융회사에도 적용된다고 명시하고 있고, 금융회사 중에는 개인정보 유출 민사소송에서 정보통신망법에 따라 손해배상 판결을 받은 경험이 있다. 결국 금융부문과 비금융부문을 막론하고 많은 기업들이 어떤 정보보호 인증을 받아야 할지 고민하게 될 것으로 예상된다.

정부에서 주관하는 정보보호 인증들은 기업 측면에서 중복되지 않게 해 주면 좋겠다. 예를 들어, 설명을 위해 아주 단순화 시키면 다음과 같이 표현할 수 있다.

Pm: PIMS 모듈. 현 PIMS 중 ISMS에 포함되지 않은 영역.

Fm: F-ISMS 모듈. F-ISMS 중 ISMS에 포함되지 않은 영역.

Lm: PIPL 모듈. 현 PIPL 중 PIMS에 포함되지 않은 영역

PIMS = ISMS + Pm.

PIPL(일정 규모 이상) = PIMS + Lm = ISMS + Pm + Lm.

F-ISMS = ISMS + Fm.

ISMS 인증을 받은 기업이 지금의 PIMS 인증을 받으려면 ISMS에 포함되지 않은 개인정보 생명주기 중심의 Pm 모듈만 추가해서 받고, PIMS 인증을 받은 회사는 비고객 정보 등 PIMS에 포함되지 않은 Lm 모듈 인증만 받으면 PIPL을 취득한다. (설명을 위해 단순화 시켰지만 PIPL을 받았다고 해서 PIMS를 받을 수 있는 것은 아니다) 기존 ISMS 인증이 있는 금융회사가 F-ISMS를 취득하려면 ISMS에 포함되어 있지 않은 금융모듈인 Fm 만 받는다. F-ISMS를 받은 금융기업은 그 안에 ISMS가 포함되어 있으므로 별도로 ISMS를 받을 필요가 없고, PIMS를 받으려면 역시 Pm만 받으면 된다. 물론 중소기업이나 소상공인은 해당 유형에 따른 현 PIPL을 받는다.

지금 있는 정보보호 인증 전체를 조정해야 하기 때문에 할 일이 많지만, 크게 이런 틀로 가면 정보보호 인증의 중복 투자를 방지하여 효율성과 효과성을 함께 누릴 수 있을 것 같다.

우리 사회의 정보보호 수준을 높이기 위해 힘써 온 한 사람으로서 최근 정보보호를 중시하는 사회 분위기가 반갑다. 기업이 필요한 여러 정보보호 인증을 적절한 투자로 취득할 수 있는 환경이 마련되고, 기업들은 실질적인 정보보호 수준 향상에 좀더 힘을 쓰면 더욱 좋겠다.

강은성

소프트웨어 개발자로 시작하여 보안전문업체에서 보안대응센터장, 연구소장을 거치고, 포털회사에서 최고보안책임자를 역임한 1세대 전문 CISO이다. 오랜 직장생활을 통해 개발, 사업, 프로세스, 보안 등 다양한 업무를 경험한 덕분에 보안 부서뿐 아니라 경영진, 현업, 스탭, 고객 등 다양한 관점에서 보안을 바라보고 소통하면서 회사의 보안 수준을 높이기 노력해 왔다. 이제 CISO Lab을 설립하여 기업 관점에서 정보보호 전략컨설팅, 자문, 교육 등을 통해 한국 사회의 보안 수준을 높이겠다는 포부를 가지고 활발한 활동을 벌이고 있다. 저서로 'IT시큐리티'(한울, 2009)가 있다.







alert

댓글 쓰기 제목 [강은성의 CISO 스토리] 정보보호 인증에 대한 몇 가지 이슈와 바람

댓글-

첫 번째 댓글을 작성해 보세요.

로딩중
포토뉴스