엔시스의 정보보호(보안) 따라잡기

나이 불혹이 되어서야 깨달음이 하나 더 생겼다. 그나마 지금이라도 깨달을수 있다는 사실에 감사한다. 그것은 바로 '독서'의 필요성이다.,


독서가 왜 필요한가?

지금까지 그냥 말로만 하는 독서를 하였다. 정말 창피한 이야기지만 일년에 책 읽는 수가 그리 많지 않았고, 인스턴트적인 책읽기만 하였다. 그런데 독서를 함으로 인하여 사유와 어휘가 늘어간다는 사실을 깨닭게 된 것이다. 우리는 말을 한다고 해서 모든 것이 말이 아니고 글을 쓴다고 해서 모든 것이 글이라고 생각하면 오산이다. 얼마나 말을 조리있게 하고 얼마나 글을 조리있게 쓰는 것은 많은 어휘력이 있어야 하고 그 문장에 맥락을 잘 조절하는 문맥의 논리성도 가져야 하는것이다. 그것을 불혹이 되어서야 깨달았고 필요성을 느꼈단 말이다. 실로 부끄러운 일이 아닐수 없다. 하지만 늘 그렇지만 죽을때까지 자신이 깨닭지 못하고 살아가는 진실도 많기에 한개라도 깨달았기 때문에 다행이라 생각한다.



독서습간 들이는데 1년이란 시간이 필요했다.

독서는 습관이라는 생각이 든다. 책이라는 것은 늘 가까이 해야 하고 늘 가방에 자신의 근거리에 있어야 책을 읽게 되는 것이다. 책읽기 즉, 독서의 제일 적은 바로 '시간이없다' 책 읽을 시간이 없다는 것이 최대 적이다. 필자도 그랬고 대부분 사람들이 책읽을 시간을 따로 마련해서 꼭 읽어야 한다고 생각을 한다. 그런데 그 습관을 지난 1년동안 만들어서 스스로 체화시킨 것이다. 나 자신도 그점에 대해서는 나에게 칭찬해 주고 싶다. 어느날 갑자기 책읽고 싶다고 해서 책 읽고, 읽기 싫다고해서 그만두는 것이 아닌 습관적으로 책을 가까이 하고 꾸준히 독서를 하는 습관이 중요한 것이다. 그 구체적인 방법에 대해서는 기회가 있을때 소개하도록 하겠다.



독서후의 나 자신 변화를 위한 내면화

책을 읽는다는 것은 기계적인 책 읽기나 그냥 베스트 셀러이기 때문에 그냥 읽고 나서 그 순간 감흥에 젖어, 혹은 감동으로 지나고 며칠이 지나면 그대로 머리속에서 사라져 버리는 그런 책읽기는 바람직 하지 않다.

독서는 먼저 문자를 읽고 거기서 담긴  저자의 생각과 사상, 지식을 지식을 이해해야한다. 그리고 이해한 것들을 기반으로 나를 변화시키는 내면화 과정을 거쳐야 한다.   -박경철 '자기혁명' p287

우연히도 내가 가지고 있던 생각이 유명한 저자의 책을 읽다가 위와 같은 생각의 일치로 나타날때 그 짜릿함이 있다. 나만 그렇게 생각하는 것이 아닌 저자도 그렇게 생각하는구나, 결국 나와 저자가 일치가 될때 자신도 저자와 동기화 되는 느낌을 가진다.

그렇게 하기 위하여 자신은 독서후에 저자가 던지 메세지를 통하여 자신이 스스로 변화하는 -무엇보다 실천이 중요하다- 모습을 상상하여 반드시 실천으로 옮겨 내면화 시키는 것이 독서의 목적이다. 그렇지 않을 경우에는 기계적인 책읽기에 불과하다.

그 일환으로 필자는 페이스북에서 [독.실.연] 독서실천연구모임이라고 해서 독서쇼셜 모임을  운영하고 있다. 다양한 사람들의 다양한 분야에 책 읽기를 통하여 자신이 어떻게 변화하고 어떻게 실천하는 지를 함께 공유하는 모임을 운영하고 있다.

그렇게 생각하게 된 이유는 우선 이런 모임을 운영함으로 인하여 나 자신에게 의무감을 부여함이고 실천력을 기르기 위한 하나의 방편이기도 하다. 또한 자신이 책읽기를 통하여 변화된 모습을 혼자만 알고 있는 것이 아닌 서로 공유함으로 인하여 타인도 함께 변화 할수 있는 도구로 책읽기를 권장하고 함께 성장해 가는 모습은 자신도 변화되고 타인도 변화시킬수 있는 모토를 가지고 있는 것이다.

2011년도 책읽기를 통하여 1주일에 1권 목표로 하여 50권에 도전을 하였는데 40권 읽었다. 목표량에 약 80%정도 도달한 셈이다. 여러분도 책을 읽어 보면 알겠지만 1주일에 1권 읽기가 만만치 않을 것이다. 하지만 1년동안 나 자신을 스스로 절제하고 통제함으로 인하여 독서 습관을 들여 이제는 체화가 되었다. 그 탄력으로 올해 목표는 우선 1주일에 1권 책 읽기 목표로 삼아 50권에 도전하지만 작년의 관성으로 인하여 목표의 150% 달성을 노력해 보려고 한다.

