정보보호의 중요성이 날로 높아가고 있는 가운데 오는 2001년 중으로 국제표준화기구인 ISO가 정보보호 관리체계 인증규격인 BS7799를 국제표준으로 수용할 것으로 알려지면서 정보보호 국제인증제도 획득을 위한 정보보호 컨설팅업체 및 일반 기업체들의 움직임이 빨라졌다. 이를 대변하듯 최근에는 국제표준이 될 BS7799 인증 획득을 위한 교육과정도 잇따르고 있다. 영국 감마시큐어시스템 주최, 한국산업경영컨설팅(대표 고명선) 부설 ISM랩 주관, 전자신문사 후원으로 지난 5일부터 3일간 서울 삼성동 무역센터에서 열리고 있는 「정보보호경영시스템(ISMS) BS7799 인증교육」의 연사로 나온 영국 감마시큐어시스템 데이비드 브루어 사장을 만나봤다.
-ISMS란 무엇인가.
▲ISMS는 공공기관이나 기업체들이 어떤 기준을 갖고 정보를 처리하고 보호하는지, 또 그에 걸맞은 정보보호시스템을 구축하고 있는지를 관리해주는 시스템이다. 기업체에서 정보보호는 너무 철저하거나 미흡해도 안되고 적정수준을 유지해야 하는데 관리자가 이를 올바르게 판단하고 결정할 수 있도록 지원하는 시스템을 말한다.
-정보보호 국제인증제도의 필요성에 대해 설명한다면.
▲정보보호에 대한 국제인증제도, 즉 BS7799를 획득하지 못할 경우 과거의 품질인증제도(ISO9000)처럼 기업이 성장해 나가는 데 제약조건이 될 수 있다. 따라서 이 인증을 획득하게 되면 기업 내부의 정보보호시스템을 효율적으로 관리할 수 있음은 물론 기업의 국제 신뢰도나 이윤 창출의 관건이 될 수 있다.
-BS7799는 어떻게 구성되나.
▲BS7799는 정보보호관리 실행지침(파트1)과 시스템 규격(파트2)으로 구성돼 있다. 특히 파트1의 실행지침에는 10가지 주요 항목과 127가지 세부사항이 명시돼 있는데 기업에 따라 해당 실행지침에 맞춰 인증 취득을 준비할 수 있다.
-BS7799가 ISO 표준규격으로 수용되는 시기는 언제쯤이 될 것으로 예상되나.
▲「BS7799-1 :1999」의 경우 이미 「ISO/IEC17799-1 :2000」으로 된 상태고 「BS7799-2 :1999」도 내년중에는 「ISO/IEC17799-2 :2001」로 될 것으로 예상된다.
-세계적으로 BS7799 인증서를 발행할 수 있는 국가 수와 발행받은 국가 및 기업체 수는 얼마나 되나.
▲BS7799 인증서를 발행할 수 있는 나라는 영국·노르웨이·네덜란드·호주·뉴질랜드 등이며 이들 국가는 인증서 상호인증을 체결한 상태다. 또 미국 등 주요 국가들도 인증서 발행을 위한 작업을 서두르는 상황이다. 인증서를 발행받은 국가 수는 영국을 비롯한 발행국가의 대부분이며 영국의 경우 30∼40개 기업이 BS7799 인증을 받은 상태다.
-인증심사 절차와 소요 기간은.
▲중요한 것은 파트2의 시스템 규격, 즉 기업의 정보보호정책과 ISMS의 범위, 위험평가 실행, 위험수준에 따른 관리 등을 정의하고 준비해야 하는데 이 부분이 얼마나 준비돼 있느냐에 따라 수개월 또는 몇 년이 걸릴 수도 있다. 일단 파트2의 시스템 규격이 갖춰지면 한국의 경우 BSI코리아에 인증심사 청구를 거쳐 영국 본사에서 심사원을 파견해 심사절차를 밟아 인증서를 발행해주고 있다. 신청에서 인증서 교부까지는 통상 6주 정도가 소요되며 6개월마다 사후심사를 받아야 한다.
<주문정기자 mjjoo@etnews.co.kr>