특별기획 03 - 기업의 지속성장을 위한 정보보호 관리체계 구축방안
정보보호는 경제적 손익과 직결되는 문제로 IT기술을 기반으로 하는 국민의 삶에 있어서도 정보보호가 이루어지지 않을 경우 사회혼란과 기업의 신뢰가치가 저하하게 되며, 고객정보 유출로 인해 집단소송, 주가하락, 기업의 존립자체를 위협하고 사회적인 손실을 발생하고 있다.
따라서 성공적인 정보보호는 기술적ㆍ관리적ㆍ물리적인 대책을 마련 시행함과 동시에 경영층의 지원이 뒷받침이 있어야 한다.
이에 기업에서 지속성장과 경쟁력 확보를 위해 체계적이며 효율적이고 최적화된 (개인)정보보호를 위한 대응전략에 대하여 살펴보고자 한다.
왜 정보보호가 중요한가
1) 정보보호 없이는 기업의 생존도 없다
2014년초부터 발생했던 금융사와 통신사의 대규모 고객정보 유출사고를 겪으면서 IT선진국이라는 국가적 자존심에 커다란 상처를 입었을 뿐만 아니라 국민들에게 커다란 충격을 안겨줬다.
카드 재발급이나 해지 등 스스로 개인정보 유출에 의한 2차피해 방지를 위해 불편을 감수해야 했으며, 내 정보가 언제 어디서 어떻게 악용될지 모른다는 불안감은 아직도 사라지지 않고 있다.
유출기업 입장에서도 피해는 막대하다. 신용으로 먹고사는 기업 신뢰도가 바닥을 치는 한편, 카드 해지·재발급, 시스템 재구축 등으로 막대한 비용을 들여야 했다.
이렇게 개인정보 및 기업정보 유출은 집단소송, 피해보상, 기업신뢰도 및 고객이탈, 주가하락 등 사회·경제적인 측면에서 큰 손실이 아닐 수 없다.
댐에 작은 구멍이 날 경우 그대로 두게 된다면 댐 전체가 붕괴되는 것처럼 정보보호없는 기업의 경쟁력 강화나 지속경영은 허상(虛想)에 불과하다.
기업은 정보보호에 만전을 기해 사후약방문(死後藥方文) 신세가 되지 말아야 한다는 뜻으로 시장에서 살아남기 위해 하루하루 소리없는 전쟁을 치르고 있는 모든 기업들이 귀를 기울여야 할 내용이다.
이제 기업의 정보보호에 대한 투자는 비용의 개념이 아니라, 비즈니스 기회를 예측하고 현재와 미래의 위험에 적절히 대응할 수 있는 핵심경쟁력인 동시에 예상하지 못한 위기상황에서 기업전반의 비즈니스 안정성을 유지하고 정보자산을 적절하게 보호하기 위한 경영활동의 하나인 것이다.
2) 개인정보 유출의 심각성
최근 개인정보 유출사고를 분석해보면 해킹 등과 같은 외부적 요인보다는 내부적 행위나 환경 등을 통한 정보유출이 증가함을 알 수 있다.
피해규모가 해킹 등으로 유출되는 정보의 양이나 종류, 피해규모, 질적인 면에서 과거에 비해 더 크고 심각할 수밖에 없다.
기업의 정보보호 구현을 위한 전략을 수립하기 위해서는 기본적인 개념과 규정에 대해 이해가 선행되어야 한다.
「정보통신망 이용촉진 및 정보보호 등에 관한 법률」(이하 “정보통신망법”이라 함)상의 개인정보란 생존하는 개인에 관한 정보로서
성명·주민등록번호 등에 의하여 특정한 개인을 알아볼 수 있는 부호·문자·음성·음향 및 영상 등의 정보(해당정보만으로는 특정개인을 알아볼 수 없어도 다른 정보와 쉽게 결합하여 알아볼 수 있는 경우에는 그 정보를 포함함)를 말한다.
이러한 개인정보는 전자상거래, 고객관리, 금융거래, 서비스 이용 등 정보사회의 구성, 유지, 발전을 위한 필수적인 요소가 되었다.
또한 기업의 입장에서도 수익창출을 위한 자산적 가치로서 높게 평가되고 있다.
