강신원 인성정보 이사

[컴퓨터월드] 내년 5월 유럽의 개인정보보호법(General Data Protection Regulation, 이하 GDPR)이 본격 시행됨에 따라 세계적으로 개인정보보호에 대한 관심이 높아지고 있다. 국내에서도 예외는 아니다. 국내에서는 특히 국내 정보보호관리체계(Information Security Management System, 이하 ISMS) 인증이 주목받고 있다. 인증을 받아야하는 범위가 넓어지면서 기업들의 관련 솔루션 도입도 늘어날 조짐을 보이고 있다.

IT 인프라와 유헬스(u-Health) 전문기업인 인성정보는 이러한 시장 상황에 대응하고자 ISMS 관련 솔루션을 내놓고 시장 공략을 본격화 하고 있다. 인성정보는 지난해 6월 ISMS 인증 솔루션 업체였던 유와이즈원을 인수하고 ‘와이즈 ISMS’를 출시했다. 강신원 인성정보 이사를 만나 인성정보의 보안 사업에 대한 얘기를 들어봤다.

▲ 강신원 인성정보 이사


IT 인프라와 보안 사업의 시너지 효과 기대

1992년 설립된 인성정보는 IBM 메인프레임 터미널에뮬레이터 개발로 시작해 클라이언트 서버, 분산컴퓨팅과 인터넷 환경을 거쳐 가상화 기반의 클라우드까지, 정보기술(IT) 환경 변화에 따른 핵심 인프라 솔루션 및 서비스를 공급해온 IT 전문회사다. 99년 코스닥에 상장됐으며, 시스코, 델EMC, HP, VM웨어 등과 파트너십을 맺는 등 그동안 인프라 구축 분야에서 입지를 다져왔다.

이처럼 인프라 사업에 주력해온 인성정보가 최근 보안 사업에 진출하면서 그 배경에 관심이 모이고 있다. 인성정보의 보안 사업을 책임지고 있는 강신원 이사는 “최근들어 인프라와 보안이 통합된 형태로 나타나고 있는 상황에서 파트너들과 시너지를 내기 위해 보안 사업에 진출하게 됐다”고 인성정보의 보안 사업 참여 배경을 설명했다.

하지만 강 이사는 세계적으로는 인프라와 보안이 통합되고 있지만 국내는 다소 다른 양상을 보이고 있다고 지적했다. 세계적인 흐름과는 달리 국내는 인프라와 보안을 독립된 형태로 구축하는 것을 권장하고 있다는 것이다. 이 이유로 주민등록번호를 꼽았다. 강 이사는 “전세계에서 주민등록번호 같은 체계가 있는 국가는 우리나라가 거의 유일하다”며, “우리나라는 주민등록번호 보호 등을 위해 인프라와 보안을 통합해 구축하는 것을 꺼리고 있다”고 언급했다. 인프라와 보안을 통합할 경우 취약점이 생길 수 있다는 우려를 하고 있다는 것.

강 이사는 이런 우려에도 인성정보가 ISMS 인증 솔루션 분야에 진출하게 된 것은 인프라와 보안의 시너지 효과를 위해서라고 얘기한다. 인성정보는 지난해 유와이즈원의 ISMS 사업 분야를 인수하면서 ISMS 인증 시장에 진출했다. 유와이즈원은 ‘정보보호업무 운영시스템 및 방법’이라는 포괄적인 특허를 갖고 있는 ISMS 인증 전문기업이었다. 인성정보는 유와이즈원의 특허뿐만 아니라 보안 자산, 기술 등까지 양수받아 사업을 진행하고 있으며, 인프라 산업과 시너지를 낼 수 있도록 투자를 확대하고 있다.


‘와이즈 ISMS’으로 ISMS 인증 지원

강신원 이사는 인성정보의 ‘와이즈 ISMS’를 국정원 정보보안 관리실태 평가, 상급기관 보안감사, 주요정보통신기반시설 등의 보안감사에 대비해 체계적으로 보안업무를 관리하는 보안규정 전문 관리 솔루션이라고 소개했다. 정보보안 규정 및 감사 항목에 맞춰 기본적으로 수행해야할 보안업무를 정의하고 담당자를 지정해 업무를 주기적으로 수행할 수 있도록 알림을 주는 것이 핵심 기능이다. 보안업무가 익숙하지 않은 사람에게는 수행을 위한 업무 가이드 및 문서 템플릿을 제공해 관련 담당자가 업무를 수월하게 하도록 지원한다.

