“ISO 27001은 보안의 완성이 아닌 시작”

[인터뷰]김상욱 BSI 매니지먼트시스템즈 코리아 IT심사팀장

최근 기업의 보안의식이 높아진 건 사실이지만 대기업이나 외국계 기업을 제외한 중소기업들은 아직 요원한 수준이다. 그도 그럴 것이 중소기업은 보안 역시 개발과 연구처럼 투자개념으로 보고 투자 후 이익이나 결과를 얻으려고 하지만 보안의 특성상 그게 쉽지 않기 때문이다. 이럴 때 필요한 것이 바로 보안인증이다. 국제표준화기구의 ISO 27001은 정보보호 경영시스템(ISMS)을 구축하도록 도와줄 뿐만 아니라, 대내외적으로 회사의 보안수준을 인정받고, 투자에 대한 결과를 수치로 확인할 수 있게 해준다. ISO 27001 심사를 담당하고 있는 비에스아이 매니지먼트시스템즈 코리아(이하 ‘BSI KOREA’)의 김상욱 IT심사팀장을 만나 BSI와 ISO 27001에 대한 이야기를 나누어보았다.

-BSI는 어떤 곳인가?

BSI는 영국표준협회로 세계 최초·최대의 국가표준 제정기관이다. 국가표준(Standards)을 주로 제정하며, 제정된 표준의 인증 및 심사도 병행하고 있다. BSI는 현재 112개국 164개 지사에서 6만 건 이상의 인증서를 발행하는 등 세계에서 가장 많은 인증업무를 수행하고 있다.

BSI가 제정한 영국의 국가표준 BS는 유럽표준을 거쳐 국제표준으로 채택되어 왔다. 예를 들면 품질경영시스템 인증인 BS 5750은 ISO 9001로, 환경경영시스템 인증인 BS 7750은 ISO 14001로 채택됐다. 특히 이번에 소개할 정보보호경영시스템 인증인 BS 7799도 국제표준 ISO 27001로 채택됐다.

한국에서는 1989년 ISO 9000 규격이 처음 도입돼 인증심사를 수행하던 중 고객의 편의와 서비스를 위해 1998년 합작법인인 BSI KOREA를 설립했다. BSI KOREA는 종합적이고 장기적인 안목을 가지고 수준 높은 심사와 서비스를 고객에게 제공해 품질개선의 초석 구축은 물론 경영 시스템의 발전과 효율적인 운영이 가능하도록 지원하고 있다.

-보안 분야의 몇 안 되는 국제인증인 ISO 27001을 설명해 달라.

ISO 27001은 ‘정보보호경영시스템(ISMS)’에 대한 국제표준으로 정보자산의 기밀성, 무결성, 가용성을 위해 관련 프로세스를 체계적으로 수립·문서화하고 이를 지속적으로 운영·관리할 수 있도록 하는 국제인증이다.

종합적이고 체계적인 정보보호의 관리는 물론 미래의 시큐리티 라운드(Security Round)에 대비해 기업의 대응역량 배양을 위해 도입된 ISO 27001은 특히 조직의 보안대응 능력 전반을 심사해 고객과 이용자에게 올바른 정보를 제공할 수 있는 적절한 평가 메커니즘을 제공해 기업의 대내외 보안능력을 입증하고 있다.

무엇보다 ISO 27001은 물리적 보안과 관리적 보안, 그리고 기술적 보안 등 모든 분야의 보안을 검수하기 때문에 인증 받는 기업에서는 총체적인 보안을 점검할 수 있다는 장점이 있다.

-ISO 27001 인증을 받음으로써 기업이 얻을 수 있는 효과는 무엇인가?

우선 체계적인 보안역량을 국제표준으로 인증 받음으로써 대내외적으로 신뢰성을 향상시킬 수 있을 뿐만 아니라 현업과 보안의 조화를 이뤄주기 때문에 실질적인 효과를 얻을 수 있다. 특히 보안의 경우 투자효과를 직접 확인하기 어려운데, ISO 27001 인증을 받으면 보안성과에 대한 성과지표를 나타낼 수 있어 경영층의 보안의식을 고취할 수 있다. 또 6개월에 한 번씩 사후인증을 진행하기 때문에 지속적인 관리도 가능하다.

-현재 ISO 27001을 획득한 국내기업은 몇 개 기업이 있나?

우리은행과 통합된 예전 한빛은행이 2001년 국내기업 최초로 ISO 27001을 획득한 이래 약 9년 동안 100여 개의 기업이 ISO 27001을 획득했다. 우리나라보다 늦게 획득한 일본에서 대략 2,000여 개의 기업이 ISO 27001을 시작한 것을 보면 저조하다고 볼 수 있지만 조금씩 늘어나고 있는 추세다.

초창기에는 금융권과 대기업, 외국계 기업들이 주로 인증을 신청했었고, 이후 제품기밀이나 연구결과 등 기업비밀을 보호하기 위해 연구소나 제조사 등이 관심을 갖기 시작했다. 최근에는 고객정보를 보유하고 있는 업체들도 ISO 27001을 획득하고 있다. 또 ISO 27001의 위상이 커지면서 협력사에 인증을 요구하는 일도 많아지고 있다.

-끝으로 인증업무를 진행하면서 기업들에게 당부하고 싶은 말이 있다면?

ISO 27001은 물리적 보안과 관리적 보안, 그리고 기술적 보안을 모두 검증할 수 있는 복합 인증이다. 하지만 ISO 27001을 획득했다고 해서 완벽한 보안 시스템을 갖추었다고 생각하면 안 된다. ISO 27001을 획득한 기업은 기업이 갖춰야할 기본적인 보안 시스템을 갖추었다고 생각하고 이를 바탕으로 보다 철저한 보안체계를 완성해야 한다.

다년간 인증업무를 하면서 기업들의 안전에 대한 불감증이 심각하다는 것을 느꼈다. 보안은 단순히 투자의 개념이 아니라는 것을 깨닫지 못하는 것 같아 개인적으로 아쉬운 마음이다. ISO 27001은 그런 기업들에게 신선한 자극을 주어 보안에 대해 다시 인식하게 해줄 수 있다고 본다.

<정리 : 원병철 기자>

[월간 시큐리티월드 통권 제152호(info@boannews.com]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)