하지만 만약 누군가에 악의적인 목적으로 이용하거나 유출될 경우 개인이나 가족의 안전과 재산에 큰 피해를 줄수 있다는 것이다.
매일 수신되는 스팸문자/보이스피싱/나를 사칭한 메신저상의 금융사기 등이 모두 개인정보 유출과 관련될 수 있기 때문이다.
3) 정보보호를 디자인하라
그동안 침해사고(해킹, DDoS 등), 개인정보 유출사고 등 대내 외 환경변화, IT환경의 가속적인 변화는 지속적인 정보보호 관리활동을 요구하게 되었고, 기술적인 정보보호 위주에서 관리적 중심의 정보보호 문제로 발전하게 되었다.
개인정보 유출이나 침해사고에 대한 그동안 기업에서 대응해오던 일시적이고 단편적인 방법에서 이제는 정보보호 분야에서도 체계적이고 전략적인 디자인적 사고의 필요성이 대두되고 있다.
즉 정보보호에도 분석과 직관을 모두 활용한 디자인적 사고가 필요하다는 것이다.
이러한 정보보호 분야의 디자인적 사고는 정보보호활동인 정보보호전략 수립 및 프로그램 개발을 새로운 비즈니스로 디자인하려는 노력과 최적화된 구축방법론이 필요하다는 것이다.
이를 위해 기업에서 정보보호를 디자인하기 위한 가장 체계적이고 최적화된 방법론인 정보보호 관리체계(ISMS; Information Security Management System)와 개인정보보호 관리체계(PIMS; Personal Information Management System)에 대해 소개하고자 한다.
왜 정보보호 관리체계(ISMS)인가
1) ISMS 개념
ISMS란 정보보호에 관한 경영시스템이며 조직의 의사결정시스템, 내부통제시스템으로 위험관리와 동일한 개념이라 할 수 있다.
조직내에서 품질경영이나 환경정책에서 자주 사용하는 용어중에 하나가 관리체계(Management System)이다.
이는 컴퓨터시스템에서의 단순시스템을 지칭하는 것이 아니며, 어떤 대상을 잘 관리하는 구조적인 체계를 말한다.
이 구조는 일반적으로 PCDA(Plan-Do-Check-Act) 사이클 기반으로 실행된다.
경영학의 대가인 P.드래커에 의하면 관리체계는 사람들이 공동으로 성과를 올릴 수 있게 하며, 강점을 발휘하고 약점을 무의미하게 한다고 하였다.
이런 기능을 실현하기 위한 구조를 만들기 위해서는 경영자원으로서 사람, 물건, 돈, 정보 등이 필요하다. 기업은 어떤 경영자원을 준비하고 어떻게 활용하는가가 중요하다.
「정보통신망법」상 국내 정보보호 관리체계의 공통 표준모델(이하 “ISMS”라 함)은 이런 구조를 위해 필요한 경영자원(예를 들어 조직, 인재, 설비, 정책, 목적, 제도, 절차, 문서, 기록 등)과 이런 구조의 구축방법, 운용방법 등을 PDCA 사이클로 나타낸 것이다.
ISMS는 정보보호 대상이 되는 기업에서 취급하는 ‘정보자산’이라는 개념을 사용하고 있다.
기업내에 있는 다양한 유무형의 ‘정보자산’이 유출되거나 조작되거나 또는 도난당하는 위험을 방지하는 설비와 대책을 개선·관리하기 위한 규칙을 정하고, 정보의 가치를 중심으로 위험관리를 지속적으로 수행하는 것이 ISMS이다.
이러한 개념하에 정부는 2002년에 정보보호관리체계인증제도(「정보통신망법」 제47조)를 도입하였고, 2013년에는 2004년 도입된 정보보호안전진단 제도를 폐지하고 보다 수준높은 ISMS 인증제도로 일원화하여 일정규모 이상 사업자에게 의무화하였다.
국내 ISMS는 국제규격인 ISO 27001도 있으나 국내환경에 적합하고 보안환경 변화에 유연한 대처가 가능하도록 차별화된 프레임워크를 개발하여 적용하였다.
현재는 컨설팅방법론뿐만 아니라 국내 많은 보안관리제도, 정책, 서비스 등 분야에 공통표준 프레임워크로 활용되고 있다.
