[시큐리티 Q&A] 보안관련 인증 비교

Q. 보안업무를 보다 체계적으로 수행하기 위해 보안관련 인증 취득을 준비 중인 중견기업이다. 국제인증으로 ISO27001 인증이, 국내인증으로 ISMS 인증이 있는 걸로 알고 있는데, 이 두 가지 인증의 비교와 각각의 장단점을 설명해 달라.

A-1. 인증취득을 하고자 하는 기업이 글로벌에서 활동하는 기업인지 아니면 국내에서만 활동하는 기업인지에 따라서 달라진다.

인증을 취득하고자 하는 기업이 국내시장뿐만 아니라 글로벌 시장에서 활동을 하는 기업이라면 당연히 ISO27001을 받아야 할 것이다.

주로 국내시장에서만 활동하는 기업이라면 국내인증 ISMS를 받으면 된다. 그리고 인증을 취득하고자 하는 기업이 미래부, 방통위 관할 하에 있는 기업 또는 기관이라면 당연히 국내인증 ISMS을 받으면 된다. 따라서 기업에 따라 어떤 인증을 획득하면 좋을지 대상기업과 인증의 장·단점은 다음과 같다.

ISO27001 획득이 유리한 대상기업은 글로벌 시장에서 활동하는 기업, 해외에 사업장이 많은 국내기업, 해외 기업에 납품하는 국내 협력사. 해외에 협력사가 많은 국내 기업 등이 해당된다.

ISO27001 획득의 장점은 △글로벌 시장에서 인정받음 △비지니스 파트너들이 외국에 많을 경우 유리 △국내 기업의 경우, 해외 사업장의 보안관리에 적합 등이며, 단점은 △기업의 업종에서 상위에 감독기관이 많을 경우(예: 정보통신사업자 등) 국내인증에 비해 불리하다는 것이다,

국내 인증의 경우 이미 인증관련 법내에 사건사고 발생시 국내 인증을 받은 기업의 경우 해당 기업이 정보보호를 위해 상당한 노력을 했다는 것을 인정해주는 반면, ISO27001인증 획득 기업은 실제로 재판이라는 과정을 거치면서 인정을 받게 될 것으로 보인다. 국내 인증 획득이 유리한 대상기업은 국내에서 활동하는 기업, 정부의 직·간접 통제를 받는 산업에 속해 있는 기업으로 장점은 사건·사고 발생시 법·제도적 혜택이 있으며 단점은 국내에서만 인정받고, 국제적으로는 인정받지 못한다는 것이다.

(박태완 한국뷰로베리타스 선임심사원/taewan.park@gmail.com)

A-2. ISO27001은 국제 표준에 근거하여 만든 인증 제도이며, KISA ISMS는 방송통신위원회 고시, TTA 표준에 근거한 인증 제도이다. 특히, KISA ISMS는 ISO/IEC27001 국제표준을 모두 포함하고 있으며 국내 상황에 맞게 침해사고예방, 암호화, 전자거래 등의 보안요건을 강화했다.

이에 따라, ISO27001은 11개 분야에 133개 통제항목으로 구성되며, ISMS는 15개 분야에 137개 통제항목으로 구성되어 있다. 물론 통제항목의 많고 적음이 보안수준을 높이거나 낮추는 것은 아니다. 각 기업체의 정보보호관리체계에서 필요한 통제항목을 선택하고 각 보안요구사항에 대해 관리체계를 마련해 이행함으로써 보안수준을 향상시킬 수 있다.

두 인증의 장단점을 살펴보면, 먼저 ISO27001는 물리적 보안과 관리적 보안, 그리고 기술적 보안 등 모든 분야의 보안을 검수하기 때문에 인증 받는 기업에서는 총체적인 보안을 점검할 수 있다는 장점이 있다.

하지만 우리나라 실정에 약간 맞지 않는다는 단점이 있다. 이에 반해 ISMS는 우리나라 실정에 맞게 만들어진 것이 가장 큰 장점이며, 관리자들에게 보안관리체계를 구축할 수 있는 능력에 중점을 두어 꾸준한 보안관리를 가능하게 하는 장점이 있지만, 통제항목이 기술적인 측면보다는 관리적, 운영적 측면을 강조했고 적용되는 시스템에 따라 항목 선택이 가능하다 보니 인증심사원에 따라 인증의 품질이 달라지는 단점이 존재한다.

(허청일 한국산업기술보호협회 관제운영팀 연구원 /pig837@kaits.or.kr)

[김지언 기자(boan4@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)