카드사 등으로부터 대규모 고객정보가 유출된 지 벌써 2년여가 지났다.
그동안 금융사들은 국내 인증제도인 '정보보호 관리체계(ISMS;Information Security Management System)'를 비롯해 정보보호 표준 국제 인증인 'ISO27001 인증', '정보보호 최고책임자(CISO;Chief Information Security Officer) 지정'를 통해 정보보안을 강화해 왔다.
각 제도들이 갖고 있는 한계점, 보완되어야 할 점들이 무엇인지 3편에 걸쳐 살펴봤다.
◇ ISMS 인증제도란?
미래창조과학부(장관 최양희)는 자율보안체계를 확립하기 위해 2002년부터 정보보호 관리체계(이하 ISMS) 인증제도를 시행하고 있다. ISMS 인증제도는 '정보통신망 이용촉진 및 정보보호 등에 관한 법률' 개정으로 2013년부터 의무화 됐다.
미래부에 따르면 국제 인증인 ISO27001을 국내 환경에 적합하게 만든게 ISMS 인증제도다. ISMS는 정보보호 관리절차 및 물리적, 기술적, 관리적 보호대책을 체계적으로 수립해 지속적으로 운영, 관리하기 위한 종합적인 체계를 말한다.
정보통신서비스 부문 전년도 매출액이 100억 원 이상인 사업자 또는 전년도 말 기준 직전 3개월간의 일일평균 이용자 수가 100만 명 이상인 사업자는 ISMS 인증을 꼭 받아야 한다.
ISMS는 5개 정보보호 관리과정과 13개 정보보호대책을 토대로 인증이 부여된다. 정보보호 관리과정은 ▲정보보호 정책 수립 및 범위 설정 ▲경영진 책임 및 조직구성 ▲위험관리 ▲정보보호대책 구현 ▲사후관리 등 5개 정보보호 관리과정으로 나뉜다.
13개 통제분야는 ▲정보보호 정책 ▲정보보호 조직 ▲외부자 보안 ▲정보자산 분류 ▲정보보호 교육 ▲인적 보안 ▲물리적 보안 ▲시스템 개발 보안 ▲암호통제 ▲접근통제 ▲운영보안 ▲침해사고관리 ▲IT재해복구 등으로 구성돼 있다.
◇ ISMS 금융권 인증현황
ISMS 인증을 받으려면 정보보호 관리체계 구축하고 2개월 이상 운영해야 하며 발급 인증서는 3년간 유효기간을 갖는다. 최초 인증을 받고 1년마다 사후심사를 받고, 유효기간이 만료되기 전에 갱신심사를 거친다.
현재 ISMS 인증기관은 한국인터넷진흥원(KISA)와 금융보안원 2곳이다. 금융보안원은 지난해 7월 미래창조과학부로부터 금융분야 정보보호 관리체계 인증기관으로 지정돼 인증업무와 심사를 함께 한다.
지난해까지 ISMS 인증을 획득한 기업만 400개가 넘고 그 중 금융회사 등은 50여개로 조사됐다.
KB국민은행, NH농협은행, 신한은행, 우리은행, IBK기업은행, KEB하나은행, 삼성화재, 삼성카드, 비씨카드, 동부화재, KDB대우증권, 삼성증권, 현대증권, NH투자증권, 미래에셋증권 등이 ISMS 인증을 취득한 주요 금융사다.
KB금융지주는 2013년 KB국민은행(인증범위 : IT시스템 인프라 운용)이 ISMS 인증을 받은 것과 별개로 지난해 말 최초 인증을 취득했다. KB금융지주는 바젤 및 CRM을 포함해 전사부문에 대한 KB금융그룹 연계 시스템에 대해 ISMS 인증을 획득했다. 국내 금융지주 중 최초다.
NH농협은행은 특이하게도 인터넷뱅킹 서비스 운영과 별도로 통합금고시스템에도 인증을 받았다. 지역 금고를 다수 운영하기 때문에 정보보호에 특히 신경을 쓴 것으로 풀이된다.
