ISO가 국제표준규격을 제정하면 이는 통상 인증제도로 이어진다. 과거 품질관리규격인 ISO9000이 제정되면서 전세계적으로 인증획득 바람이 분 것은 그 좋은 예다. 국제 거래에서 상대에게 신뢰를 받기 위해서는 좋든 싫든 최소한 국제규격을 준수하고 있다는 점을 입증해야 하기 때문이다.
정보보호 국제표준이 제정되면 이 규격인증을 획득하지 않고서는 국제무대에 얼굴을 내밀기가 매우 어려워질 것으로 전문가들은 내다보고 있다. 정보통신의 발달과 함께 정보보호에 대한 중요성이 갈수록 더해지고 있는 상황이기 때문에 정보보호 인증은 업종을 불문하겠지만 특히 금융, 정보통신, 인터넷 등 소위 정보를 다루는 업체들에는 필수가 될 것으로 분석되고 있다.
◇정보보호 인증제란 =정보보호라는 용어는 아직 우리에겐 낯설다. 군 수사기관이나 정보기관들을 통해 보안이라는 말은 익히 접해왔지만 정보보호라는 용어는 최근에야 접할 수 있었기 때문이다. 이로 인해 국내에서는 정보보호와 정보보안이라는 의미가 혼동되는 경우가 허다하다. 정보보호가 주로 기밀정보를 유출시키지 않는 정보보안의 뜻으로만 이해되고 있기 때문이다. 그러나 정보보호란 정보의 보안성, 무결성, 가용성을 모두 포함하는 의미다. 보안은 정보보호의 일부분에 지나지 않는다. 즉 정보보호란 정보가 실수나 고의로 공개되지 않도록 하는 한편 변조되지 않고 언제나 접근이 용이하도록 하는 일련의 경영활동을 뜻한다.
이는 기업활동에 있어서 각종 정보가 어떤 경우에라도 훼손당하지 않아야 하고 접근이 허용되지 않은 사람에게는 공개되지 않아야 하며 접근이 허용된 사람에게는 언제라도 활용할 수 있도록 해야 할 필요성이 있기 때문이다.
국제표준규격의 근간이 되고 있는 BS7799를 살펴보면 정보보호 규격은 크게 두가지 부분으로 구성돼 있다. 그 첫번째는 정보보호관리에 대한 실행지침이고 두번째가 정보보호관리시스템에 대한 규격이다.
정보보호관리에 대한 실행지침은 총 10개 분야로 구성돼 있는데 보안관리에 대한 포괄적인 지침을 제시하고 있다.
정보보호관리시스템(IMS)에 대한 규격은 보호대상의 자산과 위험관리에 대한 조직의 접근과 통제목표 및 방안 그리고 요구되는 보장수준 등이 제시돼 있다. 이를 도표화하면 그림과 같다.
◇국내 현황과 파급영향 =BSI 정보보호 규격에 따르면 각 사는 정보라는 자산의 명확한 가치를 파악한후 어떤 정보를 어느 선까지 접근을 허용해야하는지를 선별하고 그에 따라 적절한 대책을 강구하도록 돼 있다. 또 전담부서를 두고 정보보호에 관련된 일련의 작업을 수행하고 필요시 적절한 조치를 취할수 있어야 하며 이를 모두 문서화 해야한다. 결코 정보보안을 위해 단순히 방화벽이나 침입탐지시스템을 설치하는 수준이 아니라 일련의 경영활동인 것이다.
국내 정보보호관계자들은 국내업체들의 경우 방화벽이나 침입탐지시스템을 도입하는 업체들까지도 왜 무엇 때문에 이를 도입해야하며 그러기 위해서는 어떻게 설치해야 하는지조차 모르고 있는 경우가 대부분이라고 지적한다. 예를 들면 열쇠를 달면서 현관문에 달아야 하는지 안방문에 달아야 하는지를 경영자나 관계자들이 파악하지 못하고 있다는 것이다.
외부의 침입을 방지하기 위해서는 현관문에 열쇠를 달아야 하고 집안식구중 일부만 이용할 수 있도록 하기 위해서는 안방문이나 서재문 등에 열쇠를 달아야 하는 것은 상식이다. 그러나 국내업체들은 이같은 상식도 제대로 갖고 있지 못한 실정이라는 지적이다.
정보보호 인증제도는 도입되기까지 아직 2∼3년의 기간이 소요되기 때문에 당장에 영향을 받는 것은 아니다. 그러나 일단 도입이 되고 나면 전세계적으로 엄청난 영향을 미칠 것으로 보인다. 정보보안에 대한 국제규격 수준의 경영프로세서를 갖추지 않고서는 국제 상거래에 동참하기 어려울 것이기 때문이다.
특히 정보보호를 경영의 한 부분으로 인식하고 이를 채택하고 있는 선진업체들은 적응이 쉽겠지만 정보보호를 정보보안으로만 인식하고 있는 국내업체들의 경우 대처가 결코 쉽지 않을 것으로 보인다.
◇대책=우선 경영자들의 인식전환이 가장 시급하다는 지적이다. 경영자들은 정보보호를 단지 어쩔 수 없는 비용으로만 간주하지 경쟁력이나 효율향상을 위한 수단으로 여기지 않는 게 보통이다. 이같은 인식 때문에 전담부서의 운영이나 작업과정의 문서화같은 것은 꿈도 꿀 수 없는 형편이다. 또한 정보보호를 기밀유출을 방지하는 보안성으로만 여기기 때문에 무결성과 가용성을 제고시키기란 여간 힘든 게 아니라고 실무자들은 푸념한다.
또한 정보보호 경영시스템에 대한 전문가들의 양성도 함께 이루어져야 한다는 지적이다. 현재 국내에는 BSI에서 인정하는 정보보호 심사관(오디터)가 20여명 정도 활동하고 있는 것으로 알려지고 있다. 그나마 이들은 인식부족으로 심사업무보다는 컨설팅업무에 매달리고 있다. 그러나 국제인증이 본격화되면 20여명의 인력으로는 턱없이 부족하기 때문에 심사관을 대폭 양성해야 한다.
이와함께 국내 인증기관의 적극적인 대책마련도 동시에 이루어져야할 것으로 보인다. 국내에서는 아직 워킹그룹의 참여는 말할 것도 없고 이에 대한 연구나 개발도 전무한 실정인 것으로 알려지고 있다. 민간업체인 BSI인증원이 BSI와 제휴해 국내에서 심사관 양성과 인증대행을 하고 있을 뿐 정부나 기관은 이같은 인증제도가 도입되는지조차 모르고 있는 실정이다.
<유성호기자 shyu@etnews.co.kr>