[컴퓨터월드]

다양한 인증제도의 통합 필요성 대두

지난 2002년 국내 정보보호 산업을 논하는 데 있어 빼놓을 수 없는 제도 중 하나인 정보보호관리체계(ISMS) 인증제도가 첫 출발을 알렸다. 정보통신부에서 민간분야 정보통신망의 안정성과 신뢰성 확보를 위해 정보통신서비스제공자 등을 대상으로 정보보호관리체계를 심사,ž인증해주는 ‘정보보호관리체계 인증제도’를 시행하기 시작한 것이다.

이후 정보보호의 중요성이 강조되면서 진단 대상과 그 범위에 따라 ▲민간기업을 대상으로 하는 정보보호관리체계(ISMS) ▲공공기관 대상의 정부 정보보호관리체계(G-ISMS) ▲금융기관에 적용되는 금융 정보보호관리체계(F-ISMS) ▲개인정보보호 관리체계(PIMS) ▲개인정보보호인증제(PIPL) 등 다양한 인증제도가 도입되고 운영돼 왔다.

그러나 이렇듯 동일ž유사항목에 대한 다수의 인증제도가 동시다발적으로 운영됨에 따라 일원화된 관리의 필요성이 자연스레 대두하게 됐다. 지난 2014년 G-ISMS 인증제도가 ISMS 인증제도로 통합됨으로써 정보보호관리 관련 민간 및 공공기관이 동일한 인증제도를 따르게 됐고, 개인정보보호 관련 유사한 인증제도의 별도 운영에 따른 기업의 혼란을 없애기 위해 방송통신위원회가 운영하던 PIMS 인증과 안전행정부가 운영하던 PIPL 인증을 2016년 PIMS로 통합하고 인증심사기관을 한국인터넷진흥원(KISA)로 일원화했다. 기업 전반에 걸친 보안체계인증은 ISMS로, 개인정보보호 분야 인증은 PIMS로, 각 분야 별 하나의 인증제도로 통합돼 운영되게 된 것이다.

그렇지만 정보보안과 개인정보보호 역시 서로 뗄 수 없는 사항으로, ISMS와 PIMS 인증 간의 중복도 적지 않았다. 과학기술정보통신부에 따르면 ISMS 인증항목 104개, PIMS 인증항목 86개에 대한 비교 검토 결과, ISMS 인증항목 82개(78.8%)가 PIMS 인증과 동일하거나 유사했으며 PIMS 인증항목 86개를 기준으로 볼 때 58개 항목이 동일, 유사한 것으로 분석됐다.

특히 ISMS 인증의 경우 2012년 정보통신망서비스제공자, 직접정보통신시설 사업자, 정보통신망서비스 제공자 중 매출액, 이용자수 등 일정 기준에 해당하는 기업들은 의무적으로 받도록 법이 개정됨에 따라 미 인증 시 3,000만 원 이하의 과태료를 부과 받게 됐으며, 개인정보주기관리 항목을 담은 PIMS 인증의 경우 의무 규정은 아니지만 개인정보보호 관련 법령 위반으로 인한 과징금 부과 시 경감 혜택을 받을 수 있기 때문에 대부분 유지할 수밖에 없었다. 다시 말해 다수의 기업들이 ISMS와 PIMS 인증 간 유사ž중복 항목에 대해 인증을 이중으로 받아야함으로써 적지 않은 물리적, 경제적 부담이 발생하게 된 것이다.

복수의 인증제도 운영에 따른 기업의 부담을 해소시키고 더 나아가 융합화, 지능화되고 있는 침해 위협에 효과적으로 대응하기 위해서는 정보시스템의 안정성과 개인정보 흐름상의 위협을 구분 짓지 않아야 한다. 정보와 개인정보를 단일제도에서 체계적으로 보호하기 위해 정부는 개별 운영되던 ISMS와 PIMS의 행정 및 인증심사 절차의 통합을 추진했고 2018년 말 ‘정보보호 및 개인정보보호 관리체계(ISMS-P)’가 정식 시행됐다.

지난 2002년 ISMS 인증이 시작된 이래 국내 정보보호 인증제도의 가장 큰 변화라고 일컬어지는 ‘ISMS-P’에 대해 보다 자세히 살펴보는 시간을 가져보도록 하겠다.

개인정보 인증기준 특화항목을 마련한 ‘ISMS-P’

‘정보보호 및 개인정보보호 관리체계(ISMS-P)’가 도입됨에 따라 인증제도는 투 트랙 체계를 띄게 됐다. 보호하고자 하는 정보서비스가 개인정보 처리 단계별 보안 강화가 필요한 경우 정보보호와 개인정보 영역 모두를 아우르는 ISMS-P를, 그 밖에 개인정보를 보유하고 있지 않거나 개인정보 흐름의 보호가 불필요한 기존 ISMS 인증 의무 대상은 ISMS만 받으면 된다.

