[시큐리티 Q&A] 보안관련 인증 통합 이슈

Q. 인증 통합 얘기가 나오고 있는데, ISMS 인증이 앞으로 어떻게 변화될 것인지 궁금합니다.

A-1. ISMS, PIMS, PIPL 등 정보보호관련 인증제도 간 중복성 해소를 위한 부처간 협의가 진행 중이며, 우선 개인정보보호 인증제도인 PIMS와 PIPL의 경우, 제도 명칭, 인증마크 등을 통일하여 실질적인 제도 통합 방안을 논의 중입니다.

한편 정보보호 인증(ISMS)과 개인정보보호 인증(PIMS, PIPL) 제도 간에는 인증범위가 중복되는 영역에 한하여 공통 심사항목 상호 인정 방안을 마련하고 있습니다.
(지상호 한국인터넷진흥원 팀장/jsh@kisa.or.kr)

A-2. ISMS 인증 방식은 국제 표준인 ISO27001과 국내 인증 표준인 K-ISMS가 있습니다. 현재 상황은 국내에서 영업활동을 하는 기업은 ISO27001 인증을 취득해도 K-ISMS를 취득해야 합니다. 기업 입장에서는 다소 번거로운 일 일수 있지만 당분간 두 인증이 통합되지는 않을 것으로 보입니다. 현재 K-ISMS가 기업의 규모에 맞게 간편화된 인증 방식을 개발 및 적용하기 위한 시점에 있기 때문에 K-ISMS 인증이 없어지지는 않을 것으로 봅니다.

(이준택 한양대학교 교수/joontaiklee@gmail.com)

A-3. 현재 정보보호에 관해서는 ISMS 인증, 개인정보보호에 관해서는 PIMS 인증, PIPL 인증이 있습니다. 인증의 통합 현상은 세 가지 방향으로 이루어지는데, 그 하나가 정보보호 분야에서의 통합 인증, 다른 하나가 개인정보보호 분야에서의 통합 인증, 또 다른 하나가 정보보호 분야와 개인정보보호 분야 사이의 통합 인증입니다.

정보보호 분야에서의 통합 인증에 관하여는 공공분야의 G-ISMS가 ISMS로 통합되고 최근 금융권이 독자적인 F-ISMS 제도 시행을 보류한다고 발표했지만, 개인정보보호 분야에서는 아직까지는 PIMS 인증과 PIPL 인증사이의 가시적인 통합화는 아직 없습니다.

정보보호 분야와 개인정보보호 분야 사이의 통합에 관해서는 최근 방송통신위원회가 발표한 ISMS, PIMS, PIPL를 모두 통합한 인증제도의 추진이 대표적입니다. 유사한 인증 제도를 하나로 통합하는 것이 궁극적인 목적 달성 측면뿐만 아니라 비용적으로나 체계적으로나 바람직하고, 이러한 방향의 필요성에 대해서는 보안업계 또는 인증을 받아야 하는 기업들이 공감하고 있기에 장차 ISMS, PIMS, PIPL를 모두 통합한 하나의 인증 제도로 진행될 것으로 예상됩니다.

다만 그렇더라도 심사기준을 정보보호나 개인정보보호 등에서 똑같이 운영한다는 뜻은 아니고 하나의 인증제도 틀 안에서 금융, 통신, 의료, 국방, 개인정보, 클라우드 등의 세부 분야의 특수성을 고려한 심사항목의 조절은 필수적이기에 통합이라는 하나의 큰 틀에서 세부 분야별로 특수성을 고려한 인증 제도로 발전해 나갈 것으로 예상합니다.

(김경환 법무법인 민후 대표변호사/hi@minwho.kr)

A-4. 현재 관련 법에 따라 정보통신망법에서는 ISMS, PIMS, 전자정부법에서는G-ISMS, 개인정보보호법에서는 PIPL 등 다양한 국내 인증이 존재합니다. 정부에서는 현재 2017년까지 ISMS와 PIMS를 통합할 예정이며, PIPL 역시 통합을 추진 중에 있습니다.

(안상수 ISMS인증심사원·ISO27001선임심사원/ssahn@nuriins.com)

[민세아 기자(boan5@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)