ISMS-P 결함사례 고찰 #2.2. 인적 보안

2.2.1 주요 직무자 지정 및 관리

인증기준: 개인정보 및 중요정보의 취급이나 주요 시스템 접근 등 주요 직무의 기준과 관리방안을 수립하고, 주요 직무자를 최소한으로 지정하여 그 목록을 최신으로 관리하여야 한다.

 

결함사례#1

주요 직무자 명단(개인정보취급자 명단, 비밀정보관리자 명단 등)을 작성하고 있으나, 대량의 개인정보 등 중요정보를 취급하는 일부 임직원(DBA, DLP 관리자 등)을 명단에 누락한 경우가 있다. 이런 경우에는 실질적인 업무를 밑의 직원들이 맡고 있던 것이 아닌가 하는 생각이 든다. 임원을 명단에 넣는 것은 기본인 상황이니 말이다.

 

결함사례#2

주요 직무자 및 개인정보취급자 목록을 관리하고 있으나, 퇴사한 임직원이 포함되어 있고 최근 신규 입사한 인력이 포함되어 있지 않는 등 현행화 관리가 되어 있지 않은 경우가 있다. 무엇이건 목록, 지침서, 기술서 등의 최신화를 정기적으로 수행하는 경우만 있고, 변동이 있을 때마다 즉각즉각 하지 않은 경우가 빈번하다. 정말 귀찮은 일이기야 하다. 자산이며, 사람이며, 법이며, 신경 써야 할 것이 한둘이 아니기 때문이다. 그런데 그렇다 하더라도 그것이 업무의 내용이면 해야만 하지 어쩌겠는가 싶다.

 

결함사례#3

부서 단위로 개인정보취급자 권한을 일괄 부여하고 있어 실제 개인정보를 취급할 필요가 없는 인원까지 과다하게 개인정보취급자로 지정된 경우가 있다. 이거야 말로 귀차니즘의 결과가 아닐까 싶다. 각 인원 별로 개인정보 취급에 관한 업무를 맡는 것인지 명확하게 확인하여야 할 것이다.

 

결함사례#4

내부 지침에는 주요 직무자 권한 부여 시에는 보안팀의 승인을 받고 주요 직무에 따른 보안서약서를 작성하도록 하고 있으나, 보안팀 승인 및 보안서약서 작성 없이 등록된 주요 직무자가 다수 존재하는 경우가 있다. 서약서를 쓰는 것이 다수 생략되는 경우인데, 이것은 향후 책임을 위해서라도 분명히 작성해야 한다. 작성하지 않으면 피를 보는 것은 결국 보안 부서가 될 테니 말이다.

 

2.2.2 직무 분리

인증기준: 권한 오·남용 등으로 인한 잠재적인 피해 예방을 위하여 직무 분리 기준을 수립하고 적용하여야 한다. 다만 불가피하게 직무 분리가 어려운 경우 별도의 보완대책을 마련하여 이행하여야 한다.

 

결함사례#1

조직의 규모와 인원이 담당자별 직무 분리가 충분히 가능한 조직임에도 업무 편의성만을 사유로 내부 규정으로 정한 직무 분리 기준을 준수하고 있지 않은 경우가 있다. 직무 분리와 최소 권한은 할 수만 있다면 필수로 여겨야 한다. 이에 대한 기준을 준수하는 것이 ISMS-P 인증에서만이 아니라 향후 업무에도 분명 도움이 될 것이다.

 

결함사례#2

조직의 특성상 경영진의 승인을 받은 후 개발과 운영 직무를 병행하고 있으나, 직무자 간 상호 검토, 상위관리자의 주기적인 직무수행 모니터링 및 변경 사항 검토·승인, 직무자의 책임추적성 확보 등의 보완통제 절차가 마련되어 있지 않은 경우가 있다. 이것은 솔직히 담당자 입장에서 쉽지 않은 일이기는 하다. 내가 만약 막내 입장에서 이걸 한다면 나도 결함사례에 선정될 수 있겠다는 생각이 들기도 한다. 그래도 어쩌겠는가 최대한 하나하나 다 따지는 수밖에 없다.