기존 ISMS 인증 범위는 서비스 운영을 위한 정보 서비스 중심이었고, PIMS는 개인정보 처리를 위한 개인정보 중심으로 운영돼 왔다. 그리고 정보시스템 및 개인정보 모두를 고려해 통합된 ISMS-P는 유사 중복 항목을 통합 및 재배치하고 클라우드 서비스, 핀테크 등 최신 기술 및 이슈 사항뿐 아니라 개인정보보호법, 정보통신망법 개정에 따른 강화된 보호 조치까지 반영함으로써 현 상황에 맞는 더욱 발전된 형태를 갖추게 됐다.

ISMS 인증기준의 변화를 살펴보면, 관리체계 수립 및 운영 1개 항목(현황 및 흐름 분석), 보호대책 요구 사항 2개 항목(외부자 현황관리, 클라우드 보안)이 추가됐으며 유사 인증기준 18개 항목이 통합되면서 기존 104개 항목이 80개 항목으로 줄어들었다. 본래 ISMS 의무화 대상 기업은 앞으로 80개 항목만으로 ISMS 인증을 받을 수 있게 됐다.

반면 PIMS 인증기준의 경우, 보호대책 요구 사항 12개 항목과 개인정보 처리단계별 요구 사항 4개 항목이 추가되고 유사 인증기준 15개 항목이 통합되면서 ISMS-P 전체적으로 봤을 때 기존 86개 항목이 102개 항목으로 늘어나는 결과가 됐다. 그러나 이들 중 80개 항목은 기존 ISMS와 PIMS 인증을 위해 필요한 공통 항목이며 생명주기 영역은 22개 인증기준의 특화 항목으로 마련됐다.

기업의 부담을 줄이기 위해 ▲ISO/IEC 27001 인증을 받거나 ‘정보통신기반 보호법 제9조’에 따른 취약점 분석 및 평가를 받은 경우 최초 심사와 갱신 심사에서 ISMS 일부 심사를 생략(고시 제20조 제1항)할 수 있으며 ▲중소기업기본법 제2조에 따른 소기업에 해당하는 경우와 인증심사 일부 생략을 신청하는 경우(ISMS), 정보보호 공시를 한 경우(ISMS) 수수료 지원(고시 제21조 제3항)을 받을 수 있다. 인증 수수료 또한 ISMS의 경우 현행 수준을 유지했으나 PIMS의 경우 35%의 수수료 인하, 2개 인증을 함께 유지하는 경우 59%의 수수료 인하 혜택을 받을 수 있다.

보완조치 및 사후관리의 경우 1년 주기 사후심사와 유효기간 만료 3개월 전에 신청하는 갱신심사 신청으로 전과 동일하나, 보완조치 기간을 기존 30일에서 40일로 확대해 기업들의 보완조치에 대한 부담을 조금이나마 완화했다.

또한 기존 인증기준에 맞춰 인증을 준비했던 기업들의 불편을 최소화하기 위해 인증 신청인이 고시 시행 후 6개월까지는 개정 이전의 인증기준에 따라 신청할 수 있게 했고, 기존 인증기준에 따라 인증을 취득한 경우에는 인증 유효기간까지 기존 인증기준으로 사후 심사를 받을 수 있게 하는 경과 조치 규정을 추가하기도 했다.

신규 인증심사원의 자격 요건은 4년제 대학 졸업 이상 또는 이와 동등학력을 취득한 자로 정보보호 및 개인정보보호 경력을 각 1년 이상 필수로 보유하고 정보보호, 개인정보보호 또는 정보기술 경력을 합해 6년 이상 보유해야 한다.

ISMS-P를 위해 무엇을 준비해야 하는가

그렇다면 이렇듯 변화한 ISMS-P에 대비해 우리는 과연 무엇을 준비해야 할까? 개인의 입장에서 봤을 때 새로이 준비가 필요한 부분은 단연 클라우드다. 최근 정보 시스템이 레거시 환경에서 클라우드 환경으로 전환(L2C: Legacy-To-Cloud)됨에 따라 ISMS-P에도 클라우드 보안에 대한 인증 항목이 추가됐다. ISMS-P를 준비하는 개인이라면, 클라우드 서비스 및 클라우드 영역에 대한 보안 대책의 이해가 선행돼야 할 것이다.

기업들은 ISMS-P 인증 의무 대상자가 점차 확대됨에 따라 정보보호 컨설팅 시장이 활성화되고 있다는 사실에 집중해야 한다. 그리고 이러한 새로운 변화에 대비해 직원들의 역량 향상과 체계적인 교육을 통한 인증 심사원의 확보가 필요한 시점이라 할 수 있겠다.

과거 ISMS가 처음 시행됐을 때부터 ISMS-P가 시행되는 지금까지, 정보보호인증 무용론은 꾸준히 제기돼왔다. 정보보호 관련 인증을 받은 기업들이 해킹에 의한 고객정보 유출사고를 연이어 일으키게 되면서 그 실효성에 대한 의문이 끊이지 않았기 때문이다.

ISMS-P는 기관ž기업이 정보보호 및 개인정보보호를 위해 최소한의 업무 환경과 프로세스를 갖추고 또 유지하고 있다는 것을 검증하는 과정이다. 따라서 이러한 인증이 어떠한 공격에도 안전한, 시스템의 보안성을 보장해주는 게 아니라 기관 및 기업의 보안성 향상을 위한 첫걸음 역할이라는 것을 잊어서는 안 될 것이다.