보안정보
전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.
ISMS-P를 통해 본 개인정보보호 및 정보보호 정책의 흐름 변화
2019.07.31
9,234
■ 정보보호 및 개인정보보호 관련 다양한 인증제도의 통합 필요성 대두 지난 2002년 국내 정보보호 산업을 논하는 데 있어 빼놓을 수 없는 제도 중 하나인 정보보호관리체계(ISMS) 인증제도가 첫 출발을 알렸다. 정보통신부에서 민간분야 정보통신망의 안정성과 신뢰성 확보를 위해 정보통신서비스제공자 등을 대상으로 정보보호관리체계를 심사인증해주는 ‘정보보호관리체계 인증제도’를 시행하기 시작한 것이다. 이후 정보보호의 중요성이 날로 증가하게 되면서 진단 대상과 그 범위에 따라 ▷민간기업을 대상으로 하는 정보보호관리체계(ISMS), ▷공공기관 대상의 정부 정보보호관리체계(G-ISMS), ▷금융기관에 적용되는 금융 정보보호관리체계(F-ISMS), ▷개인정보보호 관리체계(PIMS), ▷개인정보보호인증제(PIPL) 등 다양한 인증제도가 도입되고 운영되어 왔다.
구분 |
인증제도 설명 |
인증기관 |
비고 |
정보보호 관리체계 |
기업이 주요 정보자산을 보호하기 위한 정보보호 관리체계의 적정성을 심사하는 인증제도 |
한국인터넷 진흥원 |
|
정부 정보보호 관리체계 |
행정기관의 정보보호 관리 절차와 과정을 심사하는 인증제도 |
한국인터넷 진흥원 |
ISMS 통합 (2014.1.1) |
금융 정보보호 관리체계 |
기존 ISMS에서 금융서비스와 관련된 통제항목이 추가된
인증제도 |
금융보안원 |
|
개인정보보호 관리체계 |
기업이 개인정보보호 관리체계 운영하는 서비스 범위의 적정성을 심사하는 인증제도 |
한국인터넷 진흥원 |
|
개인정보보호 인증제 |
일정 기준 이상의 개인정보보호 수준을 갖추면 정부가 이를 인증해 주고 외부에 공개할 수 있게 해주는
제도 |
한국정보화 진흥원 |
PIMS 통합 (2016.1.1) |
[표 1] 국내 인증제도 현황
그러나 이렇듯 동일유사항목에 대한 다수의 인증제도가 동시다발적으로 운영됨에 따라 일원화된 관리의 필요성이 자연스레 대두하게 되었다. 이에 지난 2014년 G-ISMS 인증제도가 ISMS인증제도로 통합됨으로써 정보보호관리 관련 민간 및 공공기관이 동일한 인증제도를 따르게 되었고, 개인정보보호 관련 유사한 인증제도의 별도 운영에 따른 기업의 혼란을 없애기 위해 방송통신위원회가 운영하던 PIMS 인증과 안전행정부가 운영하던 PIPL 인증을 2016년 PIMS로 통합하고 인증심사기관을 한국인터넷진흥원(KISA)로 일원화하였다. 기업 전반에 걸친 보안체계인증은 ISMS로, 개인정보보호 분야 인증은 PIMS로, 각 분야 별 하나의 인증제도로 통합되어 운영되게 된 것이다. 그렇지만 정보보안과 개인정보보호 역시 서로 떼려야 뗄 수 없는 사항으로, ISMS와 PIMS인증 간의 중복도 적지 않았다. 과학기술정보통신부에 따르면 ISMS 인증항목 104개, PIMS 인증항목 86개에 대한 비교 검토 결과, ISMS 인증항목 82개(78.8%)가 PIMS 인증과 동일하거나 유사했으며 PIMS 인증항목 86개를 기준으로 볼 때 58개 항목이 동일, 유사한 것으로 분석되었다. 더욱이 ISMS 인증의 경우 2012년 정보통신망서비스제공자, 직접정보통신시설 사업자, 정보통신망서비스 제공자 중 매출액, 이용자수 등 일정 기준에 해당하는 기업들은 의무적으로 받도록 법이 개정됨에 따라 미 인증 시 3,000만 원 이하의 과태료를 부과 받게 되었으며, 개인정보주기관리 항목을 담은 PIMS 인증의 경우 의무 규정은 아니지만 개인정보보호 관련 법령 위반으로 인한 과징금 부과 시 경감 혜택을 받을 수 있기 때문에 대부분 유지할 수밖에 없었다. 다시 말해 다수의 기업들이 ISMS와 PIMS 인증 간 유사ㆍ중복 항목에 대해 인증을 이중으로 받아야 하게 됨으로써 적지 않은 물리적경제적 부담이 발생하게 된 것이다.