 

2.2.3 보안 서약

인증기준: 정보자산을 취급하거나 접근권한이 부여된 임직원·임시직원·외부자 등이 내부 정책 및 관련 법규, 비밀유지 의무 등 준수사항을 명확히 인지할 수 있도록 업무 특성에 따른 정보보호 서약을 받아야 한다.

 

결함사례#1

신규 입사자에 대해서는 입사 절차상에 보안서약서를 받도록 규정하고 있으나, 최근에 입사한 일부 직원의 보안서약서 작성이 누락된 경우가 있다. 사실 이거는 조금 이해가 안되는 영역이다. 보안 서약서는 계약서를 준비할 때 반드시 따라와야만 하는 존재라고 생각하는데 말이다. 항상 외워야 한다. 둘은 세트다.

 

결함사례#2

임직원에 대해서는 보안서약서를 받고 있으나, 정보처리시스템에 직접 접속이 가능한 외주 인력에 대해서는 보안서약서를 받지 않은 경우가 있다. 이거는 외부 인원이라 생각해서 누락한 경우로 보인다. 그런데 점검을 하더라도 그렇고, 외부인이 내부 보안에 관여하게 되는 사례는 생각보다 많을 것이다. 외주 인력에 대한 보안도 꼼꼼하게 신경써야 한다.

 

결함사례#3

제출된 정보보호 및 개인정보보호 서약서를 모아 놓은 문서철이 비인가자가 접근 가능한 상태로 사무실 책상에 방치되어 있는 등 관리가 미흡한 경우가 있다. 군대에서나 보던 일인데, 이것도 결국 보안을 신경쓰지 않는 사무실이라면 흔한 일일 것이다. 절차 지키는 거 귀찮고, 매번 명부 작성하는 것도 귀찮은 것 다 이해는 하다만, 규칙은 지키기 위해 있는 것이다. 아마 정말 귀차니즘이 가득한 상사를 위해 대리로 작성하는 경우도 있지 않을까 싶기는 하다. 그런 경우를 본 적이 있으니 말이다.

 

결함사례#4

개인정보취급자에 대하여 보안서약서만 받고 있으나, 보안서약서 내에 비밀유지에 대한 내용만 있고 개인정보보호에 관한 책임 및 내용이 포함되어 있지 않은 경우가 있다. 이는 서약서 양식에 대한 문제가 있어 보인다. 사실 서약서만 그런 것이 아니다. 대부분의 서류를 볼 때, 하나하나 따져서 제작하는 것이 아니라, 어디 외부에서 양식을 그대로 불펌하는 경우가 생각보다 많다. 개인정보보호 제공 동의서를 비롯하여 각종 서류에 대해서 그저 양식을 퍼오는 데에서 그치지 말고, 그것의 타당성과 합리성에 대해 따져보는 자세가 필요하다.

 

2.2.4 인식제고 및 교육훈련

인증기준: 임직원 및 관련 외부자가 조직의 관리체계와 정책을 이해하고 직무별 전문성을 확보할 수 있도록 연간 인식제고 활동 및 교육훈련 계획을 수립·운영하고, 그 결과에 따른 효과성을 평가하여 다음 계획에 반영하여야 한다.

 

결함사례#1

전년도에는 연간 정보보호 및 개인정보보호 교육 계획을 수립하여 이행하였으나, 당해 연도에 타당한 사유 없이 연간 정보보호 및 개인정보보호 교육 계획을 수립하지 않은 경우가 있다. 교육은 매년 필수로 여겨야 한다. 이는 뭐 규정이 어떻고, 지침이 어떻고의 문제가 아니다. 매년마다 바뀌는 것이 너무 많지 않은가. 법도 법이지만, 시스템의 변화, 조직 내 변동 등 여러 변수가 너무 많다. 연례행사로 교육 계획을 수립하여야 한다. 물론 이 교육이 그저 형식적인, 참석에만 의의를 두는 것이 되어서는 안 될 것이다. 사실 이에 대해 많이 고민을 한 적이 있다. 일반 직원들에게 어떻게 보안에 관련된 행동을 하도록 유도해야 할까 말이다. 사람은 본래 편리성, 편의성을 추구하니 말이다. 이에 대해 각 회사의 특징에 맞는 고찰이 필요하다.

