감성·열정·도전이 가득한 보안같지 않은 '보안이야기'

오늘의보안단상

카테고리	중요
제목	진짜 보안이야기 #39
작성자	onesecure
작성일자	2019-04-06
진짜 보안이야기 #39 ISO 27001 Management System이란 조직체가 방침, 목적 및 그 목적 달성을 위한 프로세스를 확립하기 위한 조직체의 상호 관련되거나 상호 작용하는 요소들의 세트를 말한다 그리고 ISMS(Information Security Management Systems)란 정보보호체계 경영시스템을 달성하기 위해 사용되는 Management System의 일부라고 정의할 수 있다. ISO 27001:2013과 K-ISMS, PUMS의 정체성과 관련하여 우리 사회가 다같이 생각하여야 할 문제는 다음과 같다. 앞으로 발생될 정보보호 관련 모든 규격을 KISA에서 관장할 것인가? 그것은 아닐것이다. 첫째, ISO 27001가 확산되면 K-ISMS,PIMS의 정체성 및 존립(운영) 명분이 약화될 가능성이 크다. K-ISMS,PIMS는 과학기술정보통신부 한국인터넷진흥원(KISA)과 방송통신위원회의 기준으로서 국제규격(기준)이 아니지만, ISO 27001은 명실상부한 국제규격이기 때문이다. 한국인터넷진흥원 K-ISMS, PIMS 인증에 대한 정체성을 바로 잡지 못하면, 자칫하면 정보보호시장에 큰 혼란을 초래할 수 있다. 둘째, ISO 27001:2013확산에 따른 K-ISMS, PIMS의 위상과 진로에 대한 본격적인 검토(모색)가 사회적 차원에서 시급하게 이루어져야 한다. 이 경우 K-ISMS, PIMS의 진로와 위상은 K-ISMS, PIMS에 대한 정책비전과 연계하여 판단할 필요가 있다. 그리고 정보보안 시장에 미치는 영향이 막대할 수 있음을 고려하여, 꿰어 맞추기식의 용역 또는 요식행위적 의견수렴이 아니라, 전문가, 관련 단체 및 노·사가 광범위하게 참여하는 가운데 실질적인 의견수렴과 토론이 반드시 이루어질 필요가 있다. ISO 27001:2013 인증과 K-ISMS, PIMS의 역할 ISO 27001 인증에 따른 K-ISMS, PIMS의 역할과 기능에 대해서는 다음과 같은 3가지 방안을 상정해볼 수 있다. <1안>KISA는 전문성과 공공성을 함께 갖춘 기관으로서 기관의 성격상 KISA가 ISO 27001 인증(Certification)기관 (심사등록기관)을 인정하는 기능에 대한 정합성 및 전체사업장을 대상으로 ISMS도입·운영을 지도하는 역할 등을 수행하는 방안을 생각해 볼 수 있다. 이 방안의 장점으로는 ① ISMS에 대한 Control Tower 역할(영향력 제고), ② ISMS 인증 저변 확산 촉진, ③ K-ISMS, PIMS 무관심 사업장 대상 ISO27001 도입·운영 활성화 등을 제시될 수 있다. 그리고 단점으로는 지금까지 수행해 온 K-ISMS, PIMS 인증과 단절된다는 점을 들 수 있다. < 2안 > K-ISMS인증기관에서 ISO 27001 인증기관으로 전환 KISA는 ISO 27001인증기관의 역할을 수행하되, 인증기준을 K-ISMS, PIMS 자체기준에서 ISO기준으로 변경(ISO 27001) 인증기관들 중의 하나의 기관으로 하는 방안을 생각할 수 있다. 이 방안의 장점으로는 ① 전문성과 공공성을 바탕으로 인증사업장을 중심으로 ISMS,PUMS의 질확보 선도, ② 기업체의 ISO 27001 인증수요와 조화 등을 들 수 있고, 단점으로는 ① ISMS 인증의 저변 확산 및 ISO 27001의 전체적인 활성화에 제약, ② 민간기관과 동일한 역할 수행(인증)에 따른 정체성 혼란 등이 제시될 수 있다. < 3안 > K-ISMS를 존치하되, ISO 27001 내용 반영 ISO 27001의 기준을 충실히 반영하되, 우리나라 정보보호의 상황을 추가 반영한 K-ISMS, PIMS 자체기준을 존속·유지(현행 K-ISMS, PIMS 인증사업을 지속)하는 방안이다. 