기초가 튼튼해야 한다.
어느 분야든 마찬가지다. 지난 2002년 월드컵 4강 신화를 달성한 히딩크 감독의 비결 중 하나도 선수들의 기초 체력 강화였다.
정보보호 분야에서의 기초 체력 강화는 기업의 조직적·물리적·관리적 보안 대책을 망라하고 있는 정보보호관리체계 운영이 그 답이 될 수 있다.
원전·제조·서비스 등의 산업군에서 제공하는 서비스 제어와 운영이 정보통신기술에 의해 이뤄지고 있는 점을 고려하면, 많은 보안 전문가들은 향후 사이버 공격이 정보통신 분야를 넘어 금융·의료·제조업·화학·에너지 등 전 산업군으로 확대될 것으로 예측한다. 전 산업군의 보안 수준 향상이 절실하다는 얘기다.
정보보호관리체계는 정보 자산에 대한 기밀성·무결성·가용성을 보증하기 위한 절차와 과정을 체계적으로 수립·문서화하고, 지속적으로 관리·운영하기 위한 조직의 경영 활동에 통합된 관리 과정이다.
현재 정보보호관리 인증 체계는 △정책과 법·제도를 개선하는 미래창조과학부 △인증 심사팀 구성과 심사 수행, 그리고 인증서를 부여하는 인증기관인 한국인터넷진흥원 △인증기관 내에 설치돼 인증 결과를 심의·의결하는 인증위원회 △관리체계를 구축하고 인증기준 만족 여부를 심사·요청하는 기업 등으로 구성돼 있다.
지난 2007년부터 정보보호관리체계 인증위원회 위원장으로 활동하면서 참으로 많은 것을 경험하고 얻었다. 여전히 국내 정보보호관리체계 인증 발전을 위해 갈 길이 멀다고 느낀다.
우선, 기초 체력에 해당하는 정보보호관리체계를 금융, 의료, 제조업, 화학, 에너지 등의 전 산업군으로 확대해야 한다. 이를 위해 다양한 제도적 기반을 마련해야 한다. 특히 최근 사이버 공격 대상이 된 온라인 게임 사이트, 웹하드 업체, 쇼핑몰 사이트로의 의무 확대는 지속돼야 한다. 그뿐만 아니라 관리체계가 방송·의료·금융 기관 등 전 산업군으로 확대, 적용되어야 한다. 더불어 다양한 산업군별 정보보호관리체계도 필요하다.
산업군별 정보보호관리체계 인증도 기존 정보보호관리체계 인증 틀 안에서 이뤄지거나 연계시켜야 한다. 대표적으로 금융 및 의료 분야 정보보호관리체계 인증도 기존 정보보호관리체계 인증 체계 안에서 확대 운용하는 게 바람직하다. 산업군별 고유의 보안 대책이 존재할 수 있는 것은 인정하나 관리체계 운영과 관련해 많은 공통 부문이 존재할 뿐만 아니라 국가 차원에서 보면 인증 조직·자원·인원의 중복 투자를 막을 수 있기 때문이다.
더불어 한국인터넷진흥원의 인증 조직 신설과 기능을 강화해 다양한 산업군별 인증 업무를 총괄하는 방안도 적극 고려해야 한다. 또 산업군별 특화된 보호대책을 개발하고 전 산업군에 특화된 인증서를 부여하기 위해 유관 정부 부처와의 협력 체계 구축도 필요하다.
마지막으로 지능형 사이버 위협 수준에 따른 보호대책을 포함한 인증 기준 및 인증 품질 고도화도 필요하다. 보호 대책도 공격 및 위험 수준에 따라 산업군별로 특화해 적용해야 한다. 인증 품질 고도화는 인증심사팀의 자질 고도화와 직결되며, 인증 절차 개선과 인증 심사 결과 일관성을 확보하기 위한 다양한 가이드라인 개발도 필요하다.
새해는 정보보호관리체계를 전 산업군으로 확대 발전하는 원년이 돼야 한다. 이는 유관 정부부처를 포함한 기관간 협력과 산업군별 특화된 보호대책 개발, 기존 정보보호관리체계와의 긴밀한 연계, 그리고 산업군별 인증 품질 고도화에서 시작돼야 할 것이다.
염흥열 ISMS인증위원장·순천향대 정보보호학과 교수 hyyoum@sch.ac.kr
