국제 표준화에 따른 ISMS 인증 기준 개정방향은?

정보보호포럼 조찬 세미나서 ISMS 인증 기준 제안·논의

[보안뉴스 김태형] 국제 정보보호 표준 개발 및 국제 표준화 활동을 수행하고 있는 정보보호포럼(의장 염흥열 순천향대 교수)은 14일 서울 반포동 팔레스 호텔에서 포럼 회원 및 유관기관 관계자 등이 참석한 가운데 ‘2014년 정보보호 포럼 조찬 세미나’를 개최했다.

이날 세미나는 박대하 교수(고려사이버대)의 ‘ISO/IEC 27001 개정에 따른 국내 ISMS 인증 기준 방향’ 발표를 시작으로 관련 분야 포럼활동 회원과 참석자들간의 ISMS 인증 기준 방향에 대한 토론이 이어졌다.

박대하 교수는 이날 발표에서 국제 표준 개정방향에 대해 소개하고 이에 따른 국내 ISMS 개정 방향을 제시했다. 박 교수는 “ISMS 인증제도는 지난 2013년 인증기준 개정안을 제안했다(K-ISMS 2.0). 이는 ICT 및 정보보호 환경의 급격한 변화에도 불구하고 2002년 ISMS 인증제도 도입 이후 기준 개정이 이루어지지 않아 기준의 현실성 부족과 2013년 안전진단 대상자에 대한 ISMS인증 의무화로 인해 기준 명확화 현실화 등의 개선이 필요했기 때문”이라면서 “ISMS 인증은 G-ISMS제도를 통합해 기존 ISO/IEC 27001/27002:2005 기반의 인증기준에서 K-ISMS 2.0 인증 기준으로 일원화됐다”고 말했다.

ISMS를 수립, 구현, 유지, 지속적 개선을 위한 요구사항을 제공하는 국제 표준인 ISO/IEC 27001은 대부분의 국제 인증기관에서 ISMS 인증을 위한 요건으로 채택하고 있다.

이러한 ISO/IEC 27001:2013 주요 개정방향은 관리체계 표준 공통 텍스트를 채택하고 위험평가 방법론 선정의 유연성을 제공해 상세 위험평가(자산식별, 위험 및 취약점 분석 등)를 정보보호 위험 식별의 전제조건으로 요구하지 않고 조직별로 위험 수용 기준을 설정한다. 또 ISO/IEC 27002의 지속적 활용이 가능하고 기존 구축된 ISMS의 순조로운 이전 지원이 가능하도록 했다.

그리고 ISO/IEC 27002는 조직에서 ISO/IEC 27001 기반의 ISMS 구현 과정에서 통제 선택 시 참조하고 ISO/IEC 27001 인증을 위한 분야별 통제 집합을 개발할 때 기반이 되는 구현 지침으로 사용했다. 또한 조직에서 일반적인 정보보호 통제를 구현할 때 지침서로 사용이 가능하다.

이러한 ISO/IEC 27002:2013 주요 개정 방향을 살펴보면 조직의 규모와 업계, 지역에 상관없이 일반적으로 적용 가능한 모든 통제분야를 망라했으며 통제의 중복을 최소화하고 통제의 실현 가능성 및 정확성을 높였다. 그리고 경영진이 이해할 수 있는 상위 수준의 지침을 제공하도록 개정됐다.

박대하 교수는 “이러한 국제 표준의 개정방향에 따라 국내 ISMS 인증 개정 방향도 맞추어가야 한다”면서 “먼저 ISMS 인증제도 일원화와 분야별 ISMS 통제를 설정해야 한다. 이에 ISO/IEC 27009를 모델로 하여 공통의 관리과정 수립 후 분야별(금융, 통신, 의료, 국방, 개인정보, 클라우드 등) 관리과정 요구사항을 추가하고 기존 K-ISMS 2.0 통제를 기반으로 분야별 통제방안을 추가해야 한다”고 말했다.

또한 “국내 ISMS 인증과 ISO/IEC 27001 인증 호환성을 유지해야 한다. ISO/IEC 27001의 요구사항을 따라 관리과정을 수립하는 경우 보안 통제는 K-ISMS 그대로 활용이 가능하다. 적용성 명세서(SoA)를 통해 K-ISMS 통제와 ISO/IEC 27002 통제의 매핑이 필요하다”고 덧붙였다.

그리고 그는 “인증 심사지침과 심사원 역량 강화 방안으로 ISO/IEC 27007을 기반으로 관리과정의 심사지침을 수립하고 ISO/IEC 27008을 기반으로 통제항목별로 효과적인 심사기법을 도출하며, 분야별 전문성을 고려한 심사원 배치와 ISO/IEC 27021을 기반으로 한 심사원의 역량 강화(자격, 교육 등) 방안을 모색해야 한다”고 강조했다.

이처럼 지난 2002년 ISMS 인증제도 도입 후 기준 개정이 이뤄지지 않아 기준의 현실성이 부족할 뿐만 아니라 공공기관, 금융기관 등의 특성별로 인증체계 및 인증기관도 분산되어 있어 인증 기준의 명확화와 현실화가 필요하다는 것.

이에 대해 염흥열 순천향대 교수는 “ISMS 인증을 받았다고 해서 보안이 완벽해 보안사고가 발생하지 않는 것은 아니다. 국내 카드사 정보유출 사고나 다른 보안사고를 일으킨 기업 중에서 ISMS 인증을 받은 기업도 있다”면서 “보안사고는 언제든 일어날 수 있는 것이다. 보안사고는 궁극적으로 업주의 책임이지만 ISMS 인증 기업 의 보안사고는 인증주체의 책임도 있다고 생각한다”고 말했다.

즉 ISMS 등과 같은 정보보호 관련 인증은 보안사고의 위험을 체계적으로 관리하고 대응할 수 있느냐를 점검하는 것. 보안사고는 언제나 발생할 수 있기 때문에 무엇보다 중요한 것은 사고발생 시 얼마나 빨리 체계적으로 대응할 수 있는가를 체크하는 것이라고 염 교수는 강조했다.

[김태형 기자(boan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)