본문바로가기

PR

신시웨이의 최신 소식과 다양한 IT/보안 정보를 제공합니다.



신시웨이 프리세일즈팀은 6월 30일과 7월 14일 각각 2회에 걸쳐 ISMS-P 정보보호 및 개인정보보호 관리체계인증, 클라우드 보안 시장 동향이라는 주제로 내부 세미나를 개최하였습니다. 이번 세미나의 주된 목표는 ISMS-P 인증심사의 전반적인 내용을 소개하고, 더 나아가 페트라(DB 접근제어)에서 보완해야 할 부분을 토의하고 개선 및 발전시키기 위한 자리였습니다. 클라우드 보안 시장 또한 우리가 앞으로 나아가야 할 길이며, 세계 시장의 흐름에 맞추어 어떻게 대응해야 하는지에 대한 토의가 있었습니다.


세미나의 첫 번째 세션을 맡은 프리세일즈팀 김지현 과장은 발표에 앞서 “DB 보안의 전문가로서 ISMS-P 인증 심사 준비 시 고객에게 DB보안(접근제어, 암호화) 분야를 올바르게 컨설팅을 하기 위해서는 기술적 관리적 보호조치와 안전성 확보 조치에 관한 내용을 먼저 이해하여야 하고, 기본적으로 정보보호 대책(관리적, 기술적 통제)에 대해서도 알고 있어야 한다.”라는 것을 강조하고 발표를 시작하였습니다.


ISMS 인증 제도

정보보호 관리체계(Information Security Management System) 인증


기업이 주요 정보자산을 보호하기 위해 수립·관리·운영하는 정보보호 관리체계가 인증기준에 적합한지 심사하여 인증을 부여하는 제도

2013년 2월 18일부터 의무화


ISMS 인증 제도가 생기기 전에는 정보보호경영시스템(ISO 27001) 국제표준이 있었지만, 필수적으로 받아야 할 인증 제도가 아니었기 때문에 일부 기업들은 선택적으로 인증을 받아왔습니다. 이에 2001년 7월 KISA에서 국내 실정을 반영한 ISMS 인증제도를 도입하였습니다. 그 후 2002년 5월 인증기준 고시를 제정하고 2012년 2월에는 정보통신망법을 개정하였으며, 2013년도 2월부터는 정보보호 관리체계 인증을 의무적으로 받아야할 대상을 지정하여 인증을 취득하고 관리하게 되었습니다.

이렇게 ISO 27001을 기반으로 만들어진 ISMS는 국제 표준을 모두 포함하고 있고, 국내 상황에 맞게 암호화, 전자 거래 등의 보안 요건을 강화한 인증 제도입니다. 통상적으로 글로벌 비즈니스 활동을 하는 기업들은 ISO 27001 인증을 받고 있으며, 국내에서만 활동하는 기업은 ISMS 인증을 받고 있습니다.

PIMS 인증 제도
개인정보보호 관리체계(PIMS, Personal Information Management System) 인증

한국인터넷진흥원(KISA)에서 심사하는 제도로서, 기업이 개인정보보호 활동을 수행하는데 필요한 보호조치 체계를 구축하였는지 점검하여 일정 수준 이상의 기업에 인증을 부여하는 제도
PIMS 인증대상은 업무를 목적으로 개인정보를 처리(취급)하는 공공기관, 민간기업, 법인, 단체 및 개인 등 모든 공공기관 및 및간 개인정보처리(취급)자이다.
총 3개 분야 86개의 심사 항목 (개인정보보호 관리과정, 생명주기 및 권리보장, 개인정보 보호조치)
필수는 아닌 자율 인증제도이며, 대외 신뢰도를 위한 마케팅 측면 및 과징금 감면 혜택



PIMS 인증은 개인정보보호에 대한 기술적, 물리적, 관리적 조치가 잘 이루어져 있는지를 점검하는 인증 제도로, 필수는 아니지만 개인정보보호 중요성이 강조 되고 있다 보니 인증을 취득하면 대외적 인지도 및 마케팅 측면에서 활용되기도 합니다. 또한 PIMS 인증을 받을 시에는 개인정보 유출 사고가 발생하더라도 일정 부분의 노력을 인정하여 과징금을 감면해주는 혜택을 부여하고 있습니다. 하지만 ISMS 인증제도와 중복되는 항목이 많고, 취득에 소요되는 비용 등 기업과 기관의 부담이 크다는 문제점이 있었습니다.


