인증 대상 조직은, 심사 시점의 수준을 파악하고, 보안 활동의 적절성을 고민하는 기회
인증위원회는, 심사의 객관성과 공정성, 지속적 개선이 이루어지고 있는지에 집중
인증심사원은, 조직에 실질적인 도움이 될 수 있는 의견 제시
정책, 인증기관에서는, 인증 심사 품질과 제도의 지속가능성을 높이기 위한 적극적 노력 필요
ISMS-P 인증 제도가 운영된지 20년이 훌쩍 넘었다.
초기에는 영국표준(BS7799)과 ISO 표준을 기반으로 인증 기준을 만들어 원하는 기업들에 국내 인증 서비스를 제공했다.
지금은 국내 환경에 맞춘 자체적인 인증 기준을 수립하여 글로벌 표준에 뒤지지 않는 모습을 갖추면서, 지속적으로 발생하는 정보보안 사고로 인해 그 대상을 넓히고 여러 제도를 거쳐 현재의 모습을 가지게 되었다.
기업들의 보안 수준을 지속적으로 향상시켰고, 수요에 비해 턱없이 부족했던 보안 전문가를 양성했으며, 초기 정보보호 시장 형성에 큰 영향을 끼치면서 국가의 전반적인 정보보호 수준을 끌어올리는데 가장 큰 영향을 준 제도라고 할 수 있다.
좋은 심사는 심사 대상 조직의 정보보호 활동에 도움이 되는 심사다.
가장 기본적이면서 간단한 이치지만, 여러 이해관계자(정부, 인증기관, 인증위원회, 심사원 등)의 시각 차이로 인해 당연한 이치가 쉽지 않다.
이로 인해, 최근에는 ISMS-P 인증에 대한 효과성에 의문을 제기하는 목소리가 늘어나고 있다.
가장 큰 원인을 꼽자면, 인증 수요자의 눈높이가 높아진 데 있다.
초기에는 인증 대상 조직에 정보보호 전문가나 개인정보를 담당하는 인력이 제한적이고 전문성이 부족하다 보니 기본적인 보안 이슈들을 개선해 주는 역할로도 충분했지만, 지금은 상황이 달라졌다.
정보보호를 위한 투자의 양과 질 측면에서 예전에 비할 수준이 아니고, 업무 담당자의 수준도 높아지고 복잡도는 더 증가했다.
그런 상황에서 심사원은 제한된 시간과 제한된 인원으로 복잡한 상황을 이해하고 심사를 하기 더욱 어려워진 환경이 되었다.
이젠 대상 조직의 담당자들도 역량을 갖춘 전문가로 성장 하다보니, 기존의 '명확하고 간단한' 이슈를 개선하도록 의견을 주는 심사 관점은 식상하거나, 도움이 크게 안 된다고 느낄 수 있다.
그럼에도 불구하고, 아직은 인증 제도의 장점이 더 크다는 점에서 개선할 부분은 고치면서 잘 활용할 수 있는 방법을 서로 찾아가야 한다.
인증 대상 조직에서는, 심사를 통해 현황을 파악하고, 심사 시점의 보안 수준을 파악하는 용도로 활용할 수 있어야 한다. 또한, 심사원의 의견을 통해 다시 한번 보안 활동의 적절성을 고민하는 기회로 삼아야 한다.
내부적으로, 정보보호 업무를 수행하는 담당자들도 본인이 속한 조직의 모든 서비스와 DATA의 흐름을 파악하기 쉽지 않다.
이런 부분을 인증기준의 현황 및 흐름 분석 요구사항에 따라, 정보서비스 및 개인정보 처리 현황을 분석하고, 업무 절차와 흐름을 파악해 내부 현황을 이해할 수 있는 방법으로 활용할 수 있어야 한다.
또한, 심사팀과의 적절한 커뮤니케이션을 통해 부족한 리소스(인력, 예산 등)를 확보할 수 있는 경로로 활용해도 좋다.
심사팀은 인증대상 조직의 보안 수준을 높이기 위해 필요한 의견을 주는 것이 목적인 만큼, 심사 시 방어에 촛점을 맞추기 보다 충분한 커뮤니케이션을 통해 하나라도 더 개선할 수 있는 기회로 삼아야 한다.
경영진은, 어쩔 수 없이 받아야 하는 규제로 생각하기보다, 전문적이고 다양한 시각에서 의견을 제시하는 심사원을 통해 적극적으로 문제를 도출할 수 있도록 최대한 협력해야 하고, 발견된 문제점이 생각보다 많이 나왔다고 해서 보안 조직의 업무에 문제가 있다고 보기보다는, 심사에 충실하게 대응하고 리스크를 빠르게 파악한 것으로 인식해야 한다.
혹시라도, 결함 숫자로 조직이나 담당자의 KPI(Key Performance Indicator)를 선정하는 경우가 있다면, 이는 조직의 담당자가 결함보고서를 통제할 수 없는 상황에서 심사팀의 독립성에 부정적인 영향을 끼칠 수 있다는 점에서 지양해야 할 부분이다.