구분 |
대상자 기준 |
세부분류 |
ISP |
전기통신사업법의 전기통신 사업자로 전국적으로 정보통신망 서비스를 제공하는 사업자 |
인터넷접속서비스,
인터넷전화서비스 등 |
IDC |
타인의 정보통신서비스 제공을 위하여 집적된 정보통신시설을 운영·관리하는 사업자 |
서버호스팅, 코로케이션 서비스 등 |
매출액 및 이용자 기준 |
연간 매출액 또는 세입 등이1,500억 원 이상이거나
정보통신서비스 매출액 100억 또는 이용자 수 100만
명 이상인 사업자 |
인터넷쇼핑몰, 포털, 게임, 예약, Cable-SO 등 |
상급종합병원 대학교 |
[표 2] ISMS 인증 의무대상자
복수의 인증제도 운영에 따른 기업의 부담을 해소시키고 더 나아가 융합화, 지능화되고 있는 침해 위협에 효과적으로 대응하기 위해서는 정보시스템의 안정성과 개인정보 흐름상의 위협을 구분 짓지 않아야 한다. 이에 정보와 개인정보를 단일제도에서 체계적으로 보호하기 위해 정부는 개별 운영되던 ISMS와 PIMS의 행정 및 인증심사 절차의 통합을 추진했고 2018년 말 ‘정보보호 및 개인정보보호 관리체계(ISMS-P)’가 정식 시행됐다. 지난 2002년 ISMS 인증이 시작된 이래 국내 정보보호 인증제도의 가장 큰 변화라고 일컬어지는 ISMS-P에 대해 보다 자세히 살펴보는 시간을 가져보도록 하겠다.
[그림 1] ISMS, PIMS 인증제도 통합 추진 경과 / 출처: 한국인터넷진흥원(KISA)
■ 최신 기술을 반영하고 개인정보 인증기준 특화항목을 마련한 ISMS-P ‘정보보호 및 개인정보보호 관리체계(ISMS-P)’가 도입됨에 따라 인증제도는 투 트랙 체계를 띄게 되었다. 보호하고자 하는 정보서비스가 개인정보 처리 단계별 보안 강화가 필요한 경우 정보보호와 개인정보 영역 모두를 아우르는 ISMS-P를, 그 밖에 개인정보를 보유하고 있지 않거나 개인정보 흐름의 보호가 불필요한 기존 ISMS 인증 의무 대상은 ISMS만 받으면 된다. 기존 ISMS 인증 범위는 서비스 운영을 위한 정보 서비스 중심이었고 PIMS는 개인정보 처리를 위한 개인정보 중심으로 운영되어 왔다. 그리고 정보시스템 및 개인정보 모두를 고려하여 통합된 ISMS-P는 유사 중복 항목을 통합 및 재배치하고 클라우드 서비스, 핀테크 등 최신 기술 및 이슈 사항뿐 아니라 개인정보보호법, 정보통신망법 개정에 따른 강화된 보호 조치까지 반영함으로써 현 상황에 맞는 더욱 발전된 형태를 갖추게 되었다.
[그림 2] ISMS-P 인증범위 / 출처: 한국인터넷진흥원(KISA)
ISMS 인증기준의 변화를 살펴보면, 관리체계 수립 및 운영 1개 항목(현황 및 흐름 분석), 보호대책 요구 사항 2개 항목(외부자 현황관리, 클라우드 보안)이 추가되었으며 유사 인증기준 18개 항목이 통합되면서 기존 104개 항목이 80개 항목으로 줄어들었다. 이에 본래 ISMS 의무화 대상 기업은 앞으로 80개 항목만으로 ISMS 인증을 받을 수 있게 되었다. 반면 PIMS 인증기준의 경우, 보호대책 요구 사항 12개 항목과 개인정보 처리단계별 요구 사항 4개 항목이 추가되고 유사 인증기준 15개 항목이 통합되면서 ISMS-P 전체적으로 봤을 때 기존 86개 항목이 102개 항목으로 늘어나는 결과가 되었다. 그러나 이들 중 80개 항목은 기존 ISMS와 PIMS 인증을 위해 필요한 공통 항목이며 생명주기 영역은 22개 인증기준의 특화 항목으로 마련됐다.
