정보보안의 중요성이 날로 높아지면서 "BS7799 인증"이 뜨고 있다. 인터넷의 급속한 보급과 기업들의 e비즈니스 활성화와 비례해 보안사고가 급증함에 따라 BS7799 인증을 받으려는 기업이나 금융기관들이 늘어나고 있는 것이다. 인터넷망을 이용해 전자상거래를 하거나 은행거래를 하는 고객들은 개인정보가 유출되거나 해킹당할 수 있다는 점 때문에 매우 불안해하고 있다. 이같은 우려를 씻어주고 특정 기업이 안정된 정보보안 체계를 갖추고 있음을 국제적으로 인정해 주는 것이 BS7799 인증이다. 생산공정과 품질의 무결성 등을 입증하는 ISO-9000 인증처럼 특정 기업의 정보보안 실태에 대해 엄밀하게 검증하고 일정 수준 이상의 보안 체계를 유지하고 있을때 인증서를 수여한다. BS7799는 인증 분야에서 최고의 권위를 자랑하는 영국표준협회(BSI:The British Standards Institution)가 제정한 규격이다. BS7799 가운데 정보보안 경영시스템 구축을 위한 실행지침을 담은 "파트1"은 이미 국제표준화기구(ISO)의 공인을 받은 상태다. 현재 기업들이 BS7799 인증을 받는 구체적인 절차 등 인증 규격을 정한 "파트2"를 국제 표준으로 만들기 위한 협의가 진행되고 있다. BS7799의 "파트2"가 국제 표준이 될 경우 이 인증의 파급효과는 더욱 커질 것으로 전망된다. 국내에서는 정보 보안업체인 에스큐브가 최초로 이 인증을 획득했으며 한빛은행도 곧 인증서를 받는다. 국내 굴지의 시스템통합(SI) 업체와 증권사 등도 인증을 받기 위해 컨설팅업체에 자문하고 있다. 해외에서는 영국 스마일뱅크,은행 현금지급기를 관리하는 링크(LINK)사, 유럽 통신업체인 보다폰 등 70개이상 업체가 인증을 받았고 1백여개사가 현재 인증절차를 진행하고 있다. 이처럼 세계적으로 보안 인증을 받으려는 기업이 늘어나고 있는 것은 전자상거래 시장의 규모가 커지면서 사이버 범죄가 급증하고 있기 때문이다. 사이버 범죄는 매년 45%이상 증가하는 추세를 보이고 있으며 한해에 약 2백억달러 이상의 사업 손실을 유발하는 것으로 추산되고 있다. 사이버 범죄 이외에도 회사 직원들의 실수와 네트워크 장애 등 내부적인 손실 요인을 감안하면 기업들의 피해규모는 연간 총 5백억달러 이상이 될 것으로 전문가들은 추정한다. 대규모 정보보안 사고가 일어난 기업들의 신인도 하락은 피할 수 없다. 안심하고 개인정보를 맡기기 어렵다는 인식이 확산되면 고객이 이탈하게 될 것이고 이에 따른 막대한 영업손실을 감수해야 한다. 해킹 기법도 첨단화되고 있는데다 최근 국내 증권회사의 인터넷 거래 시스템이 해킹당한 사건에서 보여지듯 고객들에게 금전적 손실을 안길 수도 있다. BS7799 인증은 사고의 예방과 조기 발견에 초점을 맞추고 있다. 이 인증을 받기 위해 구축해야 하는 "정보보호관리시스템"(ISMS:Information Security Management System)은 정보보안망에 대한 포괄적인 평가와 보안조직 설비 등에 대한 체계적 관리, 돌발상황 발생시 행동수칙 등을 포함하고 있다. 따라서 ISMS를 만들고 BS7799 인증을 받았다는 의미는 정보보안 사고의 발생 가능성을 크게 줄일 수 있고 비상 상황에서도 피해를 최소화할 수 있는 대비책을 미리 준비했다는 것을 의미한다. 이 인증을 받는 과정에서 보안정책, 보안조직, 시스템 개발 유지 보수, 운영관리, 접근통제 등 10개 항목에 걸쳐 36개 통제목표와 1백27개 세부 통제 방안에 대한 꼼꼼한 검증이 뒤따른다. 정보화 시대를 맞아 품질경영시스템이나 환경, 안전경영시스템과 함께 정보보호관리시스템은 기업 경영관리의 핵심 요소로 부상하고 있다. 또 모든 산업분야에 적용할 수 있어 국내에서도 BS7799 인증 바람이 불 것으로 예상된다. 김남국 기자 nkkim@hankyung.com