▲ ‘와이즈 ISMS’ 기능 구성 프레임워크 (출처: 인성정보)

또한 ‘와이즈 ISMS’는 컴플라이언스 솔루션이기 때문에 보안활동에 대한 근거 데이터가 관리돼야 한다. 강 이사는 “활동 자체가 이상 없다는 점이 데이터로 확인되고 축적돼야 하며, 이런 자료가 쌓여 인증의 증빙 자료로 사용된다”며, “데이터 관리가 잘못될 경우 인증을 받는데 차질을 빚을 수 있다”는 말로 관리의 중요성을 강조했다. 관리적인 측면에서 문제가 생기는 것을 방지하는 솔루션이 바로 ‘와이즈 ISMS’라는 설명이다.

‘와이즈 ISMS’를 통해 실질적인 보안업무를 주기적으로 수행하고 업무 진행 현황을 확인함으로써, 기업 및 기관의 정보보호 수준과 현황을 실시간으로 파악하고 부족한 부분에 대해 조치를 할 수 있도록 한다는 게 강 이사의 설명이다. 강 이사는 ‘와이즈 ISMS’ 솔루션 납품만으로 사업을 완료하는 게 아니라고 말한다. 인성정보의 컴플라이언스 구축방법론에 따라 실제 고객사의 현황을 분석하고 보안업무를 생성하는 등의 조치가 뒤따른다는 것이다.

실제 ‘와이즈 ISMS’는 ▲컴플라이언스 관리 ▲컴플라이언스와 보안업무 연계 ▲전산관리 및 위험관리 ▲보안 평가 및 심사 대응 ▲컴플라이언스 현황 대시보드 등의 주요기능을 제공한다. 우선 컴플라이언스 관리 기능은 정보보호와 관련된 다수의 보안평가 및 인증 컴플라이언스(ISO27001 인증, PIMS 인증, ISMS 인증, 정보보안 관리실태평가, 기반시설 보호체계 이행여부 점검 등)를 엑셀에 업로드 함으로써 추가 등록과 수정 기능을 제공한다.

▲ 국내 정보보호 관련 인증 및 평가(출처: 인성정보)

컴플라이언스와 보안업무의 연계는 하나의 보안업무 활동을 통해 여러 컴플라이언스 통제항목의 증빙자료로 활용이 가능하고, 하나의 통제항목에 여러 보안 업무를 연결해 중복업무도 줄일 수 있다.

자산관리 및 위험관리 기능은 IT자산을 등록해 취약점 진단결과를 자산의 CIA 평가점수와 연계해 위험도를 산정하고 이에 대한 조치를 승인프로세스를 통해 보완하고 이력을 관리한다. 평가 및 심사 대응 기능은 지체평가를 통해 부족한 부분을 사전에 체크하고 증빙자료를 재점검하는 등 심사 및 평가를 준비한다. 마지막으로 각 컴플라이언스 별 이행 상황, 분야별 준비상황과 현재 업무상황을 대시보드로 제공해 쉽게 파악할 수 있다.

‘와이즈 ISMS’는 연간 계약 모델로 볼 수 있는 서비스 모델을 주로 공급하고 있으며, 고객 요청 시 컨설팅까지 함께 제공하고 있다. 강신원 이사는 “SI형태로 ISMS솔루션을 공급하는 경쟁 업체와는 달리 인성정보는 서비스 형태로 제공해 컨설팅까지 지원하는 게 특징”이라며, “ISMS 인증은 일회성 인증제도가 아니기 때문에 향후 서비스도 중요하다”고 강조했다.


작지만 치열한 ISMS 인증 시장

ISMS 인증 시장은 20억 원 정도로 규모는 작지만 경쟁은 치열하다고 강신원 이사는 얘기한다. 강 이사는 ISMS 인증 솔루션 시장에서 약 7개 업체가 경쟁하고 있는데 인성정보를 포함해 지란지교에스엔씨, CAS 등 4-5개 업체가 시장을 주도하고 있다고 설명했다. 이들 업체들의 ISMS 인증 시장 주 공략 대상은 공공기관, 금융기관, 기업, 대학 및 병원 등이다.

