정보보호 각종 인증 후에 침해사고 당한다면?

Security ISMS 2010. 2. 11. 14:04

반응형

우린 어떠한 기준에 있어 최소한의 기준에 부합하면 그 기준을 통과 한것으로 간주를 한다. 이를 '합격' 또는 '인증' '패스' ...여러가지 용어로 혼합하여 사용을 한다.

최소한에 합격점수 '60'점을 통과 하면 합격하는 시험이 많다. 굳이 꼭 100%을 맞아야 하는것은 아니다. 마찬가지로 각종 정보보호 규제 및 제도등의 기본적인 체크리스트를 통과 하게 되면 '인증서'를 배부해 준다.

그런데 만약, 이렇게 인증을 많은 기업이 침해사고가 당했다면?

상당히 난감한 일이고 인증 신청 기업이나 심사원, 또 그리고 그 인증을 해준 관련 기관도 많이 난감해 질 것이다. 하지만 위험과 취약성이라는 것이 100% 완벽 한 것은 없다. 다만, 그 위험성과 취약성을 우리가 수용가능한 위험으로까지 감소시키는 것이 목적인 것이다.

마찬가지로 어떠한 인증제도를 통과 했다고 해서 100% 완벽하다고 이해서는 오산이다. 그럼 어떻게 해야 하는가?

각 당사자 입장에서 생각해보자

  • 인증신청기관 - 어렵게 준비하여 기존에 주먹구구식의 정보보호 대응에서 조금 더 체계적이고 기술적이고 프로세스적으로 만들어 놓았는데 침해사고를 당했다고 한다면 담당자 및 해당 기업은 상당히 난감할 것이다. 또한 해당 기업 이미지 측면에서 상당한 타격을 입을 것이다. 그럼 어떻게 해야 하는가?
    • 인증취득후 지속적인 관리 - 인증후에 꾸준한 관리를 하여야 하고, 인증이 끝난것이 아니라 이제 시작이라는 마음으로 더 관리를 해야 한다.
    • 이행증적관리 - 그때 그때 처리하여 이행 증적관리를 하고 인증후 침해사고시 끼칠 파장을 생각하면 조금 더 신경을 쓰게 될 것이다.
  • 인증심사기관 - 인증 심사기관은 새로운 기업에게 '인증서 배부' 도 좋고 새롭게 널리 홍보 및 취득과 실적도 좋겠지만 기존에 인증을 통과한 기업과 조직을 잘 관리 하는 것도 중요한 사안이다. 최소한 인증 받은 기관이 침해사고를 당해 언론에 대서특필되서는 안되는 것이다. 고로, 꾸준히 인증기업을 관리 할수 있는 관리 시스템이 도입이 되어야 할 것이다. 이에는 우선 인력증원이 필요하겠다.
  • 인증심사원 - 어떠한 기준에 준하여 그 제도에 최소한의 원칙과 기준(체크리스트)에 통과 할경우를 심사 하는 것이다. 이런측면에서 볼때 그 외적인 부분에서 보강 및 충분히 고려해야 할 사항들도 필자가 심사를 해 본 결과 많이 있었다. 그러기에 담당자와 충분한 이야기와 인식을 같이 하고 심사기관 동안에는 호흡을 같이 하는 자세도 중요하다. 그러기 위해서는 인증심사원은 부단한 이슈와 법률, 트렌드, 기술적 지식 축적을 게을리 해선 안 될 것이다. 추가적인 보안위험성에 대한 부분을 자세히 그리고 그 대응방법까지 구체적으로 잘 제시해 주는 것이 좋다.

문득,  몇년전 기사에 났던 글이 생각나 한번 정리를 해 보았다. 그 기사에 따르면 국가에서 인증해 주는 어떠한 인증을 취득 했음에도 불구하고 여러가지 재난 사건 사고 들이 많이 생기게 되었다. 특히, 언론에서 더욱 부각이 되기 때문에 제도의 취지가 퇴색되는 경우가 있었다.


맺음말

보안은 특히 이러한 제도 운영과 규제에 있어서 상당한 심혈을 기울이고 관리를 해야 한다. 이제는 보안 사건 사고가 일어나면 그에 대한 비용발생 규모도 커지고 있기 때문에 안전하다고 심사하고 검사하고 테스트 한 조직에서 기업이 침해사고가 당했다고 한다면 그 제도 본질적인 의미와 취지가 많이 흐려질 것이다. 인증 심사를 통과한 기업이나 조직에 담당자의 어깨도 무거울 것이라 생각한다. 많은 노력을 기울여 위험을 최소화로 감소시키는 일에 우리 모두 동참해야 할 것이다. @엔시스.



