ISMS-P 결함사례 고찰 #1.1 관리체계 기반 마련

당분간 ISMS-P에 대해 깊게 파고들면서 결함사례에 대한 고찰을 해보고자 한다. 인증기준이 무엇이고, 확인 사항은 어찌 되며, 세부적인 내용은 어떻고, 그에 대한 증거자료는 무엇인지, 이에 대한 학습은 작년에도 한 바가 있는데, 결함사례에 대해서는 슥 보고만 넘어가고 생각해 보며 공부한 적이 없는 것 같다. 이에 따라 결함사례에 대해 제대로 알아보고자 한다.

 

1.1.1 경영진의 참여

인증기준: 최고경영자는 정보보호 및 개인정보보호 관리체계의 수립과 운영활동 전반에 경영진의 참여가 이루어질 수 있도록 보고 및 의사결정 체계를 수립하여 운영하여야 한다.

 

결함사례 #1

(개인)정보보호 정책서에 분기별로 현황에 대해 경영진에게 보고하도록 명시하는 것이 철칙이다. 그러나 장기간 그것을 수행하지 않은 경우가 있겠다. 사실 이것은 실수의 개념이라기보다는 직무태만의 경우로 받아들여야 하지 않나 싶다. 월별 현황이라 하더라도 변명의 여지가 없는 마당에, 분기별 현황을 보고하지 않은 것은 이해가 되질 않으니 말이다. 개인적으로 통계내는 것을 좋아하고, 특정 주기에 따라 그래프를 내는 것을 선호하는 입장이기에 더 그렇게 느껴진다.

 

결함사례 #2

중요 정보보호 활동 위험평가, 위험수용수준 결정, 정보보호대책 및 이행계획 검토, 정보보호대책 이행결과 검토, 보안감사 등)을 수행하면서 관련 활동 보고, 승인 등 의사결정에 경영진 또는 경영진의 권한을 위임받은 자가 참여하지 않았거나, 그와 관련된 증거자료가 확인되지 않은 경우가 있다. 그런데 개인적으로 후자의 경우가 실질적인 이유인 비율은 거의 없지 않을까 싶다. 참여를 했다고 주장은 하지만, 말 뿐인 것으로 그친 것에 해당하지 않을까. 왜 경영진이 굳이 참여를 해야만 하는지 이해를 못 하는 사람이 있을 수도 있겠다 싶다. 그렇기에 더더욱 인증조건에 포함되는 것이 당연하게 여겨진다.

 

1.1.2 최고책임자의 지정

인증기준: 최고경영자는 정보보호 업무를 총괄하는 정보보호 최고책임자와 개인정보보호 업무를 총괄하는 개인정보보호 책임자를 예산·인력 등 자원을 할당할 수 있는 임원급으로 지정하여야 한다.

 

결함사례 #1

정통망법에 따른 정보보호 최고책임자 지정 및 신고 의무 대상자임에도 불구하고 지정 및 신고하지 않은 경우. 업무 태만에 속하는 사례이다.

 

결함사례 #2

개인정보 보호와 관련된 실질적인 권한 및 지위를 보유하고 있지 않은 임원을 지정하여, 개인정보 처리에 관한 업무를 총괄해서 책임질 수 있다고 보기 어려운 경우가 있다. 소위 말해, 다른 직원에게 떠넘기기 한다고 해서 통하지 않는다는 것이다. 사실 이런 경우는 보안뿐만 아니라, 사회에 비일비재하다. 실제로 나도 군대에서 통신병으로 복무하며 소대장 대리를 툭하면 수행했으니 말이다. 고작해야 사병이 실질적 장이었던 경우는 너무 많았기에 이 사례가 어떤 상황일지 그려진다. 그런데 책임자라는 것은, 책임을 질 수 있는 권한과 능력이 있기에 주어지는 것이라고 생각한다. 직무기술서에 따라 제대로 인사명령을 내리는 것은 당연해야 할 것이다.

 

결함사례 #3

조직도상에 정보보호 최고책임자 및 개인정보 보호책임자를 명시하고는 있지만, 인사발령 등의 공식적인 지정절차를 거치지 않은 경우가 있다. 어느 집단이건, 참 비공식적인 게 많다. 공식적인 것, 절차적인 것, 규정, 이런 것들은 사실 번거롭고, 시간이 걸리고, 귀찮은 것으로 여겨지는 경우가 있기 때문이다. 대체 안 그런 부서가 어디 있겠냐만, 특히나 보안은 절차를 지키는 것이 중요하다고 생각하다. 개인적으로 절차를 잘 지키는 것이 보안의 핵심 중 하나라고 생각하는데, 그저 인사적인 것, 시간이 다소 걸려도 되는 것으로 치부하지 말고, 보안에 조금이라도 관련된 사항이라면 절차를 지키려는 노력을 해야 할 것이다.