ISMS 인증은 정보통신망의 안정성 확보를 위해 수립·운영되고 있는 기술적·물리적 보호조치 등 종합적인 관리체계에 대한 인증제도로, 국내에서는 정보통신망법 제47조에 의해 일정 기준에 해당하는 기업은 의무적으로 ISMS 인증을 취득해야 한다.

ISMS 인증 의무대상은 지난해 6월부터 시행된 정보통신망법 개정안 제47조에 정의돼있다. 정보통신망법 제47조에 따르면, ▲정보통신망서비스를 제공하는 자 ▲집적정보통신시설 사업자 ▲연간 매출 또는 세입이 1,500억 원 이상이거나 정보통신 서비스 부문 전년도 매출액이 100억 원 이상이면 의무 대상이다.

여기에 과학기술정보통신부는 정보통신망법 시행령에 더 구체적으로 명시했다. 시행령에 따르면, 의료법 제3조 2항에 따른 의료기관, 전자금융거래법 제2조의 3에 따른 금융회사, 전년도 직전 3개월간의 일평균 홈페이지 이용자 수 100만 명(페이지 뷰 기준) 이상인 사업자가 포함됐다.

▲ ISMS 인증 의무대상자 기준(출처: KISA)

강신원 이사는 “이렇게 변경된 조항으로 인해 정보통신망 사업자, 인터넷데이터센터관련 기업, 매출 100억 원 이상의 IT기업뿐만 아니라, 종합병원, 대학병원 등 의료기관과 4년제 대학에서 학생 수가 1만 명이 넘는 학교도 포함돼 시장이 더욱 커질 것”이라고 강조했다.

ISMS 인증 대상에 금융권은 포함돼 있지 않다. 강 이사는 “금융권은 독자적으로 관리체계를 운영하고 있어 ISMS 인증을 취득하면 좋겠지만 의무대상은 아니다”라고 덧붙였다.

ISMS 인증의 주관부처는 과학기술정보통신부로 법제도 및 심사기관 지정 등의 업무를 담당하고, 한국인터넷진흥원(KISA)이 인증기관으로서 인증 업무를 총괄하고 있다. KISA에서 인증심사와 더불어 인증서 발급 업무까지 수행하고 있다.

▲ ISMS 인증 추진 체계(출처: KISA)

한 업체가 인증심사를 준비하고 최종적으로 인증서를 받는 데까지 소요되는 시간은 인증 범위와 기업의 규모에 따라 다르지만 6~10개월 정도이다. ISMS 인증을 취득하기 위해서는 ISMS 인증 기준에 따른 104개 통제항목에 대해 적절한 보호대책을 수립해 이행하고 있다는 것을 증명해야 한다. ▲정책 ▲조직 ▲자산관리 ▲인적보안 ▲물리보안 ▲개발보안 ▲암호통제 ▲접근통제 ▲운영보안 ▲침해사고 대응 및 재해복구 대책 등의 항목에 대한 보호대책이 수립돼야 한다.

▲ ISMS 인증 기준(출처: KISA)

인증 준비 과정은 인증범위에 따라 다르지만, 보통 ISMS 인증컨설팅을 통한 관리체계 수립, 개선과제 이행, 인증심사 준비, 심사수검, 결함조치의 단계를 거치게 된다. 인증심사 과정에서 심사원들이 통제항목별 보호대책의 적절성을 검증하는데, 미흡한 사항에 대해서는 결함보고서를 작성해 관리체계 보완을 요구한다. 기업에서는 인증심사 종료 후 최대 3개월 이내에 보완조치내역서를 KISA에 제출해야 한다.

▲ ISMS 인증 절차(출처: KISA)

이렇게 시간과 비용이 소모되는 ISMS 인증이 꼭 필요한가에 대해서 강 이사는 의무대상자가 인증을 받지 않으면 최대 3천만 원의 과태료가 부과된다고 설명했다. 인증 취득에 드는 비용이 과태료보다 더 비싸 과태료를 내고 말겠다는 기업이 있지 않을까라는 질문에 “과태료는 매년 부과될 수도 있고, 이후 보안사고가 발생했을 때 기업이 법적 의무를 다했는지가 소송에서 중요한 쟁점이 된다는 점을 고려하면 인증을 취득하는 게 합리적”이라고 말했다.