ISMS-P 인증 제도

정보보호 및 개인정보보호 관리체계(Personal information & Information Security Management System) 인증


2018년도 말, 정보와 개인정보를 단일제도에서 체계적으로 관리할 수 있도록 ISMS + PIMS 인증제도 통합

중복 운영에 따른 기업·기관의 부담 해소 및 행정비용을 절감하고 고도화·융합화되는 사이버 공격에 효과적으로 대응할 수 있는 환경을 마련하자는 취지에서 ISMS-P 인증 제도 출범

최근에 조직의 정보보호 수준을 판단하는 기본적인 척도로서 인증의 보유 여부가 중요한 판단기준으로 자리 잡고 있음

관련 법률의 가장 기본은 정보통신망법과 개인정보보호법을 기반으로 하고있으며 가장 핵심은 ‘정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시'이다.



현대 사회에서 정보보안과 개인정보보호의 관계는 떼려야 뗄 수 없는 관계 입니다. 이렇듯 ISMS와 PIMS 인증 간에는 중복되는 내용이 적지 않게 있었으며, 개인정보주기관리 항목을 담은 PIMS 인증은 앞서 말했듯이 의무 규정은 아니지만, 개인정보보호 관련 법령 위반으로 인한 과징금 부과시 경감 혜택을 받을 수 있기 때문에 대부분 기업들은 인증을 유지 할 수밖에 없었습니다. 또한 ISMS 인증 준비 및 관리에 소요되는 큰 비용과 직원들의 업무 부담은 결국 기업들의 부담으로 이어졌고, 이러한 문제점들이 끊임없이 제가되고 있었습니다.


결국, 이러한 문제점들이 국정감사에까지 오르면서 2018년 개선된 인증 제도가 ISMS-P 입니다. ISMS-P 인증제도는 ISMS와 PIMS 인증을 통합하여 리소스를 절감 하고, 법령 개정에 따른 요구사항을 신설하고 최신 기술 및 이슈에 관한 기준을 강화하였습니다. 현재는 ISMS-P 인증의 보유 여부가 조직의 정보보호 수준을 판단하는 중요한 기준으로 자리 잡고 있습니다.



인증별 주관 부서(과학기술정보통신부, 행정안전부, 방송통신위원회)가 다르다 보니 법, 제도 개선 및 정책을 결정하고 인증 및 심사 기관을 지정하는 정책협의회를 신설하고 ISMS-P 인증을 주관하게 되었으며, 실질적인 일은 KISA(한국인터넷진흥원)가 인증기관 및 심사기관으로 있습니다. 또한 2019년 7월부터는 금융보안원이 인증기관으로 지정되면서 인증심사 절차가 좀 더 수월해졌습니다.




ISMS-P 인증 심사에서 DB보안에 관련된 인증 항목은(로그 서버, 게이트웨이 서버, 키 서버등 DB 보안에서 사용되는 서버 관련 항목 일부 포함) 102개 인증 기준 중 [2.5 인증 및 권한 관리], [2.6 접근 통제], [2.7 암호화 적용], [2.9 시스템 및 서비스 운영 관리], [2.10 시스템 및 서비스 보안 관리], [3. 개인정보 보유 및 이용 시 보호조치] 영역의 15개 항목이 직접, 간접적으로 심사 기준에 해당하며, 각 항목의 단위를 세분화시 110개 기능 항목에 해당 됩니다.



세미나에 참석한 신시웨이 직원들의 64.7%는 ISMS-P에 대한 전반적인 설명을 들을 수 있어서 좋았다는 의견을 보였습니다. 현재에도 DB접근제어 솔루션 “페트라”와 DB 암호화 솔루션 “페트라 사이퍼”는 PIMS, ISMS, ISMS-P에 대한 인증 항목을 모두 만족 하고 있지만 이번 세미나를 시작으로 하여 세미나의 범위와 질을 높이고, 고객들이 컴플라이언스을 좀 더 쉽게 대응 할 수 있는 효과적인 방안이 마련 되었으면 좋겠다는 의견이 많이 있었습니다.


신시웨이는 DB보안 시장을 선도하는 ‘데이터베이스 보안 전문 기업으로 방송통신위원회, 금융감독원, 행정안전부등 다수의 감사 대응 능력과 인증 심사 지원 경험이 풍부한 엔지니어들이 업무를 하고 있으며’ 지속적인 세미나를 통하여 컴플라이언스(compliance) 대응에 대한 업무 능력을 향상 시키기 위해 노력 하고 있습니다. 2020년 출시 예정인 페트라5는 보다 쉬운 컴플라이언스 관리를 제공할 계획 입니다.



List