 

결함사례 #4

ISMS 인증 의무 대상자이면서도, 전년도 말 기준 자산총액이 5천억을 넘은 정보통신서비스 제공자이면서도, 정보보호 최고책임자가 CIO를 겸직하는 경우가 있다. 정보보호 책임이나 최고정보 책임이나 거기서 거기니 겸직해도 괜찮지 않겠냐고 생각할 수도 있겠다. 그런데 이런 것은 결국 최소 권한의 원칙부터 위배하는 것이 아닐까. A나 A'가 비슷하다 한들, A 담당자에게 A와 A'의 권한 모두가 생긴다는 것은 분명 다른 이야기이니 말이다. 물론 업무상, 편의상 겸직을 하는 게 나을 수도 있다. 하지만 보안 분야에서는 그러면 안 된다는 것도 알아야 하고 말이다.

 

1.1.3 조직 구성

인증기준: 최고경영자는 정보보호와 개인정보보호의 효과적 구현을 위한 실무조직, 조직 전반의 정보보호와 개인정보보호 관련 주요 사항을 검토 및 의결할 수 있는 위원회, 전사적 보호활동을 위한 부서별 정보보호와 개인정보보호 담당자로 구성된 협의체를 구성하여 운영하여야 한다.

 

결함사례 #1

정보보호 및 개인정보보호 위원회를 구성하였으나, 임원 등 경영진이 포함되어 있지 않고, 실무 부서의 장으로만 구성되어 있어 조직의 중요 정보 및 개인정보 보호에 관한 사항을 결정할 수 없는 경우가 있다. 역시나 경영진이 빠진 경우가 비일비재하다. 아무리 실무 부서의 장이 모인다 한들, 선장이 없으면 무슨 의미가 있을까. 그런데 이 비일비재한 일이 당연하게 느껴지는 것이 참 재밌다.

 

결함사례 #2

내부 지침에 따라 중요 정보처리 부서 및 개인정보처리 부서의 장(팀장급 이상)으로 구성된 정보보호 및 개인정보보호 실무 협의체를 구성하였으나, 장기간 운영 실적이 없는 경우가 있다. 그냥 유명무실하다는 것이다. 참 신기하게도, 결함사례를 읽을 때마다 고개가 끄덕여진다. 보안 부서를 극도로 싫어하는 일반 직원들의 케이스를 직간접적으로 접해서 그런지, 보안을 귀찮은 것으로 치부하는 것이 은근히 많겠다 싶다. 그런데 어쩌겠는가, 싫어도 해야 하는 것이 보안인데 말이다. 특히나 보안과 관련 없는 직원인데 위치가 높다면 말이다.

 

결함사례 #3

정보보호 및 개인정보보호 위원회를 개최하였으나, 연간 정보보호 및 개인정보보호 계획 및 교육, 예산 및 인력 등 ISMS-P에 관한 주요 사항이 검토 및 의사결정 되지 않은 경우가 있다. 이는 위의 #2의 연장선으로 보인다. 조직을 구성하는 것은 형식적으로 끝나서는 안된다. 조직을 구성하는 데에는 이유가 있고, 이유가 있다면 결과를 내야 하는 법이다. 그것이 좋은 결과일지, 나쁜 결과일지 모르겠지만, 아예 결과를 내지 않는 것은 너무 보안을 등한시하는 것이 아닐까 싶다.

 

결함사례 #4

정보보호 및 개인정보보호 관련 심의·의결을 위해 정보보호위원회를 구성하여 운영하고 있으나, 운영 및 IT보안 관련 조직만 참여하고는, 개인정보보호 관련 조직은 참여하지 않고 있어 개인정보보호에 관한 사항을 결정할 수 없는 경우가 있다. 결국 모든 결함사례를 관통하는 것은 ISMS-P를 그저 회사 웹사이트에 걸기 위한 마크로만 생각하는 인원들이 있다는 것이다. 정 상황이 안된다면, 이런 결함사례를 들어가면서라도 적극적인 참여를 하도록 설득해야겠구나 싶다.

 

1.1.4 범위설정

인증기준: 조직의 핵심 서비스와 개인정보 처리 현황 등을 고려하여 관리체계 범위를 설정하고, 관련된 서비스를 비롯하여 개인정보 처리 업무와 조직, 자산, 물리적 위치 등을 문서화하여야 한다.

 

결함사례 #1

정보시스템 및 개인정보처리시스템 개발업무에 관련한 개발 및 시험 시스템, 외주업체직원, PC, 테스트용 단말기 등이 관리체계 범위에서 누락된 경우가 있다. 사실 자산을 물리적 위치까지 세세하게 파악한다는 것은 쉽지 않다. 분명 보안 팀에 말하지 않고 각 부서 안에서 자산의 물리적 위치를 임의 변동하는 일도 있을 것이고, 그 자산의 내용도 조사할 때마다 바뀌니 말이다. 그런데 그렇다고 해도 꾸준히 해야만 한다. 귀찮은 일이겠다만, 이를 주기적으로 문서화하는 일은 필수적이다.