 

결함사례#2

연간 정보보호 및 개인정보보호 교육 계획에 교육 주기와 대상은 명시하고 있으나, 시행 일정, 내용 및 방법 등의 내용이 포함되어 있지 않은 경우가 있다. 이것 역시 교육 계획을 그저 형식적인 것으로 보고 있기에 발생하지 않나 싶다. 교육 계획은 정말이지 중요하다. 게이트를 마구 통과해서는 안 되는 합리적인 이유를 설명해야 하고, 기록을 남겨야 하는 타당한 이유를 이해시켜야만 한다. 특히 책임에 관한 것을 이해시키는 것은 매우 중요할 것이다.

 

결함사례#3

연간 정보보호 및 개인정보보호 교육 계획에 전 직원을 대상으로 하는 개인정보보호 인식 교육은 일정시간 계획되어 있으나, 개인정보 보호책임자 및 개인정보담당자 등 직무별로 필요한 개인정보보호 관련 교육 계획이 포함되어 있지 않은 경우가 있다. 이것은 전 직원 대상의 교육에 비해 분명 더욱 까다로운 준비가 필요하다. 실질적으로 책임을 지는 사람들이기 때문에 교육에 더욱 심화된 내용이 필요할 것이기 때문이다. 이것을 준비하는 자는 전 직원 대상 교육과 담당자 대상 교육을 분명하게 구분하여 준비할 필요가 있다.

 

결함사례#4

정보보호 및 개인정보보호 교육 계획서 및 결과 보고서를 확인한 결과, 인증범위 내의 정보자산 및 설비에 접근하는 외주용역업체 직원(전산실 출입 청소원, 경비원, 외주개발자 등)을 교육 대상에서 누락한 경우가 있다. 외주 직원에 대한 누락은 생각보다 너무 빈번하다. 특히나 외주개발자면 그런 경우가 덜한데, 청소원이나 경비원 분들을 누락하는 경우가 생각보다 너무 많다. 등잔 밑이 어두운 법인데, 청소원이나 경비원 분들이 마음만 먹으면 어디든 들락날락하실 수 있다는 것에 대해 간과하고 있기 때문일 것이다. 특히나 여러 일을 하면서 느낀 것이지만, 청소원 분들은 정말이지 모르는 비밀번호가 없다.

 

결함사례#5

당해 연도 정보보호 및 개인정보보호 교육을 실시하였으나, 교육시행 및 평가에 관한 기록(교육 자료, 출석부, 평가 설문지, 결과보고서 등) 일부를 남기지 않고 있는 경우가 있다. 교육을 기껏 실행했는데 기록을 남기지 않았다는 건, 교육에 대한 준비가 미비했다는 것으로 밖에 해석이 되지 않는다. 교육 계획의 중요성을 이해하고, 그것을 철저하게 준비했더라면 이에 대한 누락이 있기는 힘들다. 담당자는 교육을 대충 준비한 것 아니냐는 핀잔을 듣더라도 할 말이 없을 것이다.

 

결함사례#6

정보보호 및 개인정보보호 교육 미이수자를 파악하지 않고 있거나, 해당 미이수자에 대한 추가교육 방법(전달교육, 추가교육, 온라인교육 등)을 수립·이행하고 있지 않은 경우가 있다. 당연히 전 직원을 대상으로 하는 교육이라 하더라도, 정말 전 직원이 교육을 받을 수는 없다. 휴가라던지, 출장이라던지 등의 사항이 있기 때문이다. 그런데 개인적으로 생각하기에 미이수자에 대한 문제보다는 미이수자와 다를 바 없는 이수자가 정말 많다는 것이지 않을까 싶다. 특히나 점점 사이버 교육으로 많은 것이 대체되면서 더욱 그러한 경우가 많다. 그저 교육을 이수하기 위해 실행만 하고, 다른 업무를 하다가 종종 알트탭을 눌러 다음으로 넘어가게 버튼을 누르는 그림인 것이다. 특히나 위에서도 말했듯 교육에 있어서 책임 부분에 대한 것을 이해하는 것이 개인적으로 효과적인 요소 중 하나라고 생각하기에, 이에 관한 간단한 퀴즈를 삽입하는 것도 생각해볼만 하지 않을까 싶다.