이 방안의 장점으로는, 전문성과 공공성을 바탕으로 인증사업장을 중심으로 K-ISMS, PIMS의 질 확보 선도를 들 수 있고, 단점으로는 ① 기업체의 ISO 27001 인증수요와 Mismatch(K-ISMS, PIMS 인증을 따로 받아야 하는 불편), ② 인증업무의 직접 수행에 따라 ISMS인증의 저변 확산 및 K-ISMS의 전체적인 활성화 제약 등을 제시할 수 있다. 대응방안 위에서 설명한 3가지 선택지에 대한 검토의견을 토대로 ISO 27001 인증에 따른 우리나라의 공공기관이 K-ISMS, PIMS와 관련하여 대처하여야 할 방향 또는 자세를 몇 가지 시론적으로 제시해 보고자 한다. 첫째, 한국인터넷진흥원(KISA)은 모름지기 K-ISMS와 관련해서도 공공기관의 특성에 부합하는 역할이 이루어져야 한다. 과학기술정보통신부의 사병이 아닌 사령관의 역할, 선수(player)가 아닌 감독 및 함께(With), 활기차게 사는 건강한 세상, 정보보호의 컨트롤타워로 부상해야 한다. 심판의 역할, 실무자(담당자)가 아닌 정보보호체계를 컨트롤 하는 leader로서의 역할을 수행하는 것이 보다 큰 효과를 거양할 수 있다. 우선적으로는, ISO 27001 이행에 따른 국내 정보보호체계 인증(K-ISMS, PIMS)규격을 제정할 때 산업통상자원부 기술표준원과 협의하여 동 규격의 제정 작업의 중심적인 역할을 하는 것이야말로 공공기관으로서 정작 한국인터넷진흥원(KISA)이 수행하여야 역할이라고 생각된다. 둘째, 공공기관이 인증기관 역할을 하는 것은 한국인터넷진흥원의 큰 consulting market이 될 수 있는 인증시장의 발달에 오히려 걸림돌이 되거나 이를 구축(crowding-out)하는 부작용을 초래할 수 있다. ISO 27001을 이행되면 ISMS 인증을 받고자 하는 기업의 입장에서는, 한국인터넷진흥원이 자체 인증기준을 운영하더라도, 종전보다 더 한국인터넷진흥윈(K-ISMS,PIMS) 규격이 아니라 ISO 27001의 인증을 선호할 것으로 예상된다. 그렇게 되면 기업의 한국인터넷진흥원 K-ISMS 규격 인증에 대한 수요(K-ISMS,PIMS 인증기업)는 지금보다 더욱 감소하여, 결과적으로 ISMS 인증시장에서의 한국인터넷진흥원의 영향력과 입지는 더욱 줄어들 것으로 예상된다. 그리고 만약 K-ISMS나 PIMS인증을 이미 받았거나 앞으로 글로벌사업장에 대한 정보보호 인증을 추가적으로 받도록 하게 하면, 기업 입장에서는 결과적으로 2개의 인증기준을 적용받게 됨에 따라 K-ISMS, PIMS를 운영하는 과정에 적지 않은 혼란이 초래될 수 있어, 한국인터넷진흥원(KISA)은 “무엇을 위한 인증인가.” 또는 “누구를 위한 인증인가.”라는 비판에서 벗어날 수 없게 될 것이다. 셋째, 인증 대상 사업장(기업)이 아니라 전국의 모든 사업장(기업)을 시야에 넣고 전국 단위의 활동을 하는 것이 ISMS의 활성화에 큰 기여를 할 수 있다. K-ISMS, PIMS 인증만을 목적으로 생각하는 것은 바람직하지 않고, 정보보호 컨트롤 타워로서의 활성화가 공공기관의 주된 역할로 생각하여야 할 것이다. 넷째, K-ISMS, PIMS에 대한 사업장(기업) 및 한국인터넷진흥원(KISA)의 역할 제고를 위해서는, 특히 정부에 대한 ISMS 전문성과 적극적 역할이 필수불가결하다. 현재 K-ISMS, PIMS와 관련해서는 인증서 발급을 해놓고 정보보안사고나 정보유출시 아무런 역할을 하지 않고 있어 존재감이 보이지 않는다. 선진국의 예로 보더라도, ISMS의 활성화 및 내실화를 위해서는 인증기관, 한국인터넷진흥원 (KISA)의 역할과 공공기관으로서의 할 역할이 막중하기 때문이다.
첨부파일