 

결함사례 #2

ISMS-P 관리체계 범위로 설정된 서비스 또는 사업에 대하여 중요 의사결정자 역할을 수행하고 있는 임직원, 사업부서 등의 핵심 조직(인력)을 인증범위에 포함하지 않은 경우가 있다. 인증범위가 생각보다 넓어서 누락하는 경우도 꽤 있겠구나 싶다. 사실상 사내 모든 것을 문서화하는 것과 다름없으니 말이다. 특히 이 경우는 결함사례를 유심히 보고 누락 없이 일을 처리하는 것이 중요하겠다 싶다.

 

결함사례 #3

정보시스템 및 개인정보처리시스템 개발업무에 관련한 개발 및 시험 시스템, 개발자 PC, 테스트용 단말기, 개발조직 등이 관리체계 범위에서 누락된 경우가 있으며, 이는 #2와 비슷한 경우로 보인다.

 

1.1.5 정책 수립

인증기준: 정보보호와 개인정보보호 정책 및 시행문서를 수립·작성하며, 이때 조직의 정보보호와 개인정보보호 방침 및 방향을 명확하게 제시하여야 한다. 또한 정책과 시행문서는 경영진의 승인을 받고, 임직원 및 관련자에게 이해하기 쉬운 형태로 전달하여야 한다.

 

결함사례 #1

내부 규정에 따르면, ISMS-P 정책서 제정과 개정 시에는 ISMS-P 위원회의 의결을 거치도록 하고 있다. 그런데 최근 정책서 개정 시, 위원회에 안건으로 상정하지 않고 정보보호 최고책임자 및 개인정보 보호책임자의 승인을 근거로만 개정한 경우가 있다. 절차의 중요성이 크다고 계속 말하게 된다. 모든 정책에는 지침이 있고, 회의록도 따지게 된다. 과격하게 말하면, 하나부터 열까지 다 트집 잡을 준비가 되어 있으니 FM대로 해야 한다는 것이다.

 

결함사례 #2

ISMS-P 정책 및 지침서가 최근에 개정되었으나, 해당 사항이 관련 부서 및 임직원에게 공유·전달되지 않아 일부 부서에서는 구버전의 지침서를 기준으로 업무를 수행하고 있는 경우가 있다. 이것도 업무 태만의 일부이지 않을까 싶다. 기껏 개정해 놓고 마지막 단계를 하지 않는다는 것은 상식적으로 이해가 가질 않으니 말이다. 이걸 보면 마치 워너크라이 공격이 생각나기도 한다. 패치가 이미 2달 전에 나왔음에도, 그걸 적용하지 않아 취약점을 그대로 노출하여 대대적인 피해가 발생한 사건 말이다. 새롭게 개정되었다면, 그것을 적절하게 배포하는 것도 중요함을 망각해서는 안 되겠다.

 

결함사례 #3

ISMS-P 정책 및 지침서를 보안부서에서만 관리하고 있고, 임직원이 열람할 수 있도록 게시판, 문서 등의 방법으로 제공하지 않는 경우가 있다. 이럴 거면 임직원을 왜 해당 조직에 넣고, 회의에 참석시켰는지 모르겠다. 이것도 상식적으로 말이 안 되니 업무 태만의 결과이지 않을까 싶다.

 

1.1.6 자원 할당

인증기준: 최고경영자는 정보보호와 개인정보보호 분야별 전문성을 갖춘 인력을 확보하고, 관리체계의 효과적 구현과 지속적 운영을 위한 예산 및 자원을 할당하여야 한다.

 

결함사례 #1

정보보호 및 개인정보보호 조직을 구성하는데, 분야별 전문성을 갖춘 인력이 아닌 정보보호 관련 또는 IT 관련 전문성이 없는 인원으로만 보안 인력을 구성한 경우가 있다. 전문성이 없으면 그저 자리만 채울 뿐이다. 그렇게 자리만 채우면 보안 팀에서는 조직을 만들어 소통할 이유가 없다. 소통해도 보안 쪽 용어를 알아듣질 못하면 무슨 소용이 있겠느냐 이 말이다.

 

결함사례 #2

개인정보처리시스템의 기술적·관리적 보호조치의 요건을 갖추기 위한 최소한의 보안 솔루션 도입, 안전조치 적용 등을 위한 비용을 최고경영자가 지원하지 않고 있는 경우가 있다. 이런 회사는 은근히 있을 것이다. 개인정보보호에 투자하는 것은 선택이 아닌 필수로 여겨져야 한다. 과징금 물고 말지의 안일한 마인드를 지녀서는 안 될 것이다.

 

결함사례 #3

인증을 취득한 이후에 인력과 예산 지원을 대폭 줄이고 기존 인력을 다른 부서로 배치하거나 일부 예산을 다른 용도로 사용하는 경우도 있다. 이것은 조금 과하기는 하지만, ISMS-P 취소 요건의 일부를 충족하는 경우라고도 볼 수 있을 것이다. 이것을 그저 획득하기만을 바라는 기업에 대해서는 엄정한 조치가 필요하다고 생각한다. 고객은 ISMS-P를 보고 신뢰성을 가져야 하는데, 그것의 근간 자체를 무너뜨리는 일이기 때문이다.