인터넷대란 이후 많은 기업이 정보보호 제품을 구매했지만 정보보호 관리 체계는 아직 미비한 실정이다. 정보보호의 대상은 정보다. 정보를 보호하고 또 그 반대편에서 이를 침해하는 주체는 사람이다. 결국 정보보호는 제품의 구매만으로 이뤄지는 것이 아니라 체계적인 관리와 운영이 필수적이다.
정보보호에 관한 종합적이고 체계적인 관리와 운영을 위해서는 기준의 설정이 필요하다. 이에 따라 대두된 것이 정보보호 관리체계다. 그 관리체계를 잘 적용하고 있는지 여부를 판단해 조직의 정보보호 대응능력 전반을 객관적으로 평가하는 신뢰할 수 있는 제3자의 인증도 관심을 끌고 있다. 이것이 정보보호 관리체계 인증이다.
최근 금융권을 중심으로 이 정보보호 관리체계 인증에 대한 준비가 활발하다. 모든 산업이 그렇겠지만 특히 다른 산업에 비해 금융권은 상대적으로 높은 정보보호 수준이 필요하다. 각 금융기관은 신뢰도를 향상시키기 위한 수단으로 정보보호 관리체계 인증을 선택하고 있다. 특히 글로벌 비즈니스를 지향하는 금융기관에서는 국제적인 정보보호 관리체계 인증 획득에 앞장서고 있다.
최근 한국은행 발표에 따르면 국내 인터넷 뱅킹 비중이 30%를 넘어섰다고 한다. 그만큼 금융권의 보안은 날로 중요해지고 있는 상황이다. 특히 오는 2006년 말부터 적용되는 국제결제은행(BIS)의 새로운 자산건정성 평가 기준인 ‘바젤(Basel)Ⅱ’의 요구사항을 충족하는 위험관리 체계 방안을 마련해야 하는 금융권은 국제적인 정보보호 관리체계 인증 획득으로 여러 가지 효과를 기대할 수 있다.
우선 대고객 신뢰도를 향상시킬 수 있다. 국제적인 정보보호 관리체계 인증을 획득함으로써 글로벌 고객 및 국내 고객들에 대해 시스템의 안정성 및 정보에 대한 신뢰를 줄 수 있을 뿐 아니라 그 신뢰를 바탕으로 신규고객 확보 및 기존고객의 유지 및 향상된 서비스를 제공할 수 있다.
다음으로 국내외 경쟁력을 확보할 수 있다. 현재 시큐리티 라운드에 대비해 향후 국제적인 비즈니스의 필수조건으로 가시화될 수 있는 정보보호 관리체계 인증에 대비할 수 있으며 각 업종별로는 동종업계에서의 정보보호 분야의 선두업체로서 위치를 확보할 수 있다.
마지막으로 정보보호의 실질적 강화를 할 수 있다. 정보보호 인프라 구축은 제품의 구매만으로 부족하다. 인력 및 모든 기업 내 자산들에 대한 관리가 조직적으로 운영돼야 한다. 이는 단기간에 몇명의 보안 인력에 의해 이뤄지는 것이 아니며 모든 조직 구성원의 정보보호 강화라는 일치된 사명의식을 가질 때만이 가능하다.
고객 정보 및 기업의 비즈니스 정보에 대한 관리 및 국제적인 신용도가 중요해진 금융권에 국제적인 정보보호 관리체계 인증은 기업의 경쟁력이 될 수 있다. 이러한 국제적인 정보보호 관리체계 인증의 대표적인 사례가 BS7799다.
BS7799는 영국 정부의 정보보안관리 시스템 표준(British Standard for Information Security Management Systems)으로 정보보호 관리체계 인증이 필요한 기업의 요구에 의해 1998년 영국 BSI에 의해서 개발됐다. 국제 표준 인증으로 인정받고 있는 BS7799는 현재 세계 25개국에서 517개 기업이 인증을 받았다. 국내의 경우 삼성전자, 우리은행, LG카드, 코코넛 등 19개 업체가 이 인증을 받았는데 이 가운데 11곳이 금융권이다.
2000년도 초에 발생한 미국 야후와 이베이의 해킹사고는 인터넷을 기반의 비즈니스를 하고 있는 기업들에게 정보보호는 비즈니스를 지속해 나가기 위한 필수요소로 인식되기 시작했다. 특히 BS7799와 같은 국제적인 정보보호 관리체계 인증은 고객의 신뢰도 향상 및 글로벌 비즈니스에 있어 경쟁력 향상에 도움을 줄 수 있다. 또 전자정부를 지향하는 정부의 시책에 비춰 국제적인 정보보호 관리체계 인증은 다른 나라로부터 국가 신용도 향상에도 도움을 주리라 기대한다.
<조석일 코코넛 사장 sicho@coconut.co.kr>