최근 들어 기업 내부의 정보가 유출되어 발생하는 피해가 증가하고 있다. 이에 따라 기업에서는 자신들이 보유하고 있는 기업 내부의 산업정보를 보호하기 위해 다양한 활동을 전개하고 있으며 많은 투자를 하고 있는 상황이다.

대기업을 비롯한 여러 기업에서는 산업정보를 보호하기 위해 많은 활동을 하고 있지만 이러한 보호활동에 대해 객관적으로 어느 정도의 수준인지, 보호활동 중 미흡한 부분이 없는 지 평가할 수 있는 객관적인 기준이 없다는 것이 가장 큰 문제점이다. 또한 산업정보는 기업의 생존과 직결된 핵심 정보로 이의 보호에 대해 대외적으로 공표하여 검증을 받을 수도 없는 일이다. 기업에서 보안담당자를 선임하고 다양한 기술적 보호조치를 강구하여 적용하더라도 사고가 발생하게 되면 그 동안의 노력을 증명할 방법이 없다.

이러한 기업의 고민을 해결할 수 있는 가장 최선의 방법은 무엇이 있을까? 산업정보의 보호활동과 관련하여 기업의 보호수준을 객관적으로 평가할 수 있는 기준을 수립하고 이를 객관적인 인증기관에 의해 평가를 통해 인증(Certification)을 부여하는 것이다. ‘인증’ 제도에 대해 국제 표준화 기구(ISO; International Organization for Standardization)의 정의는 다음과 같다.

"ISO 기술위원회(TC)에서 정의한 공급자와 구매자 사이의 기준을 바탕으로 자사 체질에 맞게 신뢰할 수 있는 제품과 서비스 공급 체제를 갖추어 운영하고 있다는 것을 제 3자 인증기관으로부터 심사 및 보증 받는 제도이다"

산업정보의 보호에 있어서도 국내의 산업보호와 관련하여 일정한 표준기관이 정의한 기준에 따라 산업정보를 보호하기 위한 관리체계를 수립하고 적절하게 운영하고 있음을 인증기관으로부터 인증을 받는 제도가 존재한다면 앞서 필자가 제시한 산업정보의 보호와 관련된 문제에 대해 상당 부분 해결책이 되지 않을까 생각한다.

산업보안 관리체계 및 그 인증에 대해서는 국제적으로 표준화된 인증제도는 존재하지 않고 있다. 정보보호와 관련된 인증은 국제인증인 ISO27001 인증과 국내 인증인 KISA ISMS 인증이 있으며 개인정보 보호와 관련하여 개인정보보호 마크 제도가 있으며 이에 대한 분석을 통해 산업보안 관리체계 및 이에 대한 인증을 수립할 수 있을 것으로 생각한다.

1. 정보보호 관리체계 인증 (ISO27001)

ISO27001 인증은 정보보호 관리체계 전반에 대한 인증이다. ISO27001 인증은 11개 도메인의 133개개 통제에 대해 기업의 적용 현황을 파악하고 지속적인 위험평가와 관리를 통해 기업 전체의 정보보호 관리체계에 대한 안전성을 인증해 준다. 이 인증은 2009년 9월 까지 금융기관, IT, 정보보호 전문업체, 제조업체 등을 포함하여 102개 기업이 인증을 획득하고 있으며 국제적으로 인정받고 기업 전체의 정보보호 관리체계에 대해 인증한다는 장점이 있다. 하지만 그 기준이 매우 범용적이어서 각 기업의 상황과 다를 수 있으며 산업보안에 적용하기 위해서는 이에 대한 재해석이 필요하다.

2. KISA ISMS

한국인터넷진흥원(KISA)의 ISMS는 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’ 제47조(정보보호 관리체계의 인증) 법률에 기반하고 있으며 ISO27001과 유사하게 기업 전체의 정보보호 관리체계를 인증한다.

 

KISA의 ISMS는 정보보호 5단계 관리과정 요구사항 14개 필수항목, 문서화 요구사항 3개 필수항목, 정보보호 대책 15개 분야 120개 세부항목 총 137개 항목으로 구성되어 있으며 5단계 정보보호 관리과정에 따라 ISMS를 수립하고 운영하여야 하며 이에 대해 문서화가 되어하고 위험분석을 통해 필요한 통제사항을 선정하고 이에 대한 정보보호 대책을 구현하고 운영하여야 한다. 이 인증은 2009년 9월 현재 정보보호 전문업체, 제조업체 등 총 72개의 기업이 인증을 받고 있으며 인증 취득 시 다양한 혜택을 부여하고 있다.

3. 개인정보 보호 마크제도

한국정보통신산업협회(KAIT)가 주관하는 'ePRIVACY 마크' 제도가 있으며 이는 인터넷 이용자의 개인정보를 효과적으로 보호해 안심하고 온라인 거래를 할 수 있도록 인터넷 사이트의 개인정보 보호 정책 및 관리수준을 종합적으로 평가한 후 개인정보 보호 우수사이트 인증마크를 부여한다. 이 제도는 개인정보 보호와 관련된 문제를 정부에서 나서 규제하기 보다는 민간단체와 업계간의 협력을 바탕으로 한 민간자율규제를 통해 개인정보의 침해를 최소화하자는 취지로 출발했다.

 

심사기준은 정보통신망이용촉진 및 정보보호 등에 관한 법률, 개인정보보호지침, 한국정보통신산업협회 인터넷사이트 안전마크 심사기준을 근거로 7개 분야 59개 항목(필수 17개 항목)으로 구성되어 있다.

이상으로 3개의 인증 제도에 대해 간단하게 알아보았으며 이러한 3개의 인증 제도를 산업보안 관리체계에 적용하기에는 한계가 있으므로 필자는 다음과 같이 제안한다.

정보보호와 관련하여 선진 사례인 ISO27001을 근간으로 하여 ‘산업기술의 유출방지 및 보호에 관한 법률’ 및 ‘부정경쟁 방지 및 영업비밀 보호에 관한 법률’ 등 산업보안과 관련된 법률, 한국산업기술보호협회의 산업보안 점검항목 등을 통해 새로운 산업보안 관리체계를 수립하고 이에 대해 인증을 하는 방안을 제시한다.

또한 산업보안 관리체계에 대해 각 기업이 효과적으로 적용하고 있는 지 진단하고 보호대책을 제시할 수 있는 전문 인력을 양성하여야 할 것이다.

끝으로 각 기업에서는 이러한 산업보안 관리체계를 수립하고 위험평가 및 관리를 통해 지속적으로 산업정보 보호 활동을 하더라도 예상치 못한 보안사고는 발생할 수 있다. 따라서, 보안사고의 최대 요인인 내부인력에게 산업정보의 중요성에 대해 지속적으로 교육을 실시하여 인식을 제고하여야 하며 필요하다면 산업정보를 다루는 핵심적인 내부인력에 대해 충분한 경제적 보상을 실시하여야 할 것이다.

* 본 기고글은 지난 2009년 10월 에이쓰리시큐리티 뉴스레터를 통해 공개된 자료임.