삼성카드는 지난해 말 카드결제 서비스에 대해 ISMS 인증을 처음 취득했다. 비씨카드는 2009년 퓨쳐센터에 대해 인증을 받은 뒤 2번 갱신했다. 양사는 ISMS 인증 의무대상은 아니지만, 정보보호 관리체계를 운영하기 위해 ISMS 인증을 받았다.
일정 규모 이상 증권사는 트레이딩 시스템을 운영하는 데 있어 인증이 필수적이다. 보험사 중 의무대상은 삼성화재(애니카 다이렉트 서비스) 뿐이다.
김영태 금융보안원 ISMS인증센터 팀장은 "정보보안 인증을 받고 체계를 구축해 지속적으로 운영하는 것은 최고경영자의 관심과 의지가 없으면 안된다"고 말했다.
◇ ISMS 인증제도 실효성 논란...인증 의무대상 기준 재정립 필요
금융권에서 잇달아 ISMS 인증을 취득하고 있지만, 일각에선 실효성 논란이 한창이다.
ISMS 인증제도는 미래창조과학부에 의해 운영된다. 2013년 ISMS 인증제도가 의무화되면서 금융권에 특화된 F-ISMS 인증을 만들자는 움직임이 있었지만 부처가 나뉠 경우 득보다 실이 크다는 판단하에 흐지부지 된 바 있다.
특히 2014년 1월 KB국민카드와 롯데카드, NH농협카드에서 대규모 고객정보 유출 사고가 발생하면서 실효성 논란이 증폭됐다. NH농협은행은 카드사가 독립되지 않고, 은행 내 사업부로 운영하고 있다. 2012년 12월 ISMS 인증을 획득했지만 금융사고를 미연에 막지 못했다.
이 같은 지적에 대해 미래부 관계자는 "ISMS는 일종의 예방접종과 같은 것"이라며 "이 인증을 받았다고 해서 금융사고가 꼭 발생하지 않으리란 보장이 없지 않냐"고 반박했다. 금융감독원 관계자도 "ISMS 인증을 받을 경우 미연의 사고를 방지하기 위해 정보보호를 강화하고, 만일의 사태에 보다 신속하게 대응할 수 있을 것"이라고 전했다.
전문가들은 심사대상 선정 등의 기준을 재정립해야할 필요성이 있다고 지적했다.
국제표준 ISO27001 인증기업인 BSI코리아 이정준 심사원은 "KISA의 ISMS는 당시 유일한 국제표준인 BS7799라는 영국 정보보호 규격을 모델로 만들어졌다"며 "ISO27001 규격의 구성이나 내용이 매우 유사하다"고 말했다.
그는 ISMS가 한국에서 법적 요구사항으로 진행되면서 상당히 염려스러운 사항들이 도출되고 있다고 지목했다. ISMS는 국내에서만 활용되고 해외기업에서는 효과적인 정보보호 인증제도로 인정하고 있지 않다보니 ISMS와 ISO27001 두 가지 규격을 모두 유지해야 하는데 대한 부담이 적지 않다는 것이다.
이 심사원은 "일부 해외 기업은 한국에 법인을 설립하거나 진출할 때 ISMS를 해외기업에 대한 장애로 받아들이는 경우도 있다"며 "글로벌 경제환경에서 단일 국가 정보보호 관리체계가 기업 경쟁력 증진의 규제로 반영되는 건 아닌지 돌아볼 시점"이라고 강조했다.
박재경 한국폴리텍대학 정보보안과 교수는 "ISMS 인증 의무대상을 매출이나 종업원 기준보다, 회사가 다루는 정보의 중요성에 등급을 매겨 세분화시킬 필요가 있다. 특히 금융권은 보안을 강화할 필요가 있지만, 실제 전문가가 있는 곳은 많지 않다. 100개가 넘는 항목을 거의 서류심사로 진행하는데, 해커들은 서류를 갖고 해킹하지 않는다"고 꼬집었다.
[소비자가만드는신문=윤주애 기자]