[그림 3] 인증기준의 변화 / 출처: 한국인터넷진흥원(KISA)
기업의 부담을 완화하기 위해 ▷ISO/IEC 27001 인증을 받거나 『정보통신기반 보호법 제9조』에 따른 취약점 분석 및 평가를 받은 경우 최초 심사와 갱신 심사에서 ISMS 일부 심사 생략(고시 제20조 제1항)을 받을 수 있으며, ▷중소기업기본법 제2조에 따른 소기업에 해당하는 경우와 인증심사 일부 생략을 신청하는 경우(ISMS), 정보보호 공시를 한 경우(ISMS) 수수료 지원(고시 제21조 제3항)을 받을 수 있다. 인증 수수료 또한 ISMS의 경우 현행 수준을 유지하였으나 PIMS의 경우 35%의 수수료 인하, 2개 인증을 함께 유지하는 경우 59%의 수수료 인하 혜택을 받을 수 있다.
[그림 4] 인증 수수료의 변화 / 출처: 한국인터넷진흥원(KISA)
보완조치 및 사후관리의 경우 1년 주기 사후심사와 유효기간 만료 3개월 전에 신청하는 갱신심사 신청으로 전과 동일하나, 보완조치 기간을 기존 30일에서 40일로 확대되어 기업들의 보완조치에 대한 부담을 조금이나마 완화하였다. 또한 기존 인증기준에 맞춰 인증을 준비했던 기업들의 불편을 최소화하기 위해 인증 신청인이 고시 시행 후 6개월까지는 개정 이전의 인증기준에 따라 신청할 수 있게 하였고, 기존 인증기준에 따라 인증을 취득한 경우에는 인증 유효기간까지 기존 인증기준으로 사후 심사를 받을 수 있게 하는 경과 조치 규정을 추가하기도 했다.
[그림 5] 인증 심사신청 / 출처: 한국인터넷진흥원(KISA)
신규 인증심사원의 자격 요건은 4년제 대학 졸업 이상 또는 이와 동등학력을 취득한 자로 정보보호 및 개인정보보호 경력을 각 1년 이상 필수로 보유하고 정보보호, 개인정보보호 또는 정보기술 경력을 합해 6년 이상 보유해야 한다.
구분 |
경력 인정 요건(중복인정 불가) |
인정기간 |
정보보호 경력 |
- 정보보호 관련 박사 학위 취득자 |
2년 |
- 정보보호 관련 석사 학위 취득자 - 정보보안기사,
CISA, CISSP |
1년 |
|
개인정보보호 경력 |
- 개인정보보호 관련 박사 학위 취득자 |
2년 |
- 개인정보보호 관련 석사 학위 취득자 - 개인정보보호 영향평가 전문인력, CPPG |
1년 |
|
정보기술 경력 |
- 정보기술 관련 박사 학위 취득자 - 정보관리기술사, 컴퓨터시스템응용기술사, 정보시스템 감리사 |
2년 |
- 정보기술 관련 박사 학위 취득자 - 정보처리기사, 전자계산기조직응용기사, 정보시스템 감리원 |
1년 |
[표 3] 신규 인증심사원 경력 인정 요건
■ 개인 및 기업들은 ISMS-P를 위해 무엇을 준비해야 하는가 그렇다면 이렇듯 변화한 ISMS-P에 대비하여 우리는 과연 무엇을 준비하면 좋을까? 개인의 입장에서 봤을 때 새로이 준비가 필요한 부분은 단연 클라우드이다. 최근 정보 시스템이 레거시 환경에서 클라우드 환경으로 전환(L2C: Legacy-To-Cloud)됨에 따라 ISMS-P에도 클라우드 보안에 대한 인증 항목이 추가되었다. ISMS-P를 준비하는 개인이라면, 클라우드 서비스 및 클라우드 영역에 대한 보안 대책의 이해가 선행되어야 할 것이다. 기업들은 ISMS-P 인증 의무 대상자가 점차 확대됨에 따라 정보보호 컨설팅 시장이 활성화되고 있다는 사실에 집중해야 한다. 그리고 이러한 새로운 변화에 대비하여 직원들의 역량 향상과 체계적인 교육을 통한 인증 심사원의 확보가 필요한 시점이라 할 수 있겠다. 과거 ISMS가 처음 시행됐을 때부터 ISMS-P가 시행되는 지금까지, 정보보호인증 무용론은 꾸준히 제기되어왔다. 정보보호 관련 인증을 받은 기업들이 해킹에 의한 고객정보 유출사고를 연이어 일으키게 되면서 그 실효성에 대한 의문이 끊이지 않았기 때문이다. ISMS-P는 기관기업이 정보보호 및 개인정보보호를 위해 최소한의 업무 환경과 프로세스를 갖추고 또 유지하고 있다는 것을 검증하는 과정이다. 따라서 이러한 인증이 어떠한 공격에도 안전한, 시스템의 보안성을 보장해주는 게 아니라 기관ㆍ기업의 보안성 향상을 위한 첫걸음 역할이라는 것을 잊어서는 안 될 것이다.