산업보안 관리체계 그리고 인증
2009.10.01조회 30027
|
|
첨부파일 : |
Internet-security-1024x768-1024x768.jpg |
최근 들어 기업 내부의 정보가 유출되어 발생하는 피해가 증가하고 있다. 이에 따라 기업에서는 자신들이 보유하고 있는 기업 내부의 산업정보를 보호하기 위해 다양한 활동을 전개하고 있으며 많은 투자를 하고 있는 상황이다.
대기업을 비롯한 여러 기업에서는 산업정보를 보호하기 위해 많은 활동을 하고 있지만 이러한 보호활동에 대해 객관적으로 어느 정도의 수준인지, 보호활동 중 미흡한 부분이 없는 지 평가할 수 있는 객관적인 기준이 없다는 것이 가장 큰 문제점이다. 또한 산업정보는 기업의 생존과 직결된 핵심 정보로 이의 보호에 대해 대외적으로 공표하여 검증을 받을 수도 없는 일이다. 기업에서 보안담당자를 선임하고 다양한 기술적 보호조치를 강구하여 적용하더라도 사고가 발생하게 되면 그 동안의 노력을 증명할 방법이 없다.
이러한 기업의 고민을 해결할 수 있는 가장 최선의 방법은 무엇이 있을까? 산업정보의 보호활동과 관련하여 기업의 보호수준을 객관적으로 평가할 수 있는 기준을 수립하고 이를 객관적인 인증기관에 의해 평가를 통해 인증(Certification)을 부여하는 것이다. ‘인증’ 제도에 대해 국제 표준화 기구(ISO; International Organization for Standardization)의 정의는 다음과 같다.
"ISO 기술위원회(TC)에서 정의한 공급자와 구매자 사이의 기준을 바탕으로 자사 체질에 맞게 신뢰할 수 있는 제품과 서비스 공급 체제를 갖추어 운영하고 있다는 것을 제 3자 인증기관으로부터 심사 및 보증 받는 제도이다"
산업정보의 보호에 있어서도 국내의 산업보호와 관련하여 일정한 표준기관이 정의한 기준에 따라 산업정보를 보호하기 위한 관리체계를 수립하고 적절하게 운영하고 있음을 인증기관으로부터 인증을 받는 제도가 존재한다면 앞서 필자가 제시한 산업정보의 보호와 관련된 문제에 대해 상당 부분 해결책이 되지 않을까 생각한다.
산업보안 관리체계 및 그 인증에 대해서는 국제적으로 표준화된 인증제도는 존재하지 않고 있다. 정보보호와 관련된 인증은 국제인증인 ISO27001 인증과 국내 인증인 KISA ISMS 인증이 있으며 개인정보 보호와 관련하여 개인정보보호 마크 제도가 있으며 이에 대한 분석을 통해 산업보안 관리체계 및 이에 대한 인증을 수립할 수 있을 것으로 생각한다.
1. 정보보호 관리체계 인증 (ISO27001)
2. KISA ISMS
3. 개인정보 보호 마크제도
이상으로 3개의 인증 제도에 대해 간단하게 알아보았으며 이러한 3개의 인증 제도를 산업보안 관리체계에 적용하기에는 한계가 있으므로 필자는 다음과 같이 제안한다.
정보보호와 관련하여 선진 사례인 ISO27001을 근간으로 하여 ‘산업기술의 유출방지 및 보호에 관한 법률’ 및 ‘부정경쟁 방지 및 영업비밀 보호에 관한 법률’ 등 산업보안과 관련된 법률, 한국산업기술보호협회의 산업보안 점검항목 등을 통해 새로운 산업보안 관리체계를 수립하고 이에 대해 인증을 하는 방안을 제시한다.
또한 산업보안 관리체계에 대해 각 기업이 효과적으로 적용하고 있는 지 진단하고 보호대책을 제시할 수 있는 전문 인력을 양성하여야 할 것이다.
끝으로 각 기업에서는 이러한 산업보안 관리체계를 수립하고 위험평가 및 관리를 통해 지속적으로 산업정보 보호 활동을 하더라도 예상치 못한 보안사고는 발생할 수 있다. 따라서, 보안사고의 최대 요인인 내부인력에게 산업정보의 중요성에 대해 지속적으로 교육을 실시하여 인식을 제고하여야 하며 필요하다면 산업정보를 다루는 핵심적인 내부인력에 대해 충분한 경제적 보상을 실시하여야 할 것이다.
* 본 기고글은 지난 2009년 10월 에이쓰리시큐리티 뉴스레터를 통해 공개된 자료임. |