기업 비즈니스에 인터넷이 선택이 아닌 필수가 되면서 정보보호 사고 발생 가능성도 커지고 있다. 특히 해킹의 증가 등 정보보호 중요성이 높아지고, 정보유출 사고로 기업이 입는 타격이 커지면서 ISMS 인증제도에 대한 관심이 높아지고 있다.

차성경 기자 biblecar@

ISMS 인증제도는 기업이 주요 정보자산을 보호하기 위해 수립 및 운영중인 정보보호 체계가 적합한 지를 심사하는 제도로, 한국인터넷진흥원이 해킹 등 사이버 테러로부터 정보자산을 안전하게 보호하고 정보보호 관리체계가 우수한 기관에 부여하는 인증 제도다.

통합 정보보호 관리솔루션 ATHENA
오늘날 특정 제품이나 일부 조직에 의존하는 정보보호 활동만으로는 기업과 기관의 정보보호수준 향상에 한계를 가질 수밖에 없으며, ‘일회성 관리’, ‘부분적 보안’이 아닌 ‘지속적 관리’, ‘전사적 보안’을 위한 보다 높은 수준의 보안관리 활동이 가능한 정보보호 관리체계(ISMS)구축이 요구되고 있는 추세다. 이에 정부는 기관 및 기업의 정보보호 활동이 체계적이고 지속적으로 이루어지는지 인증기관이 심사하여 인증을 부여하고 있는데 관리과정 및 대책으로 구성된 104개 인증기준으로 심사하여 관리체계의 적정성을 판단한다.

▲ 정경섭 대표

최근 주목을 받고 있는 이지시큐는 통합 정보보호 관리솔루션 ATHENA로 반향을 일으키고 있는 곳이다. 이지시큐의 컨설팅 노하우를 집대성하여 개발된 ATHENA는 한정된 자원의 소비를 줄이기 위해 컨설팅 요소의 일부를 자동화하여 고객사의 비용을 절감함과 동시에 위험 진단 분석 평가의 정확도를 높이고 정보보호 대책 및 계획의 이행력을 향상시키는 시스템이다. 정부가 ISMS 인증제도를 도입한 이후 대다수의 ISMS 컨설팅은 ISMS의 취지를 잃은 인증 취득용 컨설팅으로, 일시적 단기 프로젝트 방식의 컨설팅을 반복하고 있는 실정이다. 결과 보고서 외에는 남는 게 없는 컨설팅으로 진행되어, 컨설팅 종료 및 철수 후 사후관리 지원 부족에 대한 갈증이 크고 컨설팅 후 실제 정보보호 수준의 향상에 대한 의구심이 생길 수밖에 없다.

특히 담당자들의 증적 관리 연속성, 지속성, 유지 능력이 부족하며 매년 지속적인 고비용 투자에 대한 부담과 당위성에 대한 의문이 제기되고 있는 상황이다. 반면 정보자산관리, 진단관리, 위험관리중적관리, 보안감사 등의 기능을 제공하는 ATHENA는 자동화를 통한 컨설팅 의존도 최소화, 최초의 정보보호 플랫폼 서비스를 통한 비용 최소화 및 효율 극대화로 정보보호의 신세계를 열었다는 평가를 받고 있다. 특히 솔루션 접속시 OTP 복합인증을 적용해 지정된 IP에서만 접속 가능한 접근 통제를 적용하고 사용자의 접속·기록·수정·다운로드 등 모든 활동을 로그로 수집하고 조회가 가능하다. 또한 사용자 그룹을 자유롭게 생성하는 것이 가능하고 각 그룹에 주어지는 권한을 지정하여 사용자를 할당해 사용자별 최소 권한을 부여하여 이용이 가능하다. 정경섭 이지시큐 대표는 “ATHENA는 한정된 자원의 소비를 줄이기 위해 컨설팅 요소의 일부를 자동화하여 고객사의 비용을 절감함과 동시에 위험 진단 분석 평가의 정확도를 높이고 정보보호 대책 및 계획의 이행력을 향상시키는 시스템”이라며 “고객의 예산과 필요에 따라 ISMS 컨설팅 상품을 선택해 비용이 효율적이고 투명한 견적을 산출할 수 있다”고 강조했다.

고객사가 원하는 본질적 컨설팅 방법론 제안
ISMS 인증제도의 취지를 살리는 정보보호와 인증의 일원화를 통해 벼락치기 인증 취득용 컨설팅에서 벗어나 고객사의 실제 정보보호 수준 개선 및 유지 목적으로 상시 운영하면 인증은 당연하게 따라오는 이치를 지향하는 본질적 컨설팅 방법론을 제안하는 이지시큐. 고객을 위한, 고객이 진심으로 원하는 ISMS 컨설팅 서비스를 제공하는 이지시큐는 기존 일반적인 단기 프로젝트 방식의 컨설팅이 아닌 이지시큐만의 특별한 솔루션인 ATHENA솔루션을 기반으로 정보보호 담당자의 멘토 역할을 하는 ‘상시관리형 리얼 컨설팅’ 표방 즉, 인증관리의 공백기가 없는 ON-AIR-ISMS 방법론으로 업계의 강자로 자리매김하는 중이다.

정경섭 대표는 “ATHENA는 기존 단기 프로젝트에서 피할 수 없는 시간적 제약으로 인한 현황분석의 한계와 컨설팅 품질 저하를 방지하고, 주기적인 보안 및 인프라 담당자와의 소통과 정기적 인터뷰를 통한 세밀한 현황분석으로 관리적 취약점 발견가능성을 증대시킨다”면서 “고객의 매년 반복되는 일시 고비용 투자부담의 해결을 위해 최소비용·최대효율을 실현하며 ‘연간사업’이 아닌 정보보호 관리체계(유지비용) 관점으로의 전환을 지향하고 있다”고 강조했다. 이어 “컨설팅 산출물에 관한 조율 또는 의문점 발생시 즉각적인 조치가 가능하고 돌발적인 고객사의 보안이슈에 대한 상시 질의응답 및 전문적인 피드백 제공으로 중장기 정보보호대책과 개선 마스터플랜을 실현가능하도록 하는 현실적이고 지속성 있는 정보보호 관리체계를 구현해 나아갈 것”이라고 다짐했다. 끝으로 정경섭 대표는 정보보호 유관법령에서 요구하는 기준과 현업 보안 담당자들이 갖는 현실적 한계, 그 사이의 간극을 좁혀주는 역할, KISA 홈페이지에 있는, 법령에 나오는, 검색하면 누구나 알 수 있는 정보들을 앵무새처럼 전달하는 게 아닌, 고객의 현황을 컴플라이언스 기준에 가까이 끌어당겨주면서 한계를 함께 고민하며 대안을 찾아 제공하는 것, 그것이 우리 이지시큐가 존재하는 의미이며 소명이라고 강조했다. NM