ISMS.
단어 배열 그대로
"정보를 보호하는 관리체계"입니다.
ISMS가 '정보'를 보호하는 활동이므로,
이를 위해서는 '정보'를 향하는 관리활동이 최우선임을
전 세계 많은 전문가분들이 오래전부터
여러 방편으로 주장해 오셨습니다.
필자도 미미하게나마 그런 노력을 해 왔고요.
확실한 증적이 남아있는 것들로는 ::
ISMS 담당 기관에 방문 설명 및 자료 제공: 2016년 03월
행정기관 담당자분들에게 Mail 송부: 2018년 09월부터 수차례
직접 호소/요청 후 Facebook에 공개적 게시 2019년 08월부터
(위 댓글에 여러 실무종사자분들의 말씀이 남겨져 있습니다)
몇 주전, 이 Site(Brunch)에서도 다뤘고요.
고맙게도 어느새 KISA 인증기준 안내서(2022년 04월 공지)에 아래 빨강테두리 내용이 오래전 것들과 달리 추가되어 있습니다.
그렇지만,
저와 주변 지인들의 작년(2022년말)까지 인증심사 경험으로는
실질적인 변화를 느끼지 못하고 있습니다.
기업을 대상으로 하는 보안 지원 사업을 수행하는 공공기관들을 보면,
등 대부분에서
일단
정보를 식별/분류/등급화 작업을 우선 수행한 후에,
그에 따른 보호대책을 세우는 절차로 진행합니다.
이렇듯, 정보보호가 전문이 아닌 기관조차
이 당연한 개념을 자신들의 사업에 담고 있습니다만,
KISA ISMS 인증심사 실무현장에서는 그렇지 않습니다.
필자와 한 팀으로 인증심사를 경험해 본 분이라면
제가 심사팀장역할자에게 이 사안을 설득하려 힘들이던 장면을 보셨을 겁니다.
별 힘들 이유가 없는데, 매번 참 힘들었어요.
2007년부터 작년까지
수백일에 이르는 ISMS 인증심사에서
KISA ISMS에서의 정보자산이란
Server, OS, App, NW장비 등을 지칭했습니다.
문서라 해도 정책서, 이행증적자료 뿐이었습니다.
그 외의 정보관리상태를 보려고 시도라도 하면,
인증심사팀장 역할자에게 제지를 받아왔고,
제출하는 결함보고서 초안 중 이런 부분의 것들은
아예 통째로 거부되거나, 중요한 부분이 삭제되어 왔습니다.
KISA는
이루 다 열거하기 어렵도록 많은
유익하고 고마운 지원사업들을
우리나라 (중소)기업/조직들에게 쏟아붓고 있지만,
그런 공헌들과는 별개로,
ISMS 인증심사 현장에서
'정보' 자체를 관리하는 노력을 검토하지 않도록 제도를 굳혔습니다.
보호할 대상을 식별조차 하지 않은 채
보안 기능의 구축과 운영부터 요구하는 격입니다.
KISA에서 몇 기관에 심사업무를 위양하고
인증심사팀장 역할자분들이 심사실무를 수행하는 과정 중간 어딘가에서
이 중요한 사안이 누락되었나 봅니다.
기획의 오류든,
교육의 부실이든,
누군가의 업무태만이든,
어떤 이유로든지
이런 상황은
반드시 교정되어야 할 문제라고 생각합니다.
BS7799의 유사기준으로 시작하여,
국제표준(ISO)을 그대로 도입한 국가표준(KS)까지 제치고
독자적인 제도로 만들어 운영하면서도,
KISA ISMS 제도는
이행 현장에서 ISMS의 본연적 취지를 무시하고 있습니다.
물론 KISA 인증제도의 존재로 인한 국익도 크지요.
인증취득이 필수인 조직들은 ISO같이 자율적인 경우보다는
아무래도 준비와 유지에 더 노력할테고,
전문기관의 관리감독하에 있다보니
심사의 강도가 비교적 세다는 불평까지 듣는 것을 보면요.
"ISO9001 인증서는 몇백만원 주면 당일 택배로 보내줄 수 있다.
필요한 회사 소개해 주면 얼마 떼어 주겠다"는
참혹한 얘기까지 필자 귀로 들었을만큼 표준 인증 관련 시장은 혼탁합니다.
(ISO27001를 향해서는 그런 얘기를 듣지 못했고,
실제 현실로도 그렇게까지는 아니라고 생각합니다)
이 글에서 필자가 짚는 문제는
그런 인증취득의 난이도 측면이나,
제도 주관기관 또는 국적과는 완전히 무관하게
"명색이 ISMS라면,
정보보호의 핵심인 Primary Asset을 향한 관리노력을 검토해야 한다"는 말씀입니다.