반응형

'Security ISMS' 카테고리의 다른 글

ISMS(정보보호관리체계), 인증받으면 연 2억 경제 효과  (0) 2010.03.08
정보보호관리체계(ISMS) 인증 취득 기업에 대한 사후관리 질적수준 제고 용역 사업자 선정  (0) 2010.02.23
정보보호관리체계 인증 등에 관한 고시 ( K-ISMS기준)  (2) 2010.01.17
전자정부 정보보호관리체계지침 (G-ISMS) 문서  (0) 2009.12.17
공공기관 정보보호관리체계 (G-ISMS) 의무화  (2) 2009.11.18
,

[정책제언] 이젠 일반인도 보안인센티브 주면 어떨까?

Security Policy 2010. 2. 9. 10:51

반응형

 


" 이젠 정보보호(보안) 잘 하는 사람과 잘 못하는 사람은 구별 하여야 한다"


아이폰 때문에 'S/W 육성책'이라 하여 몇조씩 투입한다고 합니다. 그동안 S/W 인력들 사실 찬밥신세를 많이 졌습니다. 2000년대 초반부터 IT버블이 꺼지고 나서 IT의존도가 높음에도 불구하고 아이러니 하게 홀대를 많이 받았습니다. 지금은 공대생이 점점 줄어 들고 있는것도 이러한 현상을 반영한 것입니다.

작년에는 '사이버 보안관 3000명' 육성한다고 하였지만 2009/11/19 - [Security Policy] - 사이버보안관 3000명 인력양성, 백지화 되나?  또는 2009/09/14 - [Lecture&Comlumn] - 사이버 보안관 3000명 양성에 대한 제언 그 실효성에 의문이 들고 있습니다. 꾸준한 개선책이 필요 한 것이지요.

우린 '보안'이 중요하다,. '정보보호'가 중요하다는 것은 모두 알고 있습니다.

그런데 왜 인터넷침해사고는 자꾸 일어나고 있을까요? 이제는 엔드유저쪽 보안에도 상당한 관심을 기울여야 할때입니다.
 즉, 일반인들의 보안 마인드가 향상이 되어야 합니다. 정말 보안과 정보보호가 중요하다는 것을 스스로 깨우쳐야 하는데 현실은 한계가 있기 마련입니다.

그것이 지금까지 이어온 보안에 대한 방식이었습니다. 보안은 그쪽에 근무하는 사람이나 관심있는 사람이나 하는 것이지 일반 사람들과 상관이 없다고  하는데에서 기인한다고 생각을 합니다.

이제는 바꾸어야 합니다. 말로만 하는 보안, 정보보호가 아닌 실제 실천 할수 있도록 기틀을 잡아 주어야 한다고 생각합니다. 그렇할수 있도록 유도를 해야한다고 생각합니다.

그렇지 않고 무조건 채찍만 가하면서 "PC좀비법(가칭)" 같은 것으로 아무리 규제를 해도 안됩니다. 우린 무엇이든 스스로 자기 필요성에 의해서 스스로 하게끔 당근을 주어야 합니다. 그것이 가장 효율적입니다.

어떻게 하면 일반인들에 '정보보호' '보안' 에 대한 인식 고취를 시킬수 있을까요? 나름 개인적인 생각을 제안해 봅니다.

  • 초,중고 정보보호와 윤리 교육 - 며칠전 기사에 중고등학교 기술과 가정시간에 보안교육 내용이 들어 갔다고 하였습니다. 조금 늦은감은 있지만 아직 그것으로 부족합니다. 과연 교과서에 몇십장 종이에 글이 들어 갔다고 해서 정보보호 교육이 잘 될수 있을까요? 또한 정보보호를 교육할 준비가 된 기술,가정 교사가 얼마나 될까요? 조금더 체계적이고 실질적인 교육을 위한 제언입니다.
    • 정보보호,보안 전공 교사 우선채용
    • 기술,가정 교사 방학을 이용한 보안,정보보호교육 필수 이수 (년 2회 이상 교육실시)
    • 담당 교사 정보보호,보안 자격증 취득 필수

 

  • 일반인 보안교육시 인센티브제도 - 제대로 된 국가지정 교육기관에서 교육 이수시에 일반인에게도 인센티브를 제공해 주는 것입니다. 예를들면

 

