오늘날 기술이 주도하는 세상에서 조직과 고객의 데이터를 보호하는 것은 매우 중요하다. 정보 자산을 보호하고 위협을 관리할 수 있는 프로세스 및 통제가 가능해야 한다.  정보 자산의 보안을 관리하는 체계적인 리스크 기반 접근 방식을 갖추고 있어야 하는 이유다.  조직에서는 효과적인 정보보안 관리를 구현하여, 당면한 리스크를 지속적으로 평가하고 이를 관리하는 데 필요한 조치를 해야 한다.

다양한 조직 및 비즈니스 요구사항이 존재하는 만큼 정보보호 인증의 종류 또한 다양하다.  국내외 주요 정보보호 인증의 특징을 알아보고 조직 및 서비스 특성에 따라 필요한 인증은 무엇일까?
[양현상의 글로벌 비즈니스] 당신의 기업은 정보 자산 보호를 위해 무엇을 하는가?
1. 국내 주요 정보보호 인증 (4가지)

첫째, 정보보호 관리체계 (이하, ISMS)는 정보통신망법에 근거를 두고 있는 국내의 대표적인 정보보호 인증, 기업이 정보자산의 보호를 위해 수립하여 관리 및 운영하는 정보보호 관리체계의 적합성을 평가한다. 인정기관은  미래창조과학부이고,  특징으로는  ISMS의 경우 기업이 자발적으로 취득할 수도 있지만, 법률에 따른 의무대상자가 정해져 있기 때문에 아래와 같은 조건을 만족하는 사업자는 반드시 ISMS를 취득해야 한다. 의무대상자가 ISMS 미인증 시에는 3,000만원 이하의 과태료(정보통신망법 제76조)가 부과된다.

둘째, 개인정보보호 관리체계 (이하, PIMS)는 개인정보보호에 특화된 국내 정보보호 인증,  정보통신망법 및 개인정보보호법에 근거를 두고있으며, 기관 및 기업이 개인정보보호 관리체계를 갖추고 체계적 · 지속적으로 보호 업무를 수행하는지에 대해 객관적으로 심사하여 인증부여된다. 인정기관은  방송통신위원회, 행정자치부이다.특징은 개인정보 보호와 관련된 법령 위반으로 인한 과징금 부과 시 경감 고려,  ISMS-PIMS 와 동시 취득 시, 각 인증비용 25% 할인된다.

셋째, 클라우드 보안 인증제 (이하, CSAP)는 클라우드 서비스를 대상으로 『 클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률 』 제 23조 제2항에 따라 정보보호 기준의 준수여부를 확인하여 인증한다. 인정기관은 미래창조과학부이고, 특징은 클라우드컴퓨팅법에 따라 공공기관에 클라우드 서비스를 제공하려는 사업자는 취득 필수 대상이다.

넷째, ePrivacy는 웹사이트의 개인정보보호 수준을 국내 개인정보보호 법령을 기준으로 종합적으로 평가하여 ‘개인정보 우수 사이트’ 마크에 부여한다. 민간단체 자율인증으로 개인정보보호협회에서 인정한다.

2. 글로벌 주요 정보보호 인증(3가지)

첫째, ISO/IEC 27001는 조직의 정보보호관리체계의 수립, 이행, 유지관리 및 지속적 개선 등을 위해 제정된 정보보호에 대한 국제 표준이다. 인정기관은 국제표준화기구(ISO)/국제전기기술위원회(IEC) 인정기관이다. 특징은 글로벌 정보보호 표준으로 회사가 수립한 정보보호관리체계의 효과성을 글로벌 대상으로 입증할 수 있다. ISO 27001을 취득한 경우, 클라우드 서비스의 정보보호 및 개인정보보호에 관한 국제 표준인 ISO 27017, 27018 취득 가능하다.

둘째,  Service Organization Control 2, 3 (이하, SOC 2, 3)는 미국/캐나다 공인회계사협회에서 제정한 기준에 따라 서비스 조직의 내부통제 수준과 이에 따른 운영현황을 평가하고 이에 대한 감사 보고서를 발행하다.  인정기관은 미국공인회계사협회(AICPA)이고,  특징은 대상 기간 동안 회사의 정보보호 활동에 대한 감사를 진행하고, 목적에 따라 공개범위를 조정하여 감사보고서 발행한다.

셋째,  PCI-DSS는 신용카드의 부정 사용과 정보 유출 방지를 위해 5개의 카드사(VISA, Master, Amex, Discover, JCB)가 제정한 정보보호 표준에 따라 평가한다. 인정기관은 PCI 표준 위원회 SSC이고,  특징은 지불카드업계의 경우 필수인증으로, 다른 정보보호 인증에 비해 적용대상 및 요구사항이 구체적이고 명확하다.

정보보호 인증의 취득 목적은 조직 및 서비스의 성격에 따라 다양할 것이지만 일반적으로 목적에 따라  정보보호 인증 취득을 우선적으로 고려할 수 있다.

정보통신망 서비스 제공자로 ISP, IDC 사업자, 연간매출액 또는 세입 등이 1,500억 이상이거나 정보통신서비스 매출액 100억 또는 일일평균 이용자 수 100만명 이상인 사업자는 법적의무사항을 고려하여 ISMS(정보보호 관리체계 )를 우선 고려 할 수 있다.

서비스 안전성 검증을 위해서는 개인정보 보호에 특화 하여 인증을 취득하고 싶은 경우 특히, 국내 정보통신망법 및 개인정보보호법에 근거하여 회사의 정보보호 수준을 검증 받고 싶은 경우는 PIMS, ePrivacy를 우선 고려 할 수 있고,정보보호 체계 및 운영활동을 모두 검증 받고 이에 대한 보고서를 발행하고 싶은 경우 SOC 2, 3를 우선 고려할 수 있다.

서비스 신뢰도 향상 및 대외 홍보를 위해 조직의 정보보호 수준에 대해 대표적인 정보보호 인증을 통해 검증 받고 이를 홍보나 사업에 이용하고 싶은 경우 ISMS (국내), ISO 27001 (글로벌)를 우선 고려해야 한다.

비즈니스요구에 따라 국내 공공기관에 클라우드 서비스를 제공하려는 사업자는 CSAP, 지불카드업계 서비스를 제공하거나 또는 신용카드 및 거래정보를 다루는 사업자는 PCI DSS, 고객사 또는 이해관계자에게 정보보호 수준에 대한 입증이 반복적으로 필요한 사업자는 SOC 2를 우선 고려할 수 있다.

정보보호 인증은 대내적으로는 조직 및 서비스의 정보보호 체계 구축을 통해 서비스의 정보보호 수준을 높이고, 대외적으로는 정보보호 수준에 대해 공신력 있는 기관으로부터 검증 받음으로써 서비스에 대한 신뢰도 향상에 기여한다는 점에서 의미가 있다.
[양현상의 글로벌 비즈니스] 당신의 기업은 정보 자산 보호를 위해 무엇을 하는가?
[글로벌 비즈니스 전문가]

양현상 한경닷컴 칼럼니스트