 

2.2.5 퇴직 및 직무변경 관리

인증기준: 퇴직 및 직무변경 시 인사·정보보호·개인정보보호·IT 등 관련 부서별 이행하여야 할 자산반납, 계정 및 접근권한 회수·조정, 결과확인 등의 절차를 수립·관리하여야 한다.

 

결함사례#1

직무 변동에 따라 개인정보취급자에서 제외된 인력의 계정과 권한이 개인정보처리시스템에 그대로 남아 있는 경우가 있다. 새로 누가 들어오건, 누가 삭제되건, 변동이 있을 경우 즉각적으로 반영하는 것을 잊어서는 안 될 것이다. 미루다 보면 잊게 되는 경우가 다반사다.

 

결함사례#2

최근에 퇴직한 주요직무자 및 개인정보취급자에 대하여 자산반납, 권한 회수 등의 퇴직절차 이행 기록이 확인되지 않은 경우가 있다. 이것도 #1의 연장선으로 정말 흔한 일 중 하나다. 나는 여전히 과거 각종 알바를 할 때 구글 시트로 작업하던 권한이 여전히 남아있다. 그것도 3곳이나 말이다. 나는 그 3곳이 지금 어떠한 작업을 하고 있는지 알 수 있다. 보안부서가 있는 팀이라면 이런 일이 없도록 해야 하지 않을까 싶다.

 

결함사례#3

임직원 퇴직 시 자산반납 관리는 잘 이행하고 있으나, 인사규정에서 정한 퇴직자 보안점검 및 퇴직확인서를 작성하지 않은 경우가 있다. 자산 반납은 생각보다 잘 이행되는 편이다. 왜냐면 그것은 핵심적인 것으로 여겨지기 때문이다. 그런데 서류적인 처리가 미비되어 있는 경우가 잦다. 보안에서는 사소한 것도 모두 문서화하고, 수정이 필요함을 잊어서는 안 된다.

 

결함사례#4

개인정보취급자 퇴직 시 개인정보처리시스템의 접근 권한은 지체 없이 회수되었지만, 출입통제 시스템 및 VPN 등 일부 시스템의 접근 권한이 회수되지 않은 경우가 있다. 이것도 #2와 비슷한 사례이지 않을까 싶다. 평소 직원에게 어떤 권한과 책임이 있는지 그에 대한 것을 명세화하는 것을 업무에 포함하여 이런 일이 발생하지 않도록 해야 한다.

 

2.2.6 보안 위반 시 조치

인증기준: 임직원 및 관련 외부자가 법령, 규제 및 내부정책을 위반한 경우 이에 따른 조치 절차를 수립·이행하여야 한다.

 

결함사례#1

정보보호 및 개인정보보호 규정 위반자에 대한 처리 기준 및 절차가 내부 규정에 전혀 포함되어 있지 않은 경우가 있다. 개인적으로 이것은 절대 내가 용납하지 않는 항목이다. 이 처리 기준과 절차를 이용하여 직원들에게 보안에 대한 중요성을 인식하는 것이 굉장히 필요하다고 느끼기 때문이다. 피해를 원하는 사람이 누가 있겠는가. 그런데 보안에 대해 무지하다면, 그저 하던 것처럼, 으레 하는 것처럼 일을 했을 뿐인데 피해를 입게 될 수도 있는 노릇이다. 이 점을 분명히 이해시키기 위해서라도 처리 기준과 절차를 포함하는 일은 매우 중요하다.

 

결함사례#2

보안시스템(DLP, 데이터베이스 접근제어시스템, 내부정보유출통제시스템 등)을 통하여 정책 위반이 탐지된 관련자에게 경고 메시지를 전달하고 있으나, 이에 대한 소명 및 추가 조사, 징계 처분 등 내부 규정에 따른 후속 조치가 이행되고 있지 않은 경우가 있다. 실제로 조사를 하지 않고, 징계를 하지 않는다면, 누가 이걸 지킬까. 특히나 높은 분들이라면 말이다. 이것은 임원이 보안에 대한 의지가 정말 있어야만 가능한 일이다. 이게 지켜지지 않는다면, 보안 교육을 하는 것도 아무런 의미가 없다고 생각한다.