ISMS-P 결함사례 고찰 #1.4 관리체계 점검 및 개선

1.4.1 법적 요구사항 준수 검토

인증기준: 조직이 준수하여야 할 정보보호 및 개인정보보호 관련 법적 요구사항을 주기적으로 파악하여 규정에 반영하고, 준수 여부를 지속적으로 검토하여야 한다.

 

결함사례 #1

정보통신망법 및 개인정보 보호법이 최근 개정되었으나 개정사항이 조직에 미치는 영향을 검토하지 않았으며, 정책서·시행문서 및 법적준거성 체크리스트 등에도 해당 내용을 반영하지 않아 정책서·시행문서 및 법적준거성 체크리스트 등의 내용이 법령 내용과 일치하지 않은 경우가 있다. 어느 조직이건, 체크리스트라는 것을 만들면 그것을 마치 변치 않는 하나의 틀로 인식하는 경우가 제법 있을 것이다. 심지어 법도 매년 조금씩 수정되고, 제정과 일부 조항 삭제가 되기도 하는데, 체크리스트가 매년 똑같을 수는 없다. 체크리스트, 프레임워크는 매 주기를 정해 업데이트가 필요하고, 특히나 법 개정 시에는 즉각적인 반영이 필요하다. 그렇기에 담당자는 보안 관련 뉴스를 매일 접하고 있어야 할 것이다.

 

결함사례 #2

조직에서 준수하여야 할 법률이 개정되었으나, 해당 법률 준거성 검토를 장기간 수행하지 않은 경우가 있다. 준거성 검토를 연 1회 이상 수행해야 하는데 이를 수행하지 않은 것이다. 연 1회만 해도 되는 일을 말이다. 정기적으로 이를 검토할 수 있는 프로세스 자체가 미비된 것이 아닌지 의구심이 드는 대목이다. 법률이 개정되면 준수 검토 결과가 달라질 수밖에 없기 때문에 이에 대한 개선이 신속하게 이뤄져야 할 것이다.

 

결함사례 #3

법적 준거성 준수 여부에 대한 검토가 적절히 이루어지지 않아 개인정보 보호법 등 법규 위반 사항이 다수 발견된 경우가 있다. 이는 #2의 연장선일 것이다. 이것도 되지 않은 집단이면 #2의 사례는 자연스레 따라올 것이다.

 

결함사례 #4

개인정보 보호법에 따라 개인정보 손해배상책임 보장제도 적용 대상이 되었으나, 이를 인지하지 못하여 보험 가입이나 준비금 적립을 하지 않은 경우 또는 보험 가입을 하였으나 이용자 수 및 매출액에 따른 최저가입금액 기준을 준수하지 못한 경우가 있다. 물론 국내에서 보안 관련된 보험에 대한 인식이 아직은 미비하다고 본다. 그러나 미비할 뿐이지 없는 것은 아니지 않은가. 보험 가입에 대해서도 잘 알아보고, 단순 가입만으로 끝나는 것이 아닌 최저가입금액 기준에 대한 확인이 필요할 것이다.

 

결함사례 #5

정보보호 공시 의무대상 사업자이지만 법에 정한 시점 내에 정보보호 공시가 시행되지 않은 경우가 있다. 특별한 사유가 없다면 법에서는 그 기간 한도에 대해 분명하게 공시하고 있다. 보안과 관련된 모든 행동, 업무 등에는 분명한 기한이 정해져 있기 마련이니 이를 반드시 숙지해야 할 것이다.

 

결함사례 #6

모바일앱을 통해 위치정보사업자로부터 이용자의 개인위치정보를 전송받아 서비스에 이용하고 있으나, 위치기반서비스사업 신고를 하지 않은 경우가 있다. 위치정보는 쓰고 있으나, 사업을 신고하지 않은 경우는 무엇일까. 솔직히 말해, 사업을 신고하지 않았을 때의 이점에 대해 내가 명확하게는 알지 못하므로 이것의 고의성 여부를 추측하기는 어렵다. 다만 확실한 것은, 비단 보안 뿐만 아니라, 법에서는 특정 사업 분야, 서비스 제공자에 한한 법이 수없이 많다. 해당 사업을 신고하는 것은 너무 당연한 상식인데, 그렇기에 고의적인 행동이지 않을까 의심은 되기는 한다.

 

결함사례 #7

국내에 주소 또는 영업소가 없는 개인정보처리자로서 전년도 말 기준 직전 3개월 간 그 개인정보가 저장·관리되고 있는 국내 정보주체의 수가 일일평균 100만명 이상인 자에 해당되어 국내대리인 지정의무에 해당됨에도 불구하고, 국내대리인을 문서로 지정하지 않은 경우가 있다. 과거 어떤 기사를 봤는데, 이 국내대리인 지정의무에 대해 모르는 경우가 은근히 있다고 해서 놀랐던 경험이 있다. 물론, 기자의 말을 그대로 접했을 뿐인지라 그게 실제인지는 모르겠으나, 이런 기업일 경우 법률 담당이 있을 텐데도 누락된 것은 다소 놀라운 일이다.

