[에스알 보안 강화 사례] 국민 안전 싣고 ‘SR 보안특급열차’ 달린다

SRT 고속열차 운영기관 에스알, 일반기업으로 시작해 공공기관으로 변신
국내외 정보보호 인증 7종 획득, 정보보호 관리실태 평가 2년 연속 종합 ‘우수’ 등 달성

[보안뉴스 원병철 기자] 공공과 민간의 조직은 그 성격과 조직 내 문화는 물론 상급기관의 존재 유무에 따라 엄청난 차이가 있다. 예를 들면, 공공기관의 정보보호와 일반기업의 정보보호는 관련 ‘법’도 서로 다르며, 우선되는 측면이나 적용되는 방식도 다른 법이다. 그런데 최근 일반기업에서 공공기관으로 변경돼 혼란을 겪은 기업이 불과 몇 년 사이에 공공보안에 대한 준비를 갖춘 것은 물론, 관련 인증을 여럿 취득함으로써 이를 인정받고, 심지어 ‘시큐리티 어워즈 코리아 2021’과 최근 ‘국가산업대상’에서 정보보안 부문을 수상함으로써 공식적으로 보안의 우수성을 입증해 화제가 되고 있다. 바로 SRT 고속열차 운영기관인 에스알(SR)이다.

▲SRT 수서역[이미지=SR]

에스알(대표 이종국)은 이용자의 서비스 선택권 확대와 합리적인 경쟁을 통한 철도산업 발전과 국민안전 및 편익 제고를 위해 2013년 12월에 설립된 SRT 고속열차 운영기관(준시장형 공기업)이다. 철도 및 연계운송으로 SRT 수서역, 동탄역, 평택지제역을 운영하고 수서-부산간 경부고속선과 수서-목포간 호남고속선을 운행하고 있으며, 2021년 11월에 누적 이용객 1억명을 돌파했다.

주목할 점은 SR이 2016년 12월 SRT 개통 이후 6년 남짓의 짧은 기간 동안 많은 변화에 직면했다는 점이다. 우선, SR은 SRT 예약발매서비스 규모에 따라 2019년 ‘ISMS(정보보안 관리체계) 인증 의무 기업’에 지정돼 공공기관으로는 3번째로 ISMS에 개인정보보호를 더한 ISMS-P(정보보호 및 개인정보보호 관리체계) 인증을 획득했다. 더욱이 최초 일반기업으로 설립된 SR은 2018년 기타공공기관 지정, 2019년 준시장형 공기업에 지정됨에 따라 공공기관 대상인 국가정보원, 개인정보보호위원회, 국토교통부로부터 연간 12회의 ‘정보보호 평가’를 받게 됐다. 일반기업에서 공공기관이 된 셈이다.

▲SR 정보보호 연혁[이미지=SR]

공공기관으로 변신한 SR의 정보보호 업무개선
공공기관이 되면서 조직 전체적인 변화도 있었지만, 무엇보다 중요한 것은 갑작스런 정보보호 업무의 변화였다. 기존 보안업무에 정보통신서비스 제공자 업무와 공공기관의 정보보호 업무가 더해진 것. 특히, 정보보호 담당자가 2명인 작은 보안조직에서 이를 극복하기 위해서는 SR만의 차별화된 방법론이 필요했다.

먼저 SR은 2019년 ISMS-P 인증을 준비하면서 다수의 국내외 정보보호 인증과 공공기관 정보보호평가에서 요구하는 약 1,259개 정보보호 요구사항을 취합, 분석, 분류함으로써 업무 효율화 작업을 시작했고, 그 결과 약 38%(484개)의 업무가 감소했다. 이러한 업무 효율화를 통해 정보보호 관리체계를 지속적으로 개선할 수 있었다.

▲SR 정보보호 업무개선[이미지=SR]

SR은 이러한 개선의 결과로 공공기관 최초로 국내외 정보보호 인증 7종을 획득했고, 공공기관 정보보호 관리실태 평가에서 2년 연속 종합 ‘우수’ 평가를 받았다.