나아가, 네트워크로 연결된 사회에서 회사의 문제가 사회 전반에 영향을 끼칠 수 있음을 이해하고, 사회적 책임을 준수하기 위한 효과적인 방법으로 인식할 필요가 있다.
한 조직의 보안 수준은 그 조직에만 영향을 미치지 않고, 의도치 않게 사회적 문제를 발생시킬 수 있는 환경에서, 일정 규모 이상의 조직에 인증을 통한 지속적 검증과 개선은 우리 사회 전체를 위해 필요한 부분이다.
인증심사원은, 조직에 실질적인 도움이 될 수 있는 내용에 집중해야 한다.
조직의 정보보호 수준은 인증 제도를 통해 지속적 개선이 이루어지고, 조직의 정보보호 전문성도 높아지면서 심사원에게 요구하는 수준도 함께 올라갔다.
비즈니스 환경이 다양해지고 네트워크와 개발 환경이 복잡해지면서, 심사원이 조직의 상황을 이해하고 적절한 의견을 제시하는 일은 더욱 전문성이 요구되는 상황이다.
눈에 보이는 쉬운 문제점도 의미가 있지만, 그 문제가 왜 발생하고 그로 인한 조직의 리스크가 어느 정도 영향을 가지는지 판단해서 도움이 될 수 있는 의견을 고민하고 제시할 수 있어야 한다.
심사팀장은 제도의 취지와 대상 조직의 상황을 이해하면서, 의미 있고 근본적인 개선이 이루어질 수 있도록 심사팀을 운영해 나가려고 노력해야 한다.
심사와 운영을 동시에 진행하는 것이 현실적인 어려움으로 다가올 수 있지만, 일정과 운영 편의에 따라 기계적으로 진행되거나, 인증위원회 통과를 의식하는 심사는 심사 품질을 높이기에 큰 도움이 되지 않는다.
인증위원회는, 심사 관점으로 접근하기보다는, 심사의 객관성과 공정성이 적절하게 확보되고, 대상 조직에서 인증 제도를 통해 지속적 개선이 이루어지고 있는지 등에 대해 더 많은 관심을 가져야 한다.
심사에 대한 경험과 이해가 충분하지 않은 상황에서 심사팀장의 보고서만으로 판단할 수 있는 영역은 제한적일 수 밖에 없다.
심사팀은 조직의 다양한 보안 계층과 환경 속에서 수행하는 대책들을 종합적으로 판단하고, 조직의 보안 수준에 따른 추가적인 개선 의견을 주는 역할이다.
인증위원회에서는 심사팀이 심사에 집중할 수 있는 환경이었는지, 조직 규모나 중요도에 따른 정보보호 활동을 수행하고 있는지, 심사 대상 조직의 인증에 대한 의지는 충분한지, 경영층의 정보보호에 대한 의지를 어떻게 확인했는지 등 인증제도 운영과 체계에서 개선할 부분을 확인하는 것이 더 의미 있는 역할이다.
이미 심사가 완료된 회사의 홈페이지에서 문제점을 찾아 심사의 적절성을 판단하거나, 정보보호와 직접적 연관이 적은 법률 준수를 체크 한다거나, EoS(EoL, EoD 등)된 정보시스템 목록을 확인해서 업체(특히, 해외업체 들)들의 업그레이드 라이센스 수익을 확보해 주는 것들은, 인증 수요자에게 심사 실효성에 물음표를 던질 뿐이고, 심사팀장들의 인증 심사 독립성과 방향성을 훼손시킬 수 있는 부분이다.
정책, 인증(심사)기관에서는, 인증제도에 대한 충분한 이해를 바탕으로, 인증 심사 품질과 제도의 지속가능성을 높이기 위한 다양한 방안들을 마련하여 시행할 필요가 있다.
결함 내용에 대한 리뷰와 심사 사례를 통해 좋은 점과 개선할 부분을 찾아 심사원 교육에 활용하거나, 다음 심사에 참고할 수 있는 방법도 고려할 필요가 있다.
심사원의 심사 품질을 높이기 위한 인센티브 부여도 고민이 필요하다.
심사 품질은 심사원이 좌우한다고 해도 과언이 아닌 만큼, 우수 심사원을 발굴하고 확보하려는 측면에서 적절한 인센티브 부여를 고민할 필요가 있다.
또한, 국가에서 투자해야 할 정보보호 전문 인력 양성과 사회 전반의 정보보호 수준을 높이는 제도를 인증수수료에 의존하는 현재의 구조보다는, 국가 예산을 투입하여 적극적으로 운용하는 것이 지속가능성을 높이기 위해 필요해 보인다.
ISMS-P 제도는 자율 규제적 성격으로 민간(공공) 조직에 외부 전문가들이 매년 심사를 통해 개선할 수 있는 의견을 주고, 이를 통해 국가의 전반적인 정보보호 수준을 높여 사회의 안정성을 높일 수 있는 가장 좋은 툴로, 국가와 민간 분야 모두에게 아직도 유효하다.
사회의 전반적인 정보보호 수준을 높이고 싶다면, 인증 대상을 확산시키는 것이 가장 좋은 방법이다.
[글. 박나룡 보안전략연구소 소장 (ISO/SAE 21434 인증심사원)]
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
