정보보안 인증인 "BS7799"를 받으려면 통상 6개월 정도의 시간이 필요하다. 심사 절차가 까다로운 만큼 인증을 받았을 경우 상당한 신뢰성을 확보할 수 있다. 10개 관리항목에 걸쳐 36개의 통제목표와 1백27개 세부 통제 방안에 대해 BSI인증원 심사원들의 꼼꼼한 점검을 통과해야 인증을 받을 수 있다. 이 인증을 받으면 특히 도움이 되는 기관은 은행이나 증권사 같은 금융회사들이다. 금융기관 고객들은 늘 거래 은행이 정보보안 사고를 내지 않을까 걱정한다. 금융기관들이 BS7799 규격인증을 획득하면 고객의 이런 우려를 상당부분 불식해 신뢰성을 높일수 있다. 또 수십만~수백만명의 회원 정보를 관리해야 하는 닷컴기업들도 보안인증을 받으면 개인정보 유출에 대한 우려를 없앨 수 있다. 유통업체나 정부기관도 보안인증을 받을 필요가 있다. 전자상거래를 하거나 전자장터를 활용하는 기업들도 철통보안을 유지하고 있다는 증표가 필요하기는 마찬가지다. 인증을 받으려면 우선 자체 인력으로 모든 인증 절차를 밟을지, 아니면 컨설팅회사의 도움을 받을지부터 결정해야 한다. 숙력된 보안인력이 충분하다면 자체인력으로 인증을 받을 수도 있다. 하지만 이 인증의 세부 절차가 잘 알려져 있지 않은데다 절차를 수월하게 진행하기 위해서는 컨설팅업체의 자문을 받는 것이 좋다. 컨설팅업체를 선정하고 회사 내부에 태스크포스 형태로 인증 추진팀을 만드는 일이 첫번째 과제다. 그후 컨설팅회사로부터 현 보안담당 조직의 구성과 현황, 각종 취약점 분석, 보안설비 점검 등 현 시스템에 대한 진단 절차가 이어진다. 이어 보안 담당자에 대한 교육을 실시하고 정보보호 관리시스템의 범위를 결정한다. 어떤 기업에선 전산실의 정보보호만 철저하게 이뤄지면 목표를 달성할 수 있지만 전사적 보안 체계가 필요한 곳도 있어 기업이나 기관의 특성에 따라 보안관리 적용 범위가 달라진다. 정보보안 대상 범위가 정해지면 보안과 관련돼 현재 갖고 있는 각종 자산을 파악하고 취약점 분석 및 위협도출, 관리대상 우선순위 결정 등의 작업이 이뤄진다. 그리고 본격적인 매뉴얼, 지침, 비상계획 등이 만들어진다. "정보자산 분류 및 관리 지침서" "아웃소싱 정보보안 지침서" "위험평가 지침서" 등 각 기업에 적합한 각종 절차서가 마련되는 단계다. 또 교육훈련 계획을 수립, 각 매뉴얼이 제대로 실행되는지 평가할 수 있는 모의훈련과 이에 대한 결과보고가 이뤄진다. 이른바 정보보안관리시스템(ISMS:Information Security Management System)을 구축하는 것으로 BS7799 인증 과정에서 가장 중요한 단계 가운데 하나로 꼽힌다. 이 절차가 마무리되면 매뉴얼 등 각종 절차와 모의훈련 결과 등을 첨부한 서류를 BSI인증원에 제출, 검토를 받고 문제가 있으면 수정 보완하게 된다. 예비심사는 의무절차가 아니기 때문에 생략도 가능하지만 본심사를 상대적으로 쉽게 받을 수 있다는 장점이 있어 특별한 이유가 없으면 이 절차를 거치는게 좋다. 이어 본격적인 본심사가 실시된다. BSI인증원의 심사원들이 직접 방문해 내부 보안감사를 실시하고 경미한 사항인 경우 시정조치 계획을 수립하도록 하며 중대한 결함이 발견되면 재심사가 이뤄진다. 보안심사 절차를 통과하면 BSI측의 내부 절차를 거쳐 한달 이내에 인증서를 받게 된다. 인증서 발급이 확정되면 홍보계획을 수립하고 인증서 수여식과 동시에 고객들에게 널리 알리는게 마지막 남은 과제다. 김남국 기자 nkkim@hankyung.com