[넋두리] 7. 보안조직과 보안 인증

마지노선이 된 보안 인증

정보 유출사고가 매일 온라인 뉴스면을 장식하는 요즘, 기업 정보보안조직의 마음은 복잡하다. 유출사고가 많다는 의미는 악의적인 해커에 의한 정보 유출 시도가 많다는 것. 우리 회사에서 침해사고라도 발생하면 안 그래도 비주류인 정보보안 조직으로서는 조직 자체가 위험해질 수 있기 때문이다. 기업이 온라인 서비스를 주 업종으로 하는 경우라면 해커의 주요 공격 대상으로 노출되어 있으므로 더욱 민감할 수밖에 없다.

상황이 이렇다 보니 잘해야 본전이요 사고 나면 본전도 건지지 못하는 처지의 정보보안 담당자들은 스스로를 지킬 수 있는 보호막을 찾기 시작했고, 그에 대한 해결책 중 하나로 정보보호 인증이 부각되었다. 통상 정보보호 인증은 법에서 강제하는 인증제와 기업이 자발적으로 신청해 받는 인증제로 나뉜다. 전자는 '정보통신망 이용촉진 및 정보보호 등에 관한 법률'에서 정한 ISMS-P가 대표적이고 후자는 국제적으로 통용되는 ISO 27001 및 ISO 27701이 가장 유명하다. 대기업, 금융회사, 포털사, 게임사들은 이러한 인증제도 중 1~2개 정도는 획득하고 있는 것이 일반적이다.

인증 획득이 정보보호 담당자의 보호막 역할을 위해 활용되는 이유는 일정 수준 이상(해당 인증 획득 자격을 유지할 정도)의 정보보호 활동을 잘해오고 있다고 대외적으로 보여주는 증명서 역할을 하기 때문이다. 더해 정보 유출사고가 발생할 경우 각종 형사/행정/민사 소송에 휘말리게 되는데 이때 기업에 유리한 자료로 활용할 수 있으며, 열심히 일하고 있다고 경영진에게 보여줄 수 있는 좋은 도구이기도 하니 일석삼조의 역할을 하는 셈이다.

이렇듯 유용한 정보보호 인증제도이니 인증을 획득한 기업의 정보보호 수준이 높아야 하는 것이 당연한 듯 보이나 속을 들여다보면 실상은 기대에 미치지 못하는 경우가 허다하다. 기업들 중 일부는 단순히 인증을 획득하고 자격을 유지하기 위한 단편적인 작업들에만 치중하기 때문이다.

인증 보유자격 여부를 심사하는 심사원들의 경우 짧게는 사흘에서 길게는 오일 정도 머물며 기업의 인증 자격을 판단하기 위해 각종 문서자료들을 검토하며, 문서를 토대로 자격 획득과 유지 여부를 판단한다. 이러한 맹점을 악용해 일부 정보보호 담당자는 정보보호 활동 수행보다는 문서를 만드는 작업에만 치중해 인증자격을 획득ㆍ유지하고 있다.

대부분 관련 작업을 낮은 가격에 외부 컨설팅 전문업체에 발주하며, 1년 치 결과물을 1~2개월 만에 뚝딱 만들어내는 기염을 토함으로써 인증심사에 대응한다. 이 과정을 통해 기업은 아무런 문제 없이 자격을 획득ㆍ유지하고 있는 것이 당면한 현실이다.

정보보안조직이 이런 행태를 보이는 이유는 정말 단순하게도 전문 보안인력이 부족하기 때문이다. 최소한의 인력이 보안과 관련된 업무 전체를 처리하고 있는 현실에서 추가로 인증을 위한 작업량을 감당하기 어려운 것이 현재 대부분 보안조직의 현실이다. 돈을 버는 조직이 아니라는 이유 하나로 기업에서 비주류(아웃사이더)로 취급되고 있는 보안조직에게 추가 인력을 확보한다는 것은 정말 어렵고도 절실한 과제이다.

인증심사를 수행하는 심사원의 능력도 중요하다. 간혹 운 좋게 능력 있는 뛰어난 심사원이 심사에 합류한 경우 짧은 기간에도 전문적이고 꼼꼼한 심사를 통해 문제점을 지적받고 개선하는 기회를 얻는 행운을 얻을 수 있으나, 반대로 운이 나쁜 경우도 상당수 존재한다. 그러므로 정보보안 분야의 인증을 획득하였다는 것은 인증심사를 신청할 수 있는 정도의 문서작업 결과물을 확보했음을 증명할 수는 있겠으나 딱 거기까지만이다.

정보보호 인증제도는 기업의 정보보호 수준을 대외적으로 알릴 수 있는 유용한 수단이다. 소비자들은 이를 통해 기업의 정보보호 수준을 판단하게 된다. 그러나 많은 기업이 여러 개의 보안인증을 획득하고도 정보유출 침해를 당하는 것에서 알 수 있듯 많은 보안인증을 보유한 것이 침해를 예방할 수 있음을 의미하지는 않는다. 인증을 획득하고 유지하기 위해 꾸준히 노력하는 그 과정이 정보보호 인증제도의 진정한 목적임을 기업들이 명심하였으면 한다.