ISMS의 목표는 의사결정시스템, 경영관리체계, 내부통제시스템의 하나로 기술적인 면뿐만 아니라 정보보호 운용 및 인적 조직을 포함한 전반을 관리체계로 연결시켜 나가는 데에 있다.
ISMS는 기업경영과 IT영역의 중요한 위험관리 활동의 하나이다. 기업입장에서 ISMS 구축의미는 고객 또는 폭넓은 사회전반으로부터 신뢰를 이끌어낼 수 있다는 것이다.
2) 효율적인 ISMS/PIMS 구축방법
ISMS/PIMS는 기업의 규모, 업종, 서비스 형태, 물리적 위치 등과 상관없이 위험관리 기반의 정보자산가치 중심으로 설계하도록 하고 있어 모든 조직에 적용이 가능하다는 것이 가장 큰 장점이다.
기업이 위험분석을 통해 정보의 가치에 따라 보호대책을 수립하도록 하여 기업 스스로 정보보호 수준을 정하고 수준측정을 통해 매년 개선해 나가는 것이 기본철학이다.
이는 기업이 컴플라이언스 차원에서 최소한의 규정만 준수하고자 하는 것을 방지하고자 한 것이 특징이다.
그러나 현실적으로 시장에서는 ISMS/PIMS 인증제도가 많이 왜곡되어 운영되고 있는 것을 볼 때 제도를 입안한 한사람으로서 많이 안타깝다.
ISMS/PIMS 구축방법으로는 우선 그림 1 과 같이 조직이 보호해야 할 정보자산을 식별하고, 이 정보자산에 대한 리스크(Risk)를 식별하고 분석하며 평가해 다양한 리스크관리 대책을 수립해야 한다.
최고책임자의 참여와 지원하에 ISMS를 구현하고, 상시적인 모니터링, 감사, 성과측정 등 지속적으로 개선하는 과정을 주기적·반복적으로 수행하게 된다.
ISMS/PIMS 구축시에는 공통표준 프레임워크인 5단계 모델에 따라 순차적으로 ① 정보보호정책 수립 및 범위설정 → ② 경영진의 책임 및 조직구성 → ③ 위험관리 → ④ 정보보호대책 구현 → ⑤ 사후관리 5개 프로세스와 각 프로세스별 12개 단계를 순차적으로 추진하면 정보보호 관리체계를 어렵지 않게 구축하고 운영할 수 있다.
그림 1 과 같이 기업의 효과적인 ISMS/PIMS 구축전략으로는 ISMS 표준 프레임워크에 따라 먼저 정책수립, 범위설정, 조직구성, 정보자산에 대한 위험평가 등 체계적이고 일관적인 정보보호 관리활동을 할 수 있는 기틀을 마련하는 것에서부터 시작해야 한다.
위험관리는 정보자산의 평가, 위험의 명확화, 적절한 대책의 실시 및 적절하게 운영되는 업무프로세스의 구축이 균형적으로 실현되는 것이 중요하다.
정보라는 눈에 보이지 않는 자산을 대상으로 하는 정보보호활동에서는 확실한 관리체계를 구축하지 않고는 정확하게 관리하고 운영할 수 없다. ISMS/PIMS는 정보보호의 가장 기본이자 시작이다.
개인정보보호 관리체계(PIMS)
1) PIMS 개념 및 구축
PIMS는 ISMS의 기본목적을 따르면서 ISMS보다 개인정보에 특화해 기업이 고객들의 개인정보를 보호활동을 지속적이고 체계적으로 수행하기 위한 체계를 지칭한다.
PIMS는 종합적이고, 선순환적인 최적화된 개인정보보호 수단을 제공하고 있다.
ISMS와 마찬가지로 PIMS 또한 단편적·일회적인 조치가 아닌 체계적·지속적으로 개인정보보호 조치가 가능하도록 하는 일련의 관리시스템으로, 개인정보보호 관련법령, 각종 지침·가이드 및 기업 내부 규정 등을 이행하기 위한 다양한 보호조치로 이루어진다.
