[포럼] 통합 보안 인증으로 국가보안 수준 높여야

입력: 2018-11-05 18:00

폰트

염흥열 순천향대 정보보호학과 교수

염흥열 순천향대 정보보호학과 교수

정부가 최근 '정보보호관리체계 (ISMS)' 와 '개인정보관리체계 (PIMS)' 를 통합한 인증 제도를 출범시켰다. 정보보호 인증제도와 개인정보보호 인증제도로 이원화된 국가보안인증제도가 하나로 통합되었음을 의미한다.

ISMS 인증기준과 PIMS 인증기준 가운데 유사·중복 항목을 통합하고 최신 보안 요구사항을 반영해 102개의 인증 기준 체계를 마련했다. 기업은 정보보호 관련 80개 보안 인증 항목으로 '정보보호 관리체계 (ISMS)' 인증을 받을 수 있고, 개인정보 관련 22개 개인정보보호 인증 항목을 추가하면 '정보보호 및 개인정보보호 관리체계(ISMS-P)' 인증을 받을 수 있다. 개인정보 관련 22개의 인증항목은 국제 표준의 통제를 고려했다. 또한 정부는 유관 부처간의 '정책협의회'를 구성해 인증기관 및 심사기관 지정, 심사원 관리 등 제도 전반에 관한 정책결정을 관련 부처가 공동으로 관리한다는 방침이다.

2011년 이후 별개로 두 개의 인증 체계와 인증 기준으로 운영되어 왔던 국가 보안 인증 제도가 하나의 인증 체계로 통합되었고, 과기정통부 등 여러 정부 유관 부처 간의 정책 협의회를 구성해 일관성 있는 국가 보안 인증 정책을 집행할 수 있는 기반을 마련했다.

또한 인증기관으로 한국인터넷진흥원과 금융보안원으로 지정하고, 복수 민간 평가기관들로 구성되는 체계를 갖춤으로써 효과적인 민관 협력 인증 심사 체계도 구성했다.

이번 제도 통합으로 인해 ISMS-P 인증을 원하는 기업의 경우 추가적으로 ISMS 인증을 받는 부담이 많이 경감될 것으로 기대된다.

ISMS는 조직의 정보자산에 대한 위험 요인을 식별하고 위험(risk) 을 줄일 수 있는 종합적 보호 조치를 수립하고 유지하는 체계임에 반해, ISMS-P는 조직이 개인정보와 관련 자산에 대한 여러 위험 요인을 식별하고 이 위험 요인을 줄일 수 있는 종합적 보호조치를 수립하고 유지하는 체계이다.

ISMS의 경우, 보호해야 할 자산이 기업의 정보 자산이고, 체계 운영 목표도 기업과 기관의 정보 자산을 공격으로부터 보호하는 것에 있다. ISMS-P의 경우, 기업이 이용하는 국민의 개인정보이고, 기업이 정보주체의 프라이버시 기본권을 보호하는 데 있다. 개인정보도 보안 측면 보호 조치를 적용해야 한다. 이에 더해 개인정보 수집, 이용, 제공, 폐기 등 개인정보 생명주기 동안 발생하는 위험 요소를 식별하여 이에 적절히 대응할 수 있는 보호조치가 필요하다. 기업이 과도한 개인정보의 수집과 이용을 제한하고, 수집된 민감 개인정보를 암호화해 보관하도록 하는 등의 개인정보 측면의 보호조치가 반드시 적용되어야 한다.

국제 표준화 기구(ISO/IEC JTC 1/SC 27)에서도 개인정보 보호를 위한 국제표준을 개발하고 있다. 하나의 국제표준(ISO/IEC 29151)은 개인정보 보호조치에 관한 것이며, 2017년에 국제표준으로 이미 발표되었다. 다른 하나(ISO/IEC 27552)는 개인정보보호 관리체계를 위한 프로세스 요구사항과 보안 가이드라인을 제공할 것이며, 1년 정도 지나면 국제표준으로 발표될 것으로 예측된다. 필자는 두 국제표준의 에디터 활동을 수행하고 있다.

유럽연합의 일반개인정보보호규정 (GDPR) 에서도 개인정보 컨트롤러 (개인정보 처리자) 가 GDPR 규정을 준수하고 있다고 입증하기 위해 인증 메커니즘의 수립을 요구하고 있다. 유럽 데이터보호 이사회(EDPB)는 GDPR에서 정의되고 있는 인증 메카니즘에 대한 가이드라인을 최근 발표했다. GDPR 규정 준수 입증 수단으로 인증 (certification) 메커니즘을 이용하는 것이다.

국내 보안 인증 제도의 신뢰 하에 지속적인 발전하기 위해선 다음 사항을 고려해야 한다.

두 인증 제도가 상호 보완적인 관계를 갖도록 운영되어야 한다. 정보 보호가 우선인 기업은 ISMS 인증을, 정보주체 개인정보를 많이 처리하는 기업의 경우 ISMS-P 인증을 선택해 운영해야 한다. ISMS 의무화 정책은 기업의 자발적인 인증제도 수용 환경이 구축될 시점까지 계속되어야 한다.

둘째, 기준 인증 체계에서 새로운 인증체계로의 전환 계획은 착실히 준비되어야 한다. 새 인증 제도가 원활하게 시행되려면 자격을 갖춘 인증 심사원이 충분히 확보돼야 한다. 인증 심사를 수행하는 심사원이 새로운 인증기준에 숙달하기 위한 심사원 전환 교육도 세심히 준비되어야 한다.

셋째, 인증 기준은 사이버 위협 환경과 법적 요구사항의 변화에 따라 인증 기준이 지속적으로 업데이트되어야 하며, 특히 ISMS-P의 경우 향후 추가 개발될 국제 표준의 내용도 고려되어야 할 것이다.

넷째, 보안 인증제도의 실효성을 확보할 다각적인 조치가 필요하다. 기업은 위험 평가 기반의 관리체계를 운영해야 한다. 일반 기업의 자발적인 인증제도 참여 및 운영을 위한 인식 제고 활동도 강화되어야 한다. 대량의 개인정보를 처리하는 국가기관 및 공공기관이 ISMS-P 인증 수검의 솔선수범이 필요하다.

다섯째, 유럽연합 GDPR 개인정보관련 인증 메커니즘의 발전 상황을 살펴보고, 장기적으로 국내 ISMS-P 인증 제도와의 연계를 고려해야 한다. 국내 많은 기업들이 GDPR의 적용 대상이 될 수 있으므로, 연계되어야 효과를 극대화할 수 있기 때문이다.

국가 보안 수준을 향상하기 위해 인증은 중요한 수단이 된다. 기업의 보안 수준을 높이는 실질적 효과를 갖도록 관련 주요 주체의 역량 강화가 필요한 시점이다.

서울특별시 중구 새문안로22
☎ 02) 3701-5500
등록번호 : 서울 아01699
등록일자 : 2011.07.15
발행일 : 2000.03.03
발행인/편집인 : 박학용

[포럼] 통합 보안 인증으로 국가보안 수준 높여야

이 시간 핫클릭

핫 이슈!