금융권 ISMS, 일률적 잣대로는 보안 실효성 떨어져

이지혜 팀장 jh_lee@ciociso.com

금융기업은 정보보호 관련 법률에 따라 금융위원회에 국제 또는 국내 인증 획득 현황을 보고하고 있다.
특히 ISMS(Information Security Management System)는 정보통신망의 안전성 확보를 위한 기술/물리적 보호조치 등을 포함한 종합적인 국내 정보보호관리체계 인증제도다. ISMS인증의 유효기간은 3년이지만 인증 받은 기관은 매년 1회 이상의 사후관리 심사를 통해 인증기준 이행 여부를 지속적으로 확인해야 한다. 또한 정보보호 관리등급을 받은 경우 유효기간이 1년으로 지정된바 있다.
중요한 점은 지난 3.20 사이버테러로 인해 보안관리 문제가 다시 제기되면서 일반 기업뿐 아니라 금융권에서 역시 ISMS 도입의 확대 필요성과 실효성 문제가 함께 대두되고 있다는 점이다. ISMS가 의무화됐음에도 불구하고 금융권의 인증획득은 아직 미미한 수준이며, 이미 국제 인증인 ISO27001을 획득한 금융기업에서는 ISO27001과 ISMS가 중복되는 사항이 많고, 이를 준비할 수 있는 리소스(인력 및 비용)가 부족한 점을 진행 시 가장 큰 애로사항으로 꼽고 있다.
하지만 ISMS 인증을 주관하고 있는 한국인터넷진흥원 측은 이러한 업계 우려의 목소리에 대해 명확한 입장을 내놓지 못하는 소극적인 입장을 보이고 있다. 또한 이미 ISO27001과 ISMS를 모두 획득한 금융기관에서도 해킹이 발생하는 등 정보보호에 대한 불안감과 함께 ISMS 제도의 실효성 논란은 쉽사리 가라앉지 않고 있다. 이에 대해 금융업계는 ISMS가 기업 매출액 및 이용자수 등 단편적이고 일률적인 지표보다 각 기업의 특성 및 기능에 따른 실질적인 평가기준으로 개선돼야 한다고 강조한다.
금융기관의 가장 큰 우려는 감독기관이 기업에 대한 일률적인 잣대로 ISMS를 적용할 수 있다는 점이다. 특히 이미 ISO27001을 획득한 기업에서는 ISMS와 이것과의 차이는 국내외 어디서 활용되고 인정받을 수 있는가만 다르다는 목소리다. 실제로 업계 한 관계자는 인증 시행기관이 ISMS를 만들 때 ISO27001을 대폭 참조했다는 얘기도 심심치 않게 들리고 있다고 전했다. 두 인증 사이의 크로스 체크(cross check)되는 부분보다 중복되는 사항이 많을 수밖에 없다는 것이다.
또한 ISMS 획득을 위한 투입 인력과 비용 또한 이중으로 진행돼 기업 입장에서는 상당한 부담감을 느끼고 있는 것으로 보인다.
절차에 따라 인증획득 위한 증적자료 수집 및, 획득 후 진행/운영에는 그에 적당한 리소스가 투입돼야 하지만 현재 557모범규정도 빠듯하게 시행하고 있는 대다수 금융기관에서는 보안 임직원들의 업무가 2, 3배 가중될 것이 뻔하다는 지적이다. 이를 위해서는 금융 아이삭과 같이 ISMS 인증 취득을 위한 과정 중 비용 및 인력 지원이 어려운 기업이 있다면 이를 정부 차원에서 도움을 줄 수 있는 방안이 심도 있게 다뤄져야 한다는 의견도 강하다.
또한 만약 ISMS가 금융권에서 의무화 된다면, 인증 심사 기준 역시 기관의 주관성을 절대 배제시킨 완벽성을 기해야 하며, 이를 위해 법 해석을 위한 가이드라인 및 지침이 시행 전 충분한 시간을 갖고 업계에 제공돼야 한다.
인증제도를 추진하는 감독기관의 배려가 요구된다는 시각도 존재한다. 예를 들어 ISO27001인증에 포함돼 있는 영역이라면 ISMS 심사에서는 제외시키거나, 정부 기관이 주도해 국제기구와 제휴를 맺어 한 인증을 획득하면 다른 하나도 인정받을 수 있는 동시 인증이나 더블인증 제도를 도입하는 것을 고려해야 한다는 것이다. 만약 ISMS 취득이 금융권 의무사항이 된다면 준비 및 정비기간이 상당 기간 필요한데 이에 대한 충분한 유예기간을 줘야 한다는 입장도 팽배하다.
업계 한 관계자는 “인증 획득을 준비할 수 있는 충분한 기간을 주는 동시에 사전 예비 심사를 통해 본 심사에 들어가기 전 예비 점검 할 수 있는 체제가 마련돼야 한다”고 강조했다.