[구축사례] 한국교육학술정보원, ISMS로 NEIS 보안 NICE

안정성·보안성 한층 업그레이드한 교육행정정보 시스템(NEIS)
보안의식 향상 및 전사적 협업체계 강화

[보안뉴스 김태형] 한국교육학술정보원(원장 한석수, 이하 KERIS)은 지난 해 말 ‘나이스 중앙 운영센터’에 대해 한국인터넷진흥원(KISA)에서 운영하고 있는 정보보호관리체계(Information Security Management System, 이하 ISMS) 인증을 획득했다. 이로써 최근 기관을 대상으로 기밀이나 개인정보 등 특정 정보 취득을 목표로 지능화·고도화되고 있는 사이버 공격에 보다 안전하고 보안이 강화된 교육행정정보 시스템 ‘나이스(NEIS)’를 운영하게 됐다.

한국교육학술정보원 인프라운영부 권성훈 전문원은 “이번 인증으로 KERIS는 2014년 2월 국가 주요정보통신기반시설로 지정된 나이스(NEIS)에 대해 안정성과 보안성을 갖추었음을 인정받게 됐다”면서 “나이스(NEIS)는 전국 1만여 개 초·중·고·특수학교, 17개 시·도교육청 및 교육부가 모든 교육행정 정보를 전자적으로 연계 처리하고, 국민 편의 증진을 위해 유관기관의 행정정보를 이용하는 교육행정정보 시스템으로, 나이스 중앙 운영센터는 대국민 서비스의 관문(Gateway) 역할 및 대외 연계의 허브 역할을 맡고 있다”고 설명했다.

한국교육학술정보원에서 이번 ISMS 인증 획득을 추진하게 된 배경과 목적은 무엇보다 나이스 중앙 운영센터의 정보보호관리체계의 적합성을 확인하고 보안수준을 더욱 향상시키기 위한 것으로, 자율적인 인증 신청을 통해 진행됐다.

이에 대해 권성훈 전문원은 “이번 인증 획득을 위한 과정에서 기존 운영되고 있던 정보보호관리체계를 인증 기준에 적합하도록 고도화하고 업무에 반영하는 부분이 어려웠다. 특히, 인증심사 준비과정에서 상당히 많은 시간을 통제항목에 대한 해석과 갭(Gap)에 대한 분석을 위해 소비했다”면서 “이러한 과정을 통해 전사적 협업체계를 구축한 후, 각 분야에 대해 점진적으로 관리체계를 고도화하고 증적관리 양식 등을 개발하면서 인증심사를 준비했다”고 말했다.

기존 정보보호관리체계 없이 운영되던 기업의 경우에는 새로운 지침과 표준을 정의하고 일정 기간 운영해 인증을 받으면 되지만, 그렇지 않은 경우에는 기존 관리체계와 문서 등에 대한 전면 검토 및 갭(Gap) 분석이 필요하기 때문이다.

한국교육학술정보원은 이번 ISMS 인증 획득으로 얻은 가장 큰 효과와 이점으로 보안의식의 제고를 꼽았다. 권 전문원은 “인증 준비를 하는 과정과 인증 심사를 진행하면서 보안과 관련한 전사적인 협업체계가 강화되고 보안의식이 더욱 향상됐다. 정보보호관리체계의 253개 통제항목이 관리적·물리적·기술적인 각 분야의 보안을 요구하다보니 통제항목을 따르면서 자연스럽게 부서 및 담당자간의 협업이 이루어졌다”고 강조했다.

이어서 그는 “아울러 심사를 위해서는 각 통제항목별 증적 자료, 문서와 시스템 등을 관리하고 유지하는 것이 필수적인데, 이 부분이 강화됐다. 즉 정보보호 및 시스템 운영 전반에 대한 문서화 및 증적관리가 생활화된 것”이라면서 “인증 획득 과정에서 우리의 보안수준을 돌아보게 되었고 인증 획득을 통해 지속적인 정보보호에 대한 기업의 의무를 재확인하게 된 점에서는 매우 효과적이었다”고 덧붙였다.

한국교육학술정보원은 이번 인증 획득을 위해서 정보보호 전문 서비스 업체를 통해 사전 준비와 수행작업을 진행했다. 기업에서 자체적으로 정보보호 컨설팅 전문 인력을 구성해 인증심사에 필수적인 서버 및 어플리케이션 등에 대한 취약점 분석을 수행하기는 비용과 인력수급 등의 측면에서 쉬운 일은 아니기 때문.

이에 대해 권 전문원은 “다수의 기업에서 외부 전문 업체의 보안 컨설팅을 활용하고 있다. 이런 경우 기업 및 업무의 특성, 보안체계에 대한 이해가 부족할 수 있기 때문에 기업의 보안 담당자는 평상 시 교육과 학습 등을 통해 일정 수준의 전문 지식을 습득하고 정보보호관리체계를 구축한 뒤, 전문 컨설팅 인력이 투입됐을 때 긴밀한 상호 협력을 통해 업무를 수행해 나가는 것이 매우 중요하다”고 강조했다.

▲ 한국교육학술정보원 인프라운영부 권성훈 전문원

또한, 그는 “외부 컨설팅을 이용할 경우 다른 기업의 사례를 참고하거나 최신 기술과 관련해서는 장점이 있으나 앞서 언급한 기업의 특성이나 업무 연속성 부분에서는 한계가 있으며, 기업 내부에서 자체적으로 구성할 경우에는 이와는 반대의 상황에 처하게 된다”면서 “어떤 경우라도 기업 보안담당자와 구성원의 의지, 그리고 일정 수준의 역량이 있어야 정보보호관리체계가 꾸준히 유지되고 성숙될 수 있다는 것을 명심해야 한다”고 덧붙였다.

보안에서 가장 중요한 게 ‘기본에 충실하는 것’이라는 권 전문원은 보안에서 기본적인 부분은 간과될 수 있으므로 원점에서부터 검토할 필요가 있다고 말한다. 또한 그는 “다양한 정보보호 시스템을 운영하고 있는 현 상황에서는 ‘인적 보안과 외부자 보안’에 대한 보안관리를 강화할 필요가 있다. 이를 위해서는 정기적인 보안교육을 실시하고 정보보호 동향을 조직 내에 전파하는 등의 활동이 필요하다”면서 “특히 보안교육 시에는 ‘교육대상자가 이해할 수 있는 수준’을 고려하고 ‘구체적으로 어떻게 해야 하는지’를 설명해서 보다 효과적인 교육이 이루어지도록 진행하는 것이 중요하다”고 강조했다.

보안을 위해 100%를 준비하더라도 어디엔가는 취약한 부분이 존재한다. 특히, 보안은 ‘최소의 법칙(Law of the Minimum)’이 적용된다. 즉, 특정 부분의 보안이 우수하다고 해서 전체가 안전한 것을 의미하지는 않는다. 여러 요소 중 가장 취약한 부분을 파악하고 관리적·물리적·기술적 분야의 보안수준이 균형 있게 향상되도록 투자하고 관리하는 것이 중요하다.

한국교육학술정보원의 이번 ISMS 인증 획득은 정보보호에 대한 조직적 관심과 관리체계 고도화의 결실이라고 볼 수 있다. 이와 관련 한국교육학술정보원 측은 정보보호관리체계의 지속적인 개선을 통해 보안수준을 더욱 향상·발전시켜 나갈 계획이라고 밝혔다.
[김태형 기자(boan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)