회사에서 CISO 역할을 맡고 있다.
그렇기에 매년 ISMS 인증심사를 준비하고 진행하는 과정은 내 주요 업무 중 하나이다.
💡 ISMS란?
ISMS(Information Security Management System)는 이름 그대로
"정보보호 관리 체계"를 뜻하며, 한국인터넷진흥원(KISA)이 주관하는
정보보호 인증 제도 중 하나이다.
가장 먼저 회사가 정보보호를 찾는 근본적 이유는 무엇일까?
답은 사업에 있다.
사실 회사에 있어서 가장 중요한 것은 사업(돈벌이 수단)으로,
정보보호란 사업을 안전하고 원활하게 수행하기 위해 필요한 부수적인 장치 중 하나이기 때문이다.
그럼 이번엔 질문을 조금 바꿔보자.
회사가 불편을 감수하고 돈까지 들여서 ISMS 인증을 받는 이유는 무엇일까?
이 또한 사업 때문이다.
제공하는 IT 사업에 대한 보안성 검증 및 대고객 신뢰성 확보
결국 모든 게 사업을 더 잘하기 위해서 하는 것이다.
* ISMS는 국내 보안 업계에서 가장 범용적으로 인정되는 정보보호 인증이다.
여기까지의 결론은 "사업이 있고 나서 정보보호가 있다"는 것이다.
우리 회사가 ISMS를 검토했던 배경을 짤막히 소개하자면 다음과 같다.
온라인 서비스를 만들어 대기업들을 대상으로 영업에 나섰는데
공통적인 답변이 돌아왔다고 한다.
"서비스는 괜찮은데.. 보안성은 뭘로 보장할 건데요?"
물론 이 질문에 주저리주저리 자료를 만들어 증빙할 수도 있겠지만
상대는 하나가 아니기 때문에, 이런 문제를 한큐에 해결하기 위해 선택한 카드가 바로 'ISMS'이다.
실제로 ISMS 최초 인증 이후, 우리는 대기업과의 계약을 성사시킬 수 있었고
그걸 레퍼런스로 하여 다른 큰 회사와 줄줄이 계약을 따낼 수 있었다.
ISMS는 IT 서비스를 고객에 원활히 제공하기 위한 일종의 보증서 역할을 했던 것이다.
그렇기에 ISMS는 우리에게 있어 사업을 위한 중요한 도구라고 할 수 있다.
최근에는 상황이 약간 달라져
ISMS를 이야기해도 계약의 성패에 큰 영향을 끼치지 못하는 케이스도 간혹 발생한다.
그건 바로 속된 말로 '개나 소나 ISMS를 받는다.'는 인식이 생겼기 때문이다.
ISMS 인증에는 2가지 종류가 있다.
ISMS와 ISMS-P가 있는데, 여기서 P는 'Personal information'의 약자로
과거 PIMS라는 인증제도가 ISMS와 합쳐진 개념이라고 보면 된다.
2개의 인증제도가 합쳐졌으니, 당연히 기존 ISMS보다 좀 더 힘든 인증이라고 보면 되겠다.
요약하면 ISMS의 인증 세부 항목에 개인정보 보호에 관한 사항들이 추가된 인증이다.
ISMS-P는 업계에서 쉽사리 따기 어려운 인증으로 인식되곤 한다.
ISMS는 심각한 결격 사유가 있지 않는 이상 그냥 주는 느낌이라면
ISMS-P는 회사 보안 체계가 그냥 허울만 있어서는 안 되고, 조금은 내실이 다져져야 하는 느낌이다.
그렇기에 요즘은 예전처럼 고객에 ISMS를 들이밀었다가 약간의 무시를 받는 경우도 생긴다.
영업에 있어 정보보호 관점에서 힘을 주려면, 고생을 하더라도 ISMS-P 인증을 취득하는 것이 맞다.
ISMS는 최초 인증 후 매년 심사를 받으며 자격을 유지할 수 있고, 그 기간은 4년이다.
우리 회사는 최초 인증 후 4년 차가 도래하여, 인증 유지를 위한 마지막 단계의 심사를 받고 있다.
이 심사를 통과하면 기간이 갱신된다고 보면 된다.
단, 인증 대상 서비스가 동일하다는 조건 하에서 그렇다.
인증 대상 서비스가 변경되는 경우는 다시 신규로 심사 신청하여 최초 심사를 받아야 한다.