PIMS는 조직이 보호해야 할 개인정보와 관련된 자산을 식별하고, 개인정보에 발생가능한 리스크를 식별하고 분석하며 평가해, 이에 적절한 보호대책을 구현하고 상시적으로 이 체계를 모니터링하여 개선하는 체계이다.
이런 프로세스는 ISMS의 공통표준 프레임워크를 따르고 있다. 개인정보에 대한 리스크는 개인정보도 정보의 일부분이므로, 보안리스크가 상속하게 된다.
그러나 PIMS에서는 개인정보보호 법/제도나 프라이버시 원칙을 위반하는 리스크를 고려해야 한다.
이러한 리스크를 프라이버시 리스크라 하며, 이러한 리스크를 감소 또는 없애기 위한 보호대책도 요구된다.
ISMS와 PIMS 특징
「정보통신망법」상 ISMS와 PIMS의 두 체계간의 주요특성, 유사점과 차이점을 살펴보고자 한다.
ISMS는 우선 위험분석에 기반해 조직의 정보, 서버 및 네트워크 장치 등의 정보자산에 대해 기밀성, 무결성, 가용성을 보존하기 위해 요구되는 체계를 수립, 구현, 운영·모니터링, 유지·개선하기 위한 조직의 관리체계이다.
또한 PIMS는 ISMS에 추가적으로 개인정보에 특화해 기업이 고객들의 개인정보를 보호하기 위한 체계이다.
ISMS나 PIMS의 경우 공통적으로 무엇을(What)에 대해서만 정의하고 어떻게(How to)에 대해서는 규정하고 있지 않다.
특히 정보보호대책의 경우 위험관리를 통해 기업 스스로 수준을 정하도록 하고 있다.
이에 따라 쉽게 범할 수 있는 오류는 정보보호 이슈가 발생할 때마다 일회성의 단편적 보호대책이나 최소한의 보호대책을 적용한다는 것이다.
또한 정보보호 문제를 단지 IT관점으로만 접근하여 보안솔루션이 모든 문제를 해결해 줄 수 있을 것이라고 믿는 것에 있다.
성공적인 정보보호를 위해서는 지속운영 가능하도록 체계를 만드는 것과 업무절차적인 관점의 접근을 고려하여 해결책을 수립하는 것이 필수적이다.
특히, PIMS의 경우 개인정보가 수집되는 시점부터 폐기되는 시점까지 개인정보 생명주기(개인정보 수집→이용 및 제공→관리 및 파기)에 따른 보호대책을 수립할 것을 요구하고 있다.
개인정보를 사용하는 부서/직원/시스템에 대한 파악과 해당 개인정보의 흐름을 파악하는 일을 가장 최우선으로 해야 한다.
결론
기업의 정보보호는 급변하는 환경 속에서 기업의 미래생존을 위한 핵심가치를 지속시키고자 하는 것이다.
정보보호에 대한 기업의 사회적 책임과 역할이 어느 때보다 중요한 시점이며, 정보보호 컴플라이언스, 정보보호 거버넌스 등 정보보호 관리문제가 기업경쟁력의 핵심요소로 인식되고 있다.
특히, 기업의 정보유출은 집단소송 등에 따른 기업의 막대한 손실뿐만 아니라 국민경제에까지 피해를 입힐 수 있기 때문에 보안솔루션이나 장비를 도입해서 보안을 완성했다는 착각에 빠져서는 안된다.
그동안 정보유출이 발생한 기업들이 기술적 보안이 부족했기 때문이 아니다.
내부통제뿐만 아니라 기술적·관리적·법률적 대응을 체계적으로 운영할 수 있는 종합적이고 최적화된 관리체계를 구축하여야 한다.
또한, 기업의 비즈니스전략과 부합된 정보보호전략을 일관적으로 수행할 수 있는 디자인적 사고가 필요하다.
정보보호 사고로 인한 법적분쟁 발생시 정보보호활동에 대해서도 어떻게 대응할지 고민해야 한다.
이런 문제를 해결하기 위한 가장 적합한 방법은 ISMS/PIMS를 구축·운영하는 것이다.
이제는 기업의 성공비즈니스를 위해서는 ISMS/PIMS를 구축하고 인증을 취득하는 것이 선택이 아니라 필수가 된 것이다.
정보보호 관리체계는 실천이며 기술이 아니라 예술이다.