"국내 ISMS, 분야별 통제 항목 추가 필요"

정보보호 관련 표준을 논의하는 정보보호포럼이 지난해 개정된 국제표준(ISO/IEC 27001)에 맞춰 국내 정보보호관리체계(K-ISMS 2.0) 인증에도 금융, 통신, 의료, 국방 등 분야별 전문성을 다루는 통제항목을 추가할 필요가 있다는 의견을 냈다.

14일 지식정보보안산업협회(KISIA)는 서울 반포동 팔레스 호텔에서 '정보보호포럼 조찬 세미나'를 열고, 이 같은 내용을 논의했다.

이날 발표를 맡은 고려사이버대학교 박대하 정보관리 보안학과 교수는 2005년 이후 지난해 개정된 ISMS 인증에 대한 국제표준인 ISO/IEC 27001를 반영해 K-ISMS 2.0도 개정이 필요하다며 ISO/IEC 27009를 모델로 공통 관리과정을 수립한 뒤 금융, 통신, 의료, 국방, 개인정보, 클라우드 등 분야별 관리과정 요구사항을 추가할 필요가 있다고 밝혔다.

2002년 국내에 도입된 ISMS 인증제도는 지난해 K-ISMS 2.0으로 개정됐다. 현재 ISMS 인증제도는 기업들이 주요 정보자산을 보호하기 위해 보안정책, 인력, 장비, 시설 등을 갖추고 있는지 객관적인 심사기준에 따라 평가해 인증을 부여하는 제도다.

정보통신망법 제47조에 따라 정보통신망서비스 제공자, 집적정보통신시설(IDC) 사업자, 정보통신서비스 부문 매출 100억원 이상 혹은 일평균 방문자수 100만명 이상 사업자들은 해당 인증을 의무적으로 받아야 한다.

문제는 그동안 국내 인증기준 마련에 참고했던 ISO/IEC 27001에 변화가 생겼다는 점이다. 이를 반영해야만 국내 기업들이 K-ISMS 2.0을 받았을 때 국제 환경에서도 보안성을 인정받을 수 있게 된다.

박 교수는 지난해 개정된 ISO/IEC 27001이 2005년 표준의 70%를 그대로 포함하고 있어 국내 K-ISMS 2.0에도 크게 수정할 부분은 없다면서도 관련 구체적인 지침을 다룬 통제항목에 변화가 있어 이를 반영해야 한다고 설명했다.

관련기사

이와 함께 인증 심사지침, 심사원 역량 강화를 위한 통제항목별 효과적인 심사기법 도출, 심사원에 대한 교육 등이 필요하다고 박 교수는 강조했다.

정보보호포럼은 표준화 대책 및 정책 대안을 마련해 정보보호 기술 이용, 국내 산업 활성화를 장려하고, 개인정보보호 제도, 정책의 실효성을 높이기 위해 5월 13일 창설됐다. 포럼은 표준분과, 해킹분과, 운영분과로 구성됐으며, 염흥열 순천향대 교수가 초대 의장을 맡고 있다.