|
이는 인증을 받았다고 안전을 보장받는 것이라는 착각을 깨우는 불편한 경고다. 자동차 안전 인증을 받은 차가 운전자 과속으로 사고를 내는 것처럼 인증은 시작일 뿐 실제 운영이 핵심이다.
ISMS 인증은 3년마다 받아야 하는 것으로 기업이 위험을 스스로 인지하고 관리할 수 있게 하는 틀이다. 다만 사고를 완벽히 막는 보험이 아니라 건강검진처럼 최소한의 자율적 보안 역량을 점검하는 제도다. 그러나 많은 기업이 이를 상시적인 보안 관리가 아닌 3년 주기의 인증 획득용 문서 작업으로만 인식해 실제 보안 실행력과 조직 문화 개선으로 이어지지 못하고 있다.
우리나라 ISMS는 2002년 국제표준 ISO 27001을 기반으로 도입됐고 2005년 개인정보 보호를 강화한 ISMS-P로 발전해 왔다. 이 제도의 핵심은 기업의 정보보호 관리를 위한 기본적인 체계를 갖추도록 하는 것이다. 즉 정책·조직·관리 절차를 세우고 이를 토대로 위험 관리를 수행하고 조직 고유 상황에 맞는 통제를 선택·구현·운영하도록 하고 있다. 모든 조직에 똑같은 통제를 강요하는 것이 아니라 ‘공통 뼈대 위에서 각 조직이 스스로 위험을 판단하고 필요한 통제를 설계·운영하라’는 자율보안 철학에 기초하고 있다.
그런데 현실은 위험관리 대신 체크리스트 점검으로 변질됐다. 클라우드·인공지능(AI) 시대에 ‘스냅샷 심사’만으론 급변하는 위협을 따라잡기 어렵다. 연 1회 점검과 문서 위주의 스냅샷 심사는 실시간으로 진화하는 클라우드·AI 위협 앞에서 구조적 한계를 드러낼 수밖에 없다는 얘기다.
기업과 공공 조직은 인증 서류 맞추기에 그치지 말고 상시 위험 평가·모니터링·로그 분석·교육을 일상화해야 한다. 적절한 기술적 보안대책 구현과 운영도 필수지만 최고경영자(CEO)의 리더십 아래 전 직원이 참여하는 거버넌스와 인간 중심 보안이 더 중요하다.
보안은 이제 기술 문제가 아니라 조직 생존을 좌우하는 비즈니스 이슈다. 이를 위해 정보보호 전담조직과 충분한 예산이 뒷받침돼야 한다. ISMS는 비싼 운동기구를 사는 것이 아니라 매일 운동하는 습관을 만드는 일과 같다. 인증서는 벽에 걸어두는 장식물이 아니라 오늘도 위험을 점검하고 대응하는 ‘생활’ 자체여야 한다.
인증제도도 향상해야 한다. 디지털 전환 환경에 맞게 인증 기준과 점검 항목을 강화하고 CEO를 비롯한 최고경영층의 리더십과 참여를 보다 명시적으로 점검해야 한다. 기업내 최고정보보호책임자(CISO)와 보안팀에만 책임을 떠넘기면 조직 전체를 아우르는 보안을 구현하기 어렵다. 운영·모니터링 항목을 구체화하고 예산 집행 실태를 엄격히 확인해야 한다.
인증 심사원의 역량제고와 처우 개선도 더 이상 미룰 수 없는 과제다. 숙련된 의사가 건강검진의 질을 높이듯 인증 심사의 품질은 인증 기준 그 자체뿐만 아니라 심사원의 역량과 동기, 충분한 보상에 달려 있다. 경험 있는 심사원을 확보할 수 있도록 심사비를 현실화하고 지속적인 교육과 사례 학습을 통해 심사원의 역량을 높여야 한다.
디지털 전환 시대에 보안사고는 완전히 없앨 수 없는 위험이다. 언제든 발생할 수 있다. 건강한 면역체계처럼 복원력을 갖춘 조직만이 위기를 견딜 수 있다. ISMS는 조직의 면역체계를 만들기 위한 국제적으로 인정된 프레임워크다. 다만 그 정신과 원칙을 제대로 이해하고 ISMS가 추구하는 자율보안 체계를 구현하는 것이 우리가 해야 할 일이다. ISMS의 본질을 지키고 인증제도를 보완한다면 우리는 더 안전한 디지털 세상으로 나아갈 수 있을 것이다.
Copyright ⓒ 이데일리 무단 전재 및 재배포 금지
본 콘텐츠는 뉴스픽 파트너스에서 공유된 콘텐츠입니다.
다음 내용이 궁금하다면?
광고 보고 계속 읽기
원치 않을 경우 뒤로가기를 눌러주세요
