방통위, ISMS 인증 확대 위한 활성화 방안 본격 추진

방송통신위원회(위원장 최시중, 이하 방통위) 주최로 27일 삼성동 코엑스 그랜드볼룸에서 개최된 ‘기업 성공비지니스를 위한 정보보호 대응 전략’ 세미나 토론회에 참가한 배영식 방통위 사무관은 “ISMS 인증을 확대하기 위한 추진방안이 마련된다”고 밝혔다.

활성화 추진방안을 살펴보면, △기업정보보호 인식제고 홍보기능 강화, △인증취득 기업에 대한 인센티브 확대, △기업의 정보보호 수준평가 및 등급제 검토 , △기술지원 강화 등이다.

뉴스출처: http://www.boannews.com/media/view.asp?idx=20626

이젠 정보보호관리체계 수립은 필수


어제 "보보톡" 인터넷 방송에서도 이야기 했지만 향후 보안에 대한 전반적인 프로세스 및 체계를 잡으려면 정보보호관리체계를 수립하는 것이 시급하다.

실제, 심사에서도 몇번 참여를 해 보았지만 우린 너무 기술적인 부분에만 급급한 나머지 제대로된 체계를 잡지 못하고 주먹 구구식으로 보안 정책을 운영해 온 것이 사실이다.


왜 정보보호관리체계를 수립해야 하는지에 대해서는 더이상 언급하지 않겠다. 자세한 내용은 다음 카테고리를 참고 하면 되겠다.

http://www.sis.pe.kr/category/Security%20%20ISMS


그럼 무엇이 문제인가?  바로 보안인식의 문제이다. 정보보호관리체계가 중요하다는 것은 알지만 그에 상응하는 보안인식도 부족할뿐아니라 실제 담당하고 있는 담당자도 상당한 업무를 요하기 때문이다.

현실적으로 보면 담당자가 ISMS 하나만 담당하는 경우는 드물다. 대부분 전산 담당이나 관련 업무이외에 또 다른 업무를 담당을 하다보니 그져 형식에 그치고 실제 ISMS 인증 심사시에만 준비를 하여 제대로 된 라이프 사이클이 돌고 있지 않는다.

그리고 15개 통제항목에 446개 세부 통제항목을 일반 중소기업에서 적용하기에는 다소 무리한 측면이 있다. 중소기업에 커스터마이징된 관리체계가 필요 할꺼 같고, 이는 심사에 참여 하면서도 관련 담당자에게 말한적도 있다.

다만, 사회적 분위기가 전반적으로 보안에 대한 인식이 투자보다는 비용이라는 측면이 강하고 사전에 예방을 함으로 인하여 만일의 경우에 잃을수 있는 신뢰와 이미지에 대한 산출이 쉽지 않고 당장 눈앞에 놓인 해결해야 할 사안이 우선이다 보니 우선순위에서 자꾸 밀리는 경향이 있다.

이는 예산 삭감이라는 철퇴를 맞으면 보안에 대한 관심은 점점 멀어진다. 이렇다 보니 담당자는 힘들수 밖에 없고, 혹여 침해사고나 외부로부터의 공격을 당하면 담당자의 문책과 처벌이 되다보니 상당히 기피 하는 현상이 생기게 된다.


늦은감이 없지만 ISMS 인증제도는 법률적 근거로 의무화가  되어야


사람이라는 것은 당장 발등에 불이 떨어지지 않으면 잘 하지 않게 된다. 대부분 심사를 나가보면 현장에서 하는 말은

 누구인들 보안 하고 싶지 않아서 하는게 아니다. 정보보호관리체계 수립하여야 한다는 필요성도 안다. 하지만 공감대 형성이 안되어 있고, 인력과 예산이 없어 못하는 경우가 많다.

그 이면에는 아마도 ISMS가 의무화 사항이 아닌 권고 사항이라는 이야기들도 있다. 권고는 말 그대로 해도 그만. 안해도 그만.  일정한 규모와 조직을 갖춘 기업이나 공공기관들은 반드시 ISMS 인증심사를 의무화 해야 한다.

개인정보보호법도 정책적 논리에 의하여 힘겨루기를 하다가 결국 무산이 되어 버렸다. 조금 확장하여 논리를 펴자면 "천안함" 이 바다에서 눈에 보이듯이 침몰하면 그 중요성은 크다. 당장 피해나 현실이 눈에 보이고 꽃다운 젊은 청춘들의 목숨을 빼앗아 갔으니까.

하지만 보안인식의 결여는 그 보다 더 큰 사이버 재앙을 불러 올것이다. 눈에 보이지 않는 곳으로 말이다. 침해사고나 외부로부터 침입을 당하고 나서야 재발방지차원에서 정책을 집행하는 것은 이미 늦은 행동이다. 그 보다 사전에 미연에 방지를 하기 위해선 보다  보안을 체계적으로 수립하고 관리할수 있는 정보보호관리체계(ISMS) 인증 심사제도를 의무화하는 날이 오길 기대해 본다. @엔시스.

* 뽀나스 포스팅 하나.

2009/09/22 - [Security ISMS] - 정보보호관리체계(ISMS) 인증심사는 어떻게 진행될까?

관련기사 중에서 대한항공, ISMS 적용해 종합적 위험 관리 가능해져