우린 어떠한 기준에 있어 최소한의 기준에 부합하면 그 기준을 통과 한것으로 간주를 한다. 이를 '합격' 또는 '인증' '패스' ...여러가지 용어로 혼합하여 사용을 한다.

최소한에 합격점수 '60'점을 통과 하면 합격하는 시험이 많다. 굳이 꼭 100%을 맞아야 하는것은 아니다. 마찬가지로 각종 정보보호 규제 및 제도등의 기본적인 체크리스트를 통과 하게 되면 '인증서'를 배부해 준다.

그런데 만약, 이렇게 인증을 많은 기업이 침해사고가 당했다면?

상당히 난감한 일이고 인증 신청 기업이나 심사원, 또 그리고 그 인증을 해준 관련 기관도 많이 난감해 질 것이다. 하지만 위험과 취약성이라는 것이 100% 완벽 한 것은 없다. 다만, 그 위험성과 취약성을 우리가 수용가능한 위험으로까지 감소시키는 것이 목적인 것이다.

마찬가지로 어떠한 인증제도를 통과 했다고 해서 100% 완벽하다고 이해서는 오산이다. 그럼 어떻게 해야 하는가?

각 당사자 입장에서 생각해보자

  • 인증신청기관 - 어렵게 준비하여 기존에 주먹구구식의 정보보호 대응에서 조금 더 체계적이고 기술적이고 프로세스적으로 만들어 놓았는데 침해사고를 당했다고 한다면 담당자 및 해당 기업은 상당히 난감할 것이다. 또한 해당 기업 이미지 측면에서 상당한 타격을 입을 것이다. 그럼 어떻게 해야 하는가?
    • 인증취득후 지속적인 관리 - 인증후에 꾸준한 관리를 하여야 하고, 인증이 끝난것이 아니라 이제 시작이라는 마음으로 더 관리를 해야 한다.
    • 이행증적관리 - 그때 그때 처리하여 이행 증적관리를 하고 인증후 침해사고시 끼칠 파장을 생각하면 조금 더 신경을 쓰게 될 것이다.
  • 인증심사기관 - 인증 심사기관은 새로운 기업에게 '인증서 배부' 도 좋고 새롭게 널리 홍보 및 취득과 실적도 좋겠지만 기존에 인증을 통과한 기업과 조직을 잘 관리 하는 것도 중요한 사안이다. 최소한 인증 받은 기관이 침해사고를 당해 언론에 대서특필되서는 안되는 것이다. 고로, 꾸준히 인증기업을 관리 할수 있는 관리 시스템이 도입이 되어야 할 것이다. 이에는 우선 인력증원이 필요하겠다.
  • 인증심사원 - 어떠한 기준에 준하여 그 제도에 최소한의 원칙과 기준(체크리스트)에 통과 할경우를 심사 하는 것이다. 이런측면에서 볼때 그 외적인 부분에서 보강 및 충분히 고려해야 할 사항들도 필자가 심사를 해 본 결과 많이 있었다. 그러기에 담당자와 충분한 이야기와 인식을 같이 하고 심사기관 동안에는 호흡을 같이 하는 자세도 중요하다. 그러기 위해서는 인증심사원은 부단한 이슈와 법률, 트렌드, 기술적 지식 축적을 게을리 해선 안 될 것이다. 추가적인 보안위험성에 대한 부분을 자세히 그리고 그 대응방법까지 구체적으로 잘 제시해 주는 것이 좋다.

문득,  몇년전 기사에 났던 글이 생각나 한번 정리를 해 보았다. 그 기사에 따르면 국가에서 인증해 주는 어떠한 인증을 취득 했음에도 불구하고 여러가지 재난 사건 사고 들이 많이 생기게 되었다. 특히, 언론에서 더욱 부각이 되기 때문에 제도의 취지가 퇴색되는 경우가 있었다.


맺음말

보안은 특히 이러한 제도 운영과 규제에 있어서 상당한 심혈을 기울이고 관리를 해야 한다. 이제는 보안 사건 사고가 일어나면 그에 대한 비용발생 규모도 커지고 있기 때문에 안전하다고 심사하고 검사하고 테스트 한 조직에서 기업이 침해사고가 당했다고 한다면 그 제도 본질적인 의미와 취지가 많이 흐려질 것이다. 인증 심사를 통과한 기업이나 조직에 담당자의 어깨도 무거울 것이라 생각한다. 많은 노력을 기울여 위험을 최소화로 감소시키는 일에 우리 모두 동참해야 할 것이다. @엔시스.



,