      • 공무원 시험시 가점부여
      • 공기업,공공기관 면접시 가점부여
      • 창업시 가점부여
      • 벤쳐인증시 가점부여
      • 이노비즈 인증시 가점부여
      • 대학교 관련 정보보호학과 진학시 가점부여
      • 민간기업 정보보호관련, 정보보호업체 지원시 가점부여등등
      • 조금 더 욕심을 낸다면 각종 세금에서 일정부분 할인혜택등



너무 황당할까요? 실현 불가능 할까요? 하지만 때로는 일반인들이 보안인식제고를 위한 조금은 채찍과 당근이 주어져야 한다고 생각합니다.

이제는 보안마인드와 정보보호 마인드가 있는 일반인과 아닌 일반인들의 구별을 두어야 할 것입니다. 그렇지 않고서는 절대 보안에 대한 인식을 높아지지 않습니다. 똑 같은 일을 지속적으로 반복 할 뿐이죠. 극단적으로 생각해보면  보안을 잘 지키는 사람과 그렇지 않고 아무렇게나 생각하는 사람이 추후 조직적으로나 사회적으로 불러올 비용을 생각해 보면 분명히 차별은 되어야 한다고 생각합니다. 그런 의미에서 일반인 보안인센티브제도는 어떤식으로든 보안에 대한 여러가지 기준을 만족하였을때 차별성을 두어야 할 것입니다. 그것이 추후 사회적 비용을 줄일수 있는 밑거름이 될 것입니다.

그럼 일반인들 보안 충족 기준이 필요할 것입니다. 누가 판단하고 누가 보안에 대한 기준을 잘지키는지 보안마인드가 철저한지를 규명하는 일이 쉽지 않을 것입니다.

그런측면에서 다음과 같이 2가지 방법을 제안합니다.

  • 일반인측면
    • 정보보호관련 업체 근무자
    • 정보보보호 담당자
    • 정보보호 자격증 소지자 (일반인 보안관련 자격증 소지자 포함)
    • 정보보호 전공자
    • 자신의 PC에 백신과 운영체제 기본 방화벽 설치 운영하는 자
      • 일반 PC 사용자 대상으로 몇가지 가장 기본적인 PC체크리스트 기준을 만족하는 자
      • 이러한 사항을 패스하면 증빙해 줄수 있는 시스템에서 인증 받은자

 

  • 기업,공공기관적인 측면
    • 안전진단 수행 기업과 공공기관
    • 정보보호관리체계를 인증 받은 기업과 공공기관
    • 개인정보보호관리체계를 수립한 기업과 기관
    • 개인영향평가를 수행한 기업과 기관
    • 보안성평가를 수행한 공공기관
    • 기타등등


일방적으로 보안이 중요하다. 보안에 대한 마인드를 갖자라고 아무리 이야기 해도 메아리가 될수 있습니다. 이런 차원이라면 조금은 실질적으로 보안을 함으로 어떠한 혜택이 개인에게 있는지에 대한 행동 규범과 원칙을 체험적으로 느낄수 있는 방안을 제시해 주면 더 효과적이지 않을까요?  규제를 위한 규제를 하자는 것은 아닙니다.

보안 마인드가 되었을때와 보안마인드가 되지 않았을때 추후 불러올 사회적 비용을 연구하고 이를 대응하고 일반인들에게 어떻게 하면 보안에 대한 중요성을 알수 있는가에 대한 고민에 기초한 개인적인 생각입니다. 이러한 연구가 되지 않고서는 분명히 말씀 드릴수 있지만 사고 터지면 막고, 반짝하고 또 터지면 언론 대서특필하고 사후약방문식으로 처리되고 계속지속적으로 되풀이 되는 일만 반복이 될 것입니다. 그것은 곧 사이버전과 연관이 되겠지요.

  이젠 정보보호(보안)이 곧 국력입니다. @엔시스.


반응형

'Security Policy' 카테고리의 다른 글

일반인들에게 보안문화 전파를 위한 가장 좋은 방법은?  (0) 2010.02.18
보안, 어려서부터 교육하고 사명감은 필수 -보안인닷컴 설문결과  (2) 2010.02.17
의료정보보호 가이드라인 요약집  (2) 2010.01.29
KISA, 보안 커뮤니티도 적극 지원 활용해야  (2) 2009.12.22
사이버보안관 3000명 인력양성, 백지화 되나?  (2) 2009.11.19
,

티스토리툴바