ISMS 갱신심사에 배정되는 심사원은 총 4명으로(심사팀장 1, 심사원 3), 5 영업일간 진행된다.
좀 더 구체적으로 이야기하면, 이 4명 중 전업 심사원은 2명이다. (심사팀장 1, 전문심사원 1)
나머지 2명은 현업 심사원으로, 회사에서 일하던 중 ISMS 인증심사원 자격을 취득하여 합법적인 투잡을 뛰는 사람들이다.
물론 현업 심사원들은 본래 다니는 회사가 있기 때문에, 본인의 연차를 쓰고 심사에 나서야 한다.
(휴가고 뭐고 회의 내내 현업 심사원들이 제일 부러웠다.ㅎㅎ)
ISMS 인증심사원 자격은 국내 IT 보안 라이선스 중 가장 극악의 난이도를 자랑한다고 익히 들어왔다.
이 자격을 취득하는 게 힘든 과정이긴 하지만, 취득하는 경우 2가지 엄청난 베네핏이 존재한다.
- 앞서 언급했듯 본업을 하며 합법적인 투잡이 가능하다.
- 인증심사원 자격은 정년이 없다고 한다.(?) ⭐⭐⭐
2번째 베네핏은 거의 뭐 전문직 수준이라고 볼 수 있다.
전문직 고난의 시대가 열린 요즘, 정보보호 인증 심사원은 숨은 보석과 같은 직업이라고 할 수 있다.
보안 업계에 몸담고 있는 내 생각으로는
IT 업을 하면서 짬이 자랑이 될 수 있는 대표적 분야는 보안 분야라고 생각한다.
인생에서 보안 업계에 쭉 몸담을 계획을 갖는 사람이라면
꼭 도전해봐야 하는 시험이라고 생각한다.
ISMS 심사 준비 및 진행에 대한 총괄을 맡아온지도 이제 2년 차가 도래했다.
인증 심사 1일 차, 심사 팀장님으로부터 작년에 비해 장족의 발전을 한 것 같다는 칭찬을 받고
잠시나마 뿌듯한 감정에 휩싸였지만 아직도 갈길이 멀다.
CISO로서 내가 걸어가야 할 길은 '말랑한 보안'을 하는 것이라고 생각한다.
모든 걸 막아버리고 아무것도 못하게 하는 '딱딱한 보안'은 가장 쉬운 방법론이라고 본다.
우선 뭐든 막고 보자는 식의 보안은 너무나 시대착오적이라는 생각이다.
이런 식으로 운영하면 사업적인 면에서 효율을 가져갈 수가 없다.
뭐든 막는 보안은 우리가 지켜야 할 것이 많은 단계에서 고민해야 할 일이라고 생각한다.
물론 보안사고를 직접 겪고 책임져본 경험이 아직은 없기에 섣부른 생각이라 볼 수 있겠지만
적어도 내가 CISO로서 근무하는 동안은, 보수 일변도의 노잼 정책은 펼 일이 없을 것이다.
한 가지 안타까운 점은 우리 회사의 누구도 나의 가치관이 그러하다는 것을 모를 것이라는 점이다.
아직은 CISO 초창기이고, 모르는 상태에서의 모험은 위험하다는 생각에
아직까진 그동안 걸어왔던 길을 참고하여 신중하게 돌다리를 놓고 있는 중이다.
사실 말랑한 보안을 실현하기 위해 가장 먼저 확보되어야 할 요소는 2가지이다.
- 우수한 정보보호 전담 인력과 솔루션
- 1번을 도입할 예산
이 2가지가 아직 거의 전무하다시피 한 상태이기 때문에
상장을 앞둔 지금 시점에 모험을 할 수는 없다는 판단이다.
ISMS 관련 나머지 썰들은 인증심사가 끝난 직후에 풀어보도록 하겠다.
심사를 하며 느낀 점, 향후 정보보호 운영을 어떤 식으로 해냐가야할지 등을 위주로 정리해 봐야겠다.
오늘 무려 10시부터 15시까지(점심시간 제외) 준비한 자료들 발표하고 질의응답을 했는데
집에 와서 블로그 포스팅을 완료한 나 자신에게 박수를 보낸다.👏👏👏
'Work' 카테고리의 다른 글
| 사업 계획에 관하여 (6) | 2024.11.16 |
|---|
