정보보호 투자는 기업 매출증대와 직결

글로벌 정보보호 체계 구축→신뢰도향상→매출향상

정보보호에 대한 기업의 인식과 관심이 높아지면서 ‘ISO27001'에 대한 기업들의 관심도 증가하고 있다. ISO27001은 국제표준화기구에서 제정한 국제 보안표준규격으로 정보보호 분야에서 가장 권위있는 국제인증으로 통한다.

이 인증을 획득하기 위해서는 정보보호 관리체계 기준에서 정하는 위험관리, 보안정책, 자산분류 및 통제 등 11개 세션, 133개 항목에 대한 심사과정을 통과해야 한다.

ISO27001의 11개 세션은 정보보호 정책, 정보보호 조직 및 구성, 자산관리, 인적보안, 물리적&환경적 보안, 통신 및 운영 관리, 접근통제, 시스템도입·유지보수, 침해사고대응관리, 사업연속성 관리, 준거성 등이다.

인증심사 절차는 우선 ISO27001인증을 받기 위한 조직의 정보보호관리체계 구조를 구축하고 인증기관에서 심사에 필요한 기간 및 비용을 산정, 인증심사 요청서 및 계약서 작성·제출, 인증기관에 의한 서면검토 실시, 인증기관에 의한 현장심사 실시 및 개선 권고사항 제시, 심사종료 및 인증서 발행 순이다.

인증심사에서 문서심사는 정보보호관리체계 프레임웍 검토, ISMS 범위, 위험분석 및 관리기법의 적정성, 적용성 보고서, 정보보호정책서 및 보안관련 문서 검토 등이 이루어지고, 현장심사는 구현된 ISMS의 효과성, 정보보호 정책 및 보안관련 문서 내용에 대한 준수, 인터뷰, 관찰, 이행관련 기록 확인 등으로 이루어진다.

동부하이텍 관계자는 “ISO27001인증 추진을 해가는 과정에서 정보보호 관리체계와 정보보호 기술축적, 보안관리의 효율성, 전임직원의 보안의식 향상 등이 상당히 높은 수준으로 증가한다”며 “ISO27001인증을 획득한 후, 대외이미지 및 신뢰도가 제고되고 정보보호를 전략적 경쟁우위 요소로 활용할 수도 있었다”며 ISO27001이 기업경영 경쟁력에도 큰 도움이 된다고 강조했다.

동부하이텍은 ISO27001 보안규격을 기본으로 해 현황분석 및 위험분석을 통해 도출된 통제방안을 체계화해 1개 규정, 1개 지침서, 10개 지침서로 정보보안 정책을 설계했다고 한다.

동부하이텍의 내부효과로 기존 정립되지 않았던 정보보안체계를 ISO27001이라는 국제표준에 맞춰 적용함으로써 글로벌한 정보보호 관리체계를 수립하게 됐다. 또 수립한 정보보호 관리체계에 따라 조직이 운영되기 때문에 임직원들의 정보보호 의식이 증대되고 지속적 관리에 의한 정보보호 수준이 높아졌다.

또 동부하이텍 관계자는 “대외적으로도 정보보호관리체계 인증획득을 대외적으로 공표할 수 있게 되어 정보가 ‘안전하게 보호되고 있다’는 신뢰를 고객에게 심어줄 수 있고 비즈니스적으로 홍보함으로써 고객 신뢰도 향상을 가져오고 매출도 증대되는 것을 확인할 수 있다”고 밝혔다.

동부하이텍은 19일 열린 한국산업보안포럼 창립총회와 제1회 산업보안심포지엄에서 ISO27001을 통한 정보보안 강화를 주제로 기업의 체계적인 정보보안을 위해서는 글로벌 정보보호 인증체계가 꼭 필요하다고 강조했다.

모 정보보호 관계자도 “이제 정보보호에 대한 투자는 수익과 직결된 문제라는 인식이 기업인들 사이에서 형성되고 있다”며 “보안투자에 인색한 기업은 언젠가는 보안침해사고로 큰 피해를 볼 것이다. 최근 발생하는 정보유출 사고들도 대부분 보안투자 미비로 발생한 것들이다. 기업들의 인식변화가 필요하다”고 말했다.

[길민권 기자(reporter21@boannews.com)]

최근 발생한 크라우드 스트라이크의 보안 SW 업데이트 오류 사태처럼 SW 공급망에 보안이슈가 발생할 경우 관련된 각종 시스템 및 IT 인프라 마비가 일어날 수 있다는 게 드러났습니다. 이러한 공급망 보안을 위협하는 가장 큰 요인은 무엇이라고 생각하시나요?
	랜섬웨어, 피싱 등의 사이버 공격
	SW 업데이트 및 SW 교체 과정에서의 오류
	SW 자체에 존재하는 보안 취약점
	시스템 관리자의 운영상 실수 및 관리 미흡
	기타(댓글로)