그리고 그 모든 책읽기 이후에 변화된 모습을 독서쇼셜모임인 [독실연] 에서 함꼐 행동하는 분들과 공유해 보고자 한다. 책읽기를 시작하시는 분이면 혼자보다는 함께 할수 있는 독실연에서 뵙길 바란다.

페이스북 독서실천연구모임
https://www.facebook.com/#!/groups/340691332627535/

                                                                <출처: 전자신문 2012.01.17일자>


1. 정보보호관리체계란?

정보보호의 목적인 정보자산의 비밀성, 무결성, 가용성을 실현하기 위한 절차와 과정을 체계적으로 수립ㆍ문서화 하고 지속적으로 관리ㆍ운영하는 시스템 즉 조직에 적합한 정보보호를 위해 정책 및 조직 수립, 위험관리, 대책구현, 사후관리 등의 정보보호관리과정을 통해 구현된 여러 정보보호대책들이 유기적으로 통합된 체계 (이하 “정보보호관리체계”라 한다)에 대하여 제3자의 인증기관(한국인터넷진흥원)이 객관적이고 독립적으로 평가하여 기준에 대한 적합 여부를 보증해주는 제도  - 출처: KISA 홈페이지


2. 왜 필요한가?

최근 들어 "왜"라는 단어와 "본질"이라는 단어에 많은 관심을 가지고 있다. 그럼 왜 "관리체계"가 필요한가?에 대한 본질적인 부분을 우리는 고민을 해야 한다. 그 부분을 심사를 하면서 느꼈던 생각을 고려하여 몇가지로 정리 해 보기로 하자.

• 기업과 조직의 입장
• 우선 기업이나 조직의 입장에서 관리체계 도입의 필요성은 그냥 단순히 도입하면 좋을것 같으니까 도입하는것이 아닌 뚜렷한 목적이 있어야 한다. KISA가 말하는 목적은 다음과 같다.
• 정보자산의 안전, 신뢰성 향상
• 정보보호관리에 대한 인식제고
• 국제적 신뢰도 향상
• 정보보호서비스 산업의 활성화
• 개인적인 입장
• 괸리체계를 도입하여 실제 사이클대로 움직여 본다면 전체적인 맥락에서 우리 기업에서 우리조직에서 정보를 보호해야 할 자산을 식별 할수 있고, 위험도를 산정하여 중요도를 체크하여 체계적인 관리를 함으로 인하여  갑작스러운 사고나 장애에 대비하여 즉각적인 대응시나리오를 관리 하는 방법을 숙지 할 수 있다.

3.  관리체계에는 어떤 것들이 있는가?

• 국제적
• ISO27001 : ISMS에 대한 국제적인 표준으로써 전세계 선진기업이 합의한 좋은 사례를 활용하여 조직이 정보보호 경영을 실행하기 위한 프레임웤을 확인하고 이를 자사에 적용할 수 있게 하는 인증체계를 말한다.
• 국내적
• K-ISMS : 방통위와 KISA에서 주관하는 ISMS로 민간에 적용되며 정보통신망 이용촉진 및 정보보호 등에 관한 법률”제47조
• “정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령”제50조
• 정보보호관리체계 인증 (제2010-3호) 법적근거를 가지고 있다.

                    ※ 정보보호관리체계 인증은 조직에서 정보보호관리를 위한 체계 수립 및 운영이 효율적일 수 있    
                        도 록   하는 방법으로 최선의 노력을 하고 있음을 확인하는 것으로 법적 책임과는 무관함

• G-ISMS : 공공기관에 적용되는 ISMS 제도

4. 연도별 인증서 발급현황

                                                               <출처: 한국인터넷진흥원>


2002년부터 발급을 시작해서 매년마다 점점 많은 수의 인증을 받고 있지만 총 10년에 걸쳐 126건 밖에 되지 않았다는 것은 그동안 얼마나 정보보호에 많은 무관심을 가지고 있는가에 대한 반증이기도 합니다. 그동안 ISMS 인증제도는 법적 의무사항이 아닌 권고 사항이었기 때문에 위와 같은 숫자가 나왔다고 하지만 보안에 대한 이슈는 점점 커지고 있어서 그 역할은 커지리라 생각이 듭니다.


5.  최근 시사점과 향후 방향

• 정보통신망법 개정
• 안전진단제도 폐지

• ‘12년도 안전진단 예비대상자는 370여개 업체로, 전년대비 25.4% 증가

  ※ (‘05) 142개 ➡ (’06) 160개 ➡ (’07) 207개 ➡ (’08) 232개 ➡ (’09) 247개 ➡ (’10) 272개 ➡ (’11) 292개 ➡ (’12) 370여개 예상
  
  안전진단 대상자가 점점 많아 짐으로 인하여 관리체계에 대한 법적 의무 시행 사업자도 증가할 전망.
  