또한, 강 이사는 ISMS 인증제도는 정보보호 관리활동을 지속적으로 실행할 수 있는 체계가 만들어져 있는가를 인증해주는 제도이기 때문에 일회성 심사로 끝나는 것이 아니라며, 매년 인증심사 기준에 부합한 보안관리가 이뤄지고 있는지 사후심사가 진행되고, 3년마다 갱신 심사를 받아야 한다고 설명했다.


GDPR 등으로 정보보호에 관심 높아져

내년 5월 유럽의 GDPR 발효를 앞두고 정보보호가 이슈가 되고 있다. 유럽의 GDPR이 ISMS 인증에 영향을 주고 있는지에 대한 물음에 강신원 이사는 “ISMS 인증과 개인정보보호관리체계(PIMS) 인증은 국내 정부기관의 주도로 진행되고 있어 외국에서 인정받지 못하고 있다”며, “기업들은 국제표준 정보보호 인증인 ‘ISO27001’ 인증을 취득하고 있다”고 말했다.

ISO27001 인증은 정보보호 분야에서 가장 권위있는 국제 인증으로, 정보보호정책, 통신·운영, 접근통제, 정보보호사고 대응 등 정보보호 관리 11개 영역, 133개 항목에 대해 얼마나 잘 계획하고 구현하며, 점검하고, 개선하는가를 평가하고 이에 대해 인증을 수여한다.

다른 한편으로, 강 이사는 “우리나라는 유럽의 GDPR에 대해 준비돼 있는 나라”라고 말했다. ISMS 인증, PIMS 인증을 통해 정보보호관리체계가 이미 시행되고 있다는 점을 그 근거로 들었다. 강 이사는 이어 “개인의 정보보호에 대한 권리 주장 등 세밀한 부분에서 GDPR이 더욱 정교한 정책이라고 생각하지만, 국내에도 비슷한 성격의 체계가 이미 마련돼 있다”며, “그럼에도 GDPR의 경우 제재조치가 국내와 비교할 수 없기 때문에 유럽에 진출하는 국내 기업은 심각하게 고려해야 된다”고 언급했다.


공공기관 중심으로 영업 확대

강신원 이사는 앞으로 ISMS 시장은 더욱 확대될 것으로 전망했다. 다만, 큰 폭의 성장은 기대하기 힘들다는 점을 분명히 했다. ISMS 인증 의무대상의 범위가 늘어나면서 ISMS 시장은 30억 원 규모의 시장을 형성하겠지만 그 이상 성장하는 것은 어렵다는 것이다.

강 이사는 “ISMS시장은 진입장벽이 높지 않아 업체간 경쟁이 치열할 것”이라며, “클라우드 등 보안 시장에서의 이슈가 대두되고 있어 컴플라이언스도 시장의 흐름에 맞춘 변화가 필요하며, 이런 변화가 이뤄질 것으로 생각한다”고 말했다.

강 이사는 이어 인성정보의 향후 전략에 대해서도 얘기했다. 우선 각 혁신도시에 파트너를 늘리고 이를 통해 공공기관을 공략할 계획이다. 지방으로 이전한 공공기관을 직접 공략하는 데는 한계가 있다는 판단에 따라 협력사를 통해 공략하겠다는 것이다. 또한, 공공기관을 대상으로 컴플라이언스 구축 방법론을 교육하고, 이를 통해 솔루션을 제공한다는 전략이다.

강 이사는 “국내 IT 시장, 특히 보안 분야는 공공기관이 차지하는 비중이 높다”며, “공공 분야를 생각하지 않고 사업을 진행할 수는 없다”는 말로 공공 분야의 중요성을 강조했다.

끝으로 강 이사는 “기존의 인프라 사업과 연계해 고객을 공략한다는 계획도 있다”며, “앞으로도 서비스 지향의 제품, 고도화된 기능, 고객 중심의 새로운 기능 도입 및 제품 출시 등 통합 지향의 고객서비스 제품을 제공하기 위해 노력하겠다”고 덧붙였다.

저작권자 © 아이티데일리 무단전재 및 재배포 금지