특히, SR은 정보보호 인증 획득에 집중했다. 비교적 적은 인원으로 인증을 준비하는 것이 쉬운 일은 아니지만, 준비하면서 얻을 수 있는 것이 더 크다고 봤기 때문이다. 이에 과학기술정보통신부 ‘ISMS-P’ 인증을 3년 연속 유지하고 있으며, 정보보호 준비도 평가 인증에서 최고등급(AAA)과 2021년 ePRIVACY 인증 획득에 이어, 2022년에는 ePRIVACY Plus 인증을 신규로 획득해 국내 정보보호 요구사항을 충족했다.

또한, 국제적인 수준의 정보보호 관리체계를 갖추기 위해 2020년 정보보안 분야 ‘ISO 27001’ 인증을 시작으로 개인정보보호 분야 ‘ISO 27701’ 인증, 클라우드 정보보안 및 개인정보보호 인증인 ‘ISO 27017’과 ‘ISO 27018’까지 국제인증 4종을 모두 획득함에 따라 ‘정보보호 인증 7종 획득’이라는 성과를 이루었다.

아울러 공공기관이 받아야 하는 정보보호 평가에서는 국가정보원, 개인정보보호위원회, 국토교통부로부터 매년 12회 이상 강도 높은 공공기관 정보보호 관리실태 평가를 받고 있다. 매년 평가 결과에서 도출되는 미흡사항은 개선계획을 수립하고 관리카드를 작성해 지속적인 개선을 진행함으로써 정보보호 관리실태 평가에서 2년 연속 종합 ‘우수’ 평가를 달성할 수 있었다.

▲SR 정보보호 인증 및 관리실태 평가 현황[이미지=SR]

정보보호 공시 및 핵 더 챌린지 등 대외적인 정보보호 활동 강화
SR은 이에 머무르지 않고 공공기관의 책무를 다하기 위해 대외적인 정보보호 활동 강화에도 힘쓰고 있다. 우선, 국민 알권리 보장과 기관의 정보보호 투자 노력을 알리고자 자발적인 정보보호 투자현황을 공시해 국토교통부 산하기관 최초로 2년 연속 ‘정보보호 투자 우수기관’으로 지정됐다. 또한, 공공기관 최초로 한국인터넷진흥원과 함께 전 국민이 홈페이지 보안취약점을 찾는 ‘핵 더 챌린지 2021’ 대회를 성공적으로 공동 개최해 홈페이지 안전성을 보다 강화했고, 2022년에는 한국인터넷진흥원의 협조를 받아 보안취약점 포상제도를 상시 운영으로 확대할 계획이다.

SR은 공공부문 동반성장 강화에도 힘쓰고 있다. 이에 따라 정보보안 분야에서도 보안 취약기업을 대상으로 ‘정보보호 컨설팅 및 교육’을 2년 연속 무상 지원하고 있다. 2021년에는 총 4개사에 제공했으며, 2022년에는 10개사 이상 늘리는 것은 물론 보안 소프트웨어 공급까지 확대할 계획이다.

▲2022 국가산업대상 정보보안 대상을 수상한 SR[이미지=SR]

SR은 이러한 종합적인 성과로 2021년에는 ‘제20회 K-ICT 정보보호대상’에서 우수상’, ‘시큐리티 어워즈 코리아 2021’에서 ‘공공부문 대상’, 2022년에는 ‘2022 국가산업대상’에서 ‘정보보안 대상’을 수상했을 뿐만 아니라, 8년 연속 사이버 침해 및 개인정보 유출 ‘무사고(0건)’를 달성해 대외적으로 정보보안 우수기관으로 인정받았다.

이종국 SR 대표이사는 “국민이 언제나 신뢰할 수 있는 고속철도 운영기관이 될 수 있도록 정보보호 관리체계를 지속적으로 개선하고, 사이버보안 체계를 지속적으로 점검해 절대 안전을 실현할 것”이라면서, “또한, 국가 정보보호 산업 발전에 보탬이 되도록 국가 정보보호정책을 적극 지원하고, 중소기업 무료 보안컨설팅 지원 등 대외협력을 통해 동반성장할 수 있도록 힘쓰겠다”고 밝혔다.
[원병철 기자(boanone@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)