저의 이 문제인식이 대략이라도 맞다면,
KISA는 이제부터라도
PDCA 원칙에 따라, 스스로의 제도를 개선해야 합니다.
정보 자체를 향한 관리활동의 필요성은
5.09 information and other associated assets
5.12 Classification of information
5.13 Labelling of information
에 이미 분명하게 선언되어 있고,
1.2.1 정보자산식별
2.1.3 정보자산관리
에도 희미하게나마 명시되어 있으니까요.
'희미'하다는 뜻은
'보안/보호 노력은 우선(Primary) '정보'를 향한다는 기본 개념을
KISA가 인증제도/심사방법론/해설서/교육자료 등에 제대로 담지 못했기 때문입니다.
자산의 정의에 관해서만 보아도
자산의 정의는 물론, 2 가지 큰 구분, 그 둘 간의 주종관계까지 명시했습니다.
(위 내용은 예전 ISO27005:2011 AnnexB에 있었던 것을
2022년에 아예 27002 본문으로 끌고 들어왔습니다)
이런 ISO 개념에 따르는 정보자산 식별/분류와,
현재 KISA 안내서의 '단순나열'과는
아무래도
완전하게 다른 결과가 유도됩니다.
무례스러울만큼 심하게 묘사해보자면,
ISO: 보호할 대상을 식별하고, 그 보호의 필요성과 방법을 찾는다.
KISA: 대외서비스 관련 자산들만, 잘 보호하는 방법을 찾는다.
이 정도의 비교도 크게 틀리지 않은 상황이지요.
ISO27002의 "information and other associated assets"는
"Primary assets and other Associated Assets"
"정보와 그것을 보호하는 도구(지원자산)들"이라는 뜻이니까요.
물론 이런 문제 제기는
Web 기반의 '개인정보'취급 상황보다는 더 일반적이고 공통적인,
기업의 '중요정보' 보호에 관한 말씀이었습니다.
모든 기업이 개인정보만 취급하지는 않지요.
제도가 이렇다보니,
KISA ISMS 심사현장에서는 참 기막힌 상황이 펼쳐지는데,
가장 큰 문제가
기업의 중요한 내부정보를 취급하는 Groupware, Mail, FileServer 등을 자산식별에서 무시하는 관행입니다.
Web기반 등의 대외서비스에 필수적이지 않다는 이유로요.
아래는 KISA 발간의 인증제도 안내서 2021년 07월판 중 해당 내용입니다.
저의 모든 심사 경험에서도,
자산목록에 Groupware나 Mail Server 누락 및 보호조치 결여를 지적하면
심사팀장 역할자는 이 안내서를 근거로 저의 심사결과 초안을 삭제하거나 축소편집했습니다.
그 분 개인 단위의 잘못이라기보다는,
그렇게 유도한 KISA 부서의 오판이지요.
심사팀장 역할자분들은 PDCA에서 'D'를 담당하셨고,
애초에 'P'부터 잘못되었으니까요.
정작 기업 자신들에게 중요한 정보를 식별하지 않으니,
기업 내부의 중요정보를 취급하는 IT자산 보호노력이 부실해도 인증서는 부여됩니다.
이런 상황은 올바르지 않지요.
특히 Groupware나 ERP는,
그 조직의 업무 Process를 이식하고 처리하는 도구여서,
장애 상황에는 모든 Process가 멈춥니다.
당연히,
KISA에서 그토록 중시하는 "대외 IT서비스" 관리/유지보수 Process도 불가능해집니다.
그러므로!
설령 Groupware에서 중요한 정보들을 취급하지 않는다하더라도,
항상 Groupware를 핵심적인 자산으로 인식하고 보호해야 합니다.
이 글이 올바른 'C'라면,
이제 'A'가 남았습니다.
(제가 모르는 분들의 제가 알지 못하는 노력이 있을테지만)
일단은 저도,
최소 만 7년이상 'C'를 짚어 왔는데,..
쉽지 않네요. 참 힘듭니다.
첫 단추가 이렇게나 깊게 박혀 있습니다.
이 분야에서 전문가로 자처해 왔던 분들이
이러한 관행이 교정되도록
이제까지보다 더욱 더 노력해 주시기를
진심으로 바랍니다.
사람은 누구든지 처음부터 완벽할수 없으므로,
필자를 포함한 전문 직업인 스스로 PDCA를 실천해야 합니다.
KISA ISMS를 현재 운영하는 부서의 장 및 부서원 모든 분들,
ISMS 제도에 PDCA Cycle을 적용해 주세요.
IT 영역에서 ISMS 제도 본연의 취지, 핵심, 범위, 한계를 다시 가다듬은 후에
OT 등 다른 보안 영역들과의 연계/영역구분 등을 고민해야 합니다.