ISMS(-P) 란 무엇인가, 과연 ISMS 는 필요한가?
ISMS(-P) 는 Information Security Management System 의 약자로, 조직의 정보자산을 보호하기 위해 수립하고 운영하는 정보보호 관리체계가 안전하게 관리되는지 점검하여 인증해 주는 제도이다.
한국인터넷진흥원(KISA) 에서는 정보보호 및 개인정보보호를 위한 일련의 조치와 활동이 인증기준에 적합함을 인터넷진흥원 또는 인증기관이 증명하는 제도라고 소개되어 있다.
ISMS 인증 의무대상자는 정보통신망법 제47조 2항에 의거하여 아래 기준에 해당하는 회사(법인) 또는 공공기관이다.
| 구분 | 의무대상자 기준 |
| ISP | 「전기통신사업법」 제6조제1항에 따른 허가를 받은 자로서 서울특별시 및 모든 광역시에서 정보통신망서비스를 제공하는 자 |
| IDC | 정보통신망법 제46조에 따른 집적정보통신시설 사업자 |
| 다음의 조건 중 하나라도 해당하는 자 | 전년도 매출액 또는 세입이 1,500억원 이상인 자 중에서 다음에 해당되는 경우 - 「의료법」 제3조의4에 따른 상급종합병원 - 직전연도 12월 31일 기준으로 재학생 수가 1만명 이상인 「고등교육법」 제2조에 따른 학교 |
| 정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억원 이상인 자 | |
| 전년도 일일평균 정보통신서비스 이용자 수가 100만 명 이상인 자 |
ISMS 인증을 취득하기 위해서는 아래의 80개의 인증 기준을 충족시켜야 하고
1. 관리체계 수립 및 운영(16개)
2. 보호대책 요구사항(64개)
ISMS-P 를 위해서는 개인정보에 관련된 항목 21개를 추가로 취득하여야 한다.
3. 개인정보 처리단계별 요구사항(21개)
일반적인 ISMS 를 취득한다고 하더라도, 일반적인 정보통신서비스를 제공하는 회사에서 가장 중요하게 여겨지는 정보인 개인정보보호에 대한 항목을 심사에서 제외시킬 수는 없으니 백개가 넘는 항목을 준수해야 한다.
그렇기 때문에 ISMS 인증을 최초로 취득하고자 하는 규모가 그리 크지 않은 스타트업의 경우에도 인증을 위한 컨설팅과 보안 솔루션 구축, 서비스를 위한 인프라 구축(및 보안 강화)를 위하여 최소 2-3억원 정도의 지출은 필요하다.
그렇다면 과연, ISMS 인증을 획득한 회사의 보안 수준은 어떤 수준일까?
내 생각은 `회사마다 다르다` 이다.
심사원 자격증도 없는 입장에서 심사원들을 판단하기에 외람되지만 그동안 ISMS 인증심사를 받으면서 합리적인 심사원은 손에 꼽을 수 있을 정도이다.
피심사기관의 보안 수준을 점검하고, 보안 수준을 높이려는 의도를 보여주는 심사원이 있는가 하면,
'결함을 찾는다' 라는 목적으로 흠을 잡으려고 눈에 불을 켜는 심사원도 있었고,
'보안이 뭔가요? 나는 시간만 때우다 가겠습니다' 라는 심사원도 있었다.
특히나, AWS 와 같은 클라우드를 사용하며 심사원들의 역량은 크게 벌어지고 있는 상황이다. 클라우드가 도입된지 10년은 아득히 넘은 상황에서 아직도 심사원에게 VPC가 무엇인지, RDS 는 무엇인지, Kubernetes 는 무엇이며 어떻게 구성되어 있는지를 설명하고 이런 환경을 사용하는 회사에서 구축한 보안 시스템을 일일이 설명해야 하는 경우도 있었다.
클라우드를 모르는 심사원이, 클라우드 인프라를 사용하는 회사의 보안 수준을 제대로 점검할 수 있을까?
최근에 발생한 사고가 발생한 회사들 -SKT, KT, 쿠팡과 같은- 에 ISMS 인증이 없었을까?
이 세 회사는 보안에 투자하는 비용과 구축해놓은 보안 시스템의 수준을 순서대로 나열했을 때, 열손가락 안에는 들만한 회사들이다.
이런 회사에서 개인정보 유출 사건이 터졌다면, 다른 어떤 회사에서 비슷한 유출 사건이 터져도 이상하지 않다는 얘기이다.
사고가 발생할 때마다 'ISMS 무용론' 이 나오는 가장 큰 이유가 심사원들의 개인 판단에 의존한 심사 결과이지 않을까 싶다. 인증기준은 명확하지만, 인증 기준을 심사원마다 제각각 해석하여 결함 여부를 판단하는게 과연 객관적일 수 있을까?
공격자들이, 마음먹고 타겟을 정해서 공격을 시도한다면 제대로 방어할 수 있는 회사가 얼마나 있을까,
게임 이론에 따르면 보안(사이버 보안을 포함한) 분야는 '공격자 우위' 의 게임이다.
완벽히 물리적으로 분리된 환경 안에 대외적으로 노출된 서비스가 없어야만 완벽한 보안이 이뤄질 수 있는데,
대외적인 노출이 없는 서비스는 존재할 수 없다. 결과적으로 모든 서비스는 언제든 침해 사고 또는 개인정보 유출 사고 가능성이 있다는 얘기이다.
일반적인 국내의 규제는 positive 형태이다. ISMS 인증 요건을 보더라도 '내부 정책을 수립하여 운영하여야 한다, 망분리 환경을 구성해야 한다' 는 언급만 있을 뿐이다. 반대로 미국과 같은 국가는 negative 규제를 바탕으로 운영중에 있다.
- positive 규제 : 법률과 정책에서 허용되는 것들을 모두 나열하고 이외의 것들은 모두 허용하지 않는 규제
- negative 규제 : 법률이나 정책으로 금지된 것이 아니면 모두 허용하는 규제
이제는 우리나라도 positve 방식을 벗어나, 각 기업에 맞는 자율적인 방식으로 보안 시스템을 구축하고 사고 발생시의 과징금 등을 강화하여 책임을 강화하는 것이 바람직한 방법이 아닐까?