 

1.4.2 관리체계 점검

인증기준: 관리체계가 내부 정책 및 법적 요구사항에 따라 효과적으로 운영되고 있는지 독립성과 전문성이 확보된 인력을 구성하여 연 1회 이상 점검하고, 발견된 문제점을 경영진에게 보고하여야 한다.

 

결함사례 #1

관리체계 점검 인력에 점검 대상으로 식별된 전산팀 직원이 포함되어 전산팀 관리 영역에 대한 점검에 관여하고 있어, 점검의 독립성이 훼손된 경우다. 물론 뭐 알파 테스트, 베타 테스트 이렇게 나누는 것처럼 생각하는 사람도 있을 수 있겠다만, 보안은 언제나 최소 권한이 지켜져야 하지 않겠는가. 굳이 ISMS-P 인증을 수행하지 않는 곳이라면, 저렇게 독립성을 침해하는 사례가 생각보다 많을 것이다. 원래 이것 저것 일하는 거야 조직 내에선 흔한 일이니 말이다. 허나 이것을 결함사례로서 받은 기업은 이에 대해 분명히 생각을 바꿀 필요가 있을 것이다.

 

결함사례 #2

금년도 관리체계 점검을 실시하였으나, 점검범위가 일부 영역에 국한되어 있어 정보보호 및 개인정보보호 관리체계 범위를 충족하지 못한 경우가 있다. 점검범위를 명확하게 아는 것은 물론 중요하다. 체크리스트의 중요성을 논하는 것과 마찬가지인데, 사람들은 이런 것들에 대한 수정 및 개정을 놓치는 경우가 종종 있을 것이다. 매번 점검을 실시하기 전에는, 그 점검을 실시하고자 하는 틀이나 도구가 적합한지에 대한 확인이 우선되어야 할 것이다.

 

결함사례 #3

관리체계 점검팀이 위험평가 또는 취약점 점검 등 관리체계 구축 과정에 참여한 내부 직원 및 외부 컨설턴트로만 구성되어, 점검의 독립성이 확보되었다고 볼 수 없는 경우가 있다. 점검의 객관성, 독립성, 전문성을 모두 확보할 수 있는 점검조직을 구성해야 하는데, 구축 과정에 참여한 사람이라면 특히나 독립성 부분에서는 결코 점수를 줄 수 없을 것이다. A가 만든 것을 A가 점검한다면 그 결과를 대체 누가 신뢰할 수 있을까.

 

1.4.3 관리체계 개선

인증기준: 법적 요구사항 준수검토 및 관리체계 점검을 통하여 식별된 관리체계상의 문제점에 대한 원인을 분석하고 재발방지 대책을 수립·이행하여야 하며, 경영진은 개선 결과의 정확성과 효과성 여부를 확인하여야 한다.

 

결함사례 #1

내부점검을 통하여 발견된 ISMS-P 관리체계 운영상 문제점이 매번 동일하게 반복되어 발생되는 경우가 있다. 문제점이 생기면 그것에 대한 개선 및 조치를 취하는 것은 너무 당연한데, 동일하게 반복된다는 것은 그럴 의지가 없다는 것으로 보인다. 인증기준에 명확하게 '재발 방지 대책 수립'이라고 명시가 되어있는데도 말이다. 또한, 안전성 확보조치 의무, 안전조치의무를 고려한다면 이는 문제가 많은 조직으로 보인다.

 

결함사례 #2

내부 규정에는 내부점검 시 발견된 문제점에 대해서는 근본원인에 대한 분석 및 재발방지 대책을 수립하도록 되어 있으나, 최근에 수행된 내부점검에서는 발견된 문제점에 대하여 근본원인 분석 및 재발방지 대책이 수립되지 않은 경우가 있다. 규정, 프레임워크를 수행하지 않는 경우가 되겠다. 이런 식으로 지침만 FM대로 그럴듯하게 만들어 놓고선, 제대로 수행하지 않는 경우가 많을 것이다. 모든 것을 그저 ISMS-P를 위한 것으로만 치부하는 경우도 적지 않을 테고 말이다. 그렇기에 더욱 ISMS-P 조사단은 이에 대한 성실성과 진실성을 판단할 필요가 있다고 생각한다.

 

결함사례 #3

관리체계상 문제점에 대한 재발방지 대책을 수립하고 핵심성과지표를 마련하여 주기적으로 측정하고 있으나, 그 결과에 대하여 경영진 보고가 장기간 이루어지지 않은 경우가 있다. 이번에도 임원진을 왕따시킨 경우가 되겠다. 잊지말자, 임원진의 참여는 선택이 아닌 필수다.

 

결함사례 #4:

관리체계 점검 시 발견된 문제점에 대하여 조치계획을 수립하지 않았거나 조치 완료 여부를 확인하지 않은 경우가 있다. 문제점은 즉시 계획 수립이 필요하다. 그것이 시급한 것인지, 중기적인 차원인지, 장기적으로 해결해야 할 문제인지 판단을 하고 계획을 짜야 명확하고 올바른 대응을 할 수 있기 때문이다.