김정덕 중앙대 산업보안학과 교수

 
미국 듀크대학교 연구진이 발표한 논문에 의하면 우리가 매일 하는 행동의 40% 이상이 습관 때문이라고 한다. 우리는 대부분의 일을 자동적으로 이해하고 결정한다. 이처럼 습관은 우리 생활의 상당부분을 지배하고 있는데, 문제는 좋은 습관을 가지기가 쉽지 않다는 점이다. 
 
최근 정보보호관리체계(ISMS)와 개인정보관리체계(PIMS) 기준을 통합하려는 움직임이 한창 진행 중이다. 두 체계는 같은 뿌리에서 나온 것이라 통합 움직임은 당연한 것이라 하겠다. 단지 이번 통합과정에서 관리체계의 진정한 의미를 기준 개정 작업에 반영해야 하고 또한 이를 실천해야 할 것이다. 
 
관리체계의 진정한 의미는 무엇일까? 관리체계는 특정 시점의 정보보호 현상을 평가하기 위한 체크리스트 기반의 평가체계가 아니라, 정보보호 수준을 지속적으로 개선시키기 위한 일상적인 보안관리 활동(프로세스)을 보다 체계적으로 수행하기 위한 방안이다. 즉 '조직에 필요하며 적절한 보안대책을 선정해서 이를 적절히 구현, 운영하고 있는가?' 에 초점을 두고 있으며, 수정 보완 노력을 통해 지속적 개선노력이 수행되는 선순환 과정을 강조하는 것이다. 따라서 ISMS는 자율보안체계 구축을 위한 현존하는 최선의 방법이며, 따라서 많은 해외 선진 조직에서 적용하고 있는 글로벌 보안관리체계다. 

ISMS를 구축 운영한다고 한다는 것은 기존의 보안 솔루션 중심의 접근방법에서 벗어나, 의지와 역량을 갖춘 관리자(people)가 필요 보안대책(tool)을 활용해서 체계적인 보안관리 절차(procedure)를 일상적으로 수행하는 프로세스(process) 중심의 접근방법으로 변화해야 한다는 것을 의미한다. 즉 ISMS는 단지 스팟성의 행사위주의 활동이 아닌 일종의 조직의 습관으로 만들어야 한다.

여기에서 'ISMS 구축, 운영하는 것'과 'ISMS 인증을 받는다'는 것을 구분해서 생각할 필요가 있다. 인증은 단지 특정시점에서 객관적 평가를 받는다는 점에서 의미가 있지만, 인증을 받았다고 해서 손 놓고 보안관리활동을 게을리하면 안될 것이다. 우리가 매년 실시하는 건강검진 결과 큰 병이 발견되지 않았다고 해서 함부로 건강관리를 소홀히 할 수 없는 이유다. 지속적으로 자신의 취약요인에 주의하면서 이를 보완, 강화할 수 있도록 부단히 노력해야 함과 마찬가지다. 결론적으로 인증은 나름 필요하고 의미는 있으나 본질은 지속적인 관리체계를 운영, 개선시키는 노력이다. 이 점에서 진정한(Authentic) 의미의 ISMS는 정보보호 준비도 평가, 사전평가제도 등과 같은 스팟성의 정보보호 평가제도와 다르다.  

따라서 본원적인 ISMS 인증을 위해서는 관리활동(프로세스)에 보다 중점을 두어 심사해야 한다. 국제표준 기반 ISMS 인증에서 7가지 요구사항/프로세스를 명세한 ISO 27001이 의무적용이고, 국내 정보보호관리체계 인증에서도 관리과정이 필수 적용되는 이유이다. 즉 ISMS의 본질적 의미를 제대로 심사하기 위해서는 조직에 적절한 위험평가가 수행되었고 이에 기초한 보안대책의 선정 및 구현, 그리고 일상적 운영상태를 평가해야 한다. 그러나 현실은 일상적 관리과정을 심사하는 것보다는 보안대책의 구현여부에 더 중점을 두어 심사하는 경향이 있으며, 따라서 피 인증기관도 눈에 보이는 보안대책 구현에 더 신경 쓰는 경향이 있다. 최근의 ISMS와 PIMS의 통합과정에서 이러한 ISMS의 본질적 의미가 제대로 반영될 수 있도록 기준개정 작업이 수행되기를 기대해 본다.

산다는 것은 익숙한 것과 새로운 것 사이의 시소 게임이고 잘 산다는 것은 이 둘 간의 균형을 유지하는 것이다. 과거의 잘못된 습관을 버리고 새로운 올바른 습관을 갖기 위해서는 변화관리를 위한 부단한 노력이 필요하다. 이번 기회에 진정한 ISMS의 의미를 되살리는 계기가 되기를 기대한다.