  

• '13년도 관리체계 의무화
• 관리체계 의무화
• 개인정보보호법 시행에서도 느꼈지만 13년도 시행이면 ISMS의 경우에는 올 12년도에 이미 컨설팅이나 사전 준비작업에 들어가야 한다. 그렇지 못할 경우 자체적으로 정책 수립에서부터 끝까지 마무리 작업을 해야 하는 부담을 가진다. 하지만 대부분 초기 관리체계 수립은 컨설팅을 많이 받음으로 한꺼번에 몰릴 가능성이 있다.
• 또 한가지는 ISMS의 경우 관리체계 수립후 증적 사항을 수집하기 까지 오랜 시간이 걸린다. 컨설팅은 보통 빠르면 2-3개월에서 끝나지만 이에 따른 이행증적 사항은 6개월 정도 관리체계 사이클대로 움직일때 가능하다. 따라서 안전진단 해당 기업은 올해 부터 관심을 가져야 할 것이다.

• 기업 관리체계 담당 인력 및 보안 컨설팅 인력 수요급증
• 인력과 예산
• 정보통신망법 개정으로 인하여 올 7월1일부터 시행이 되고 '13년도에는 ISMS제도가 의무화가 됨에 따라서 안전진단 대상 기업에서는 ISMS 전담 인력을 따로 구성하는 것이 좋다. 또한 초기 컨설팅을 위한 예산 마련도 중요하겠다.  특히 취업을 하지 못한 예비 취업자나 이직자 그리고 컨설팅에 관심이 있는 사람이라면 "관리체계"에 대한 관심도 가져 보는 것이 좋겠다.
• 또한 이러한 관리쳬계 수립후에 이것을 체크리스트에 따라 인증하는 인증심사원에 대한 인력에 대한 부분도 수요가 늘어 날 것으로 전망된다. 따라서 기존 IT경력과 경험이 있는 그리고 인증 심사 스킬을 보유한 유능한 인증심사원등이 대거 등장하거나 많은 수요가 전망된다.

 

• KISA의 역할강화
• 기존 부서 역할증대
• 지금현재 관리체계에 대한 대부분 업무을 추진 하는 기관은 방통위 산하 '한국인터넷진흥원'에서 추진하고 있다. 이러한 시대적 요구사항에 있어 KISA 해당 부서에 대한 역할 강화가 필요 할 것으로 보인다. 그동안 추진해 왔던 경쟁력과 경험을 바탕으로 하여 보다 더 확대 적용 되기 위한 힘을 실어 주어야 한다.

맺음말

한국에 인터넷이 사용된지 이제 불과 15여년밖에 되지 않았다. 그동안 많은 성장을 이루었고, 대한민국은 그중에서도 IT인프라 강국으로 도약이 되었다. 필자도 초고속 인터넷 사업에 인프라 구축 PM도 하였고, 그 이후 대규모 서버들이 들어있는 집적정보통신시설이 들어 서고 각 통신사 및 이통사 데이터 센터가 건립이 되었다. 이러한 데이터 센터는 이제 각 기업마다 관리 포인트가 늘어남에 따라 자체 데이터센터를 보유하게 되었고, 장애시에 대비하여 복구센터도 갖추게 되었다.

특히 이러한 인프라를 기반으로 성장하는 대한민국에 순기능에 따른 역기능 또한 만만치 않아 잇따른 보안사건사고가 발생을 하고 특히 '11년 작년의 경우에는 금융권에서 대거 개인정보 유출 및 금융 보안 사건사고가 일어나면서 많은 보안이슈가 제기되기도 하였다.

IT보안은 이제 IT융합으로 갈 것이고 산업전반에 걸쳐 보안의 중요성은 점점 커질수 밖에 없다. 또한 최근 SNS와 스마트폰을 이용한 모바일 보안이 이제는 엔드유저단인 '사용자 보안'으로 그 바톤이 넘어가게 되었다.

이러한 보안적 이슈를 잘 해결하고 대응을 하기 위한 가장 기초적인 작업이 '체계적인관리'에는 누구나 공감대가 형성이 되었다. 따라서 국내 정보보호관리체계중에 하나인 ISMS에 대한 중요도가 높아지고 정부는 지금까지 권고사항에 그쳤던 ISMS제도를 법적 의무화와 규제를 함으로 인하여 보안성을 높이려 할 것이다.

이러한 관점에서 보았을때, 이제는 IT보안을 바라보는 시야를 조금 크게 바라 볼 필요가 있고 기업이나 조직의 전체적인 틀(Frame)안에서 기획,설계,수립해 나가야 하는 시기이다.

본 포스팅은 혹시나 ISMS인증심사에 관심이 있는 사람을 대상으로 하여 ISMS,PIMS인증심사를 하면서 느낀점과 향후 대응책에 대하여 알아 보았다.  미래를 보는 눈을 가진 사람이 유능한 사람이다. @엔시스.