금융권 정보보호 관리 효율을 제고하기 위한 인증모형 개선방안 Improvement of the Certification Model for Enhancing Information Security Management Efficiency for the Financial Sector원문보기
3.20 전산 대란, 카드사 고객정보유출사고 등에서 알 수 있듯 보안이 전제되지 않고서는 그 어떤 편의성과 효율성도 담보할 수 없다. 그뿐만 아니라 금융권은 다른 산업보다 고객 이익의 침해 가능성이 커 보안사고 발생 시 이용자의 정신적 금전적 피해가 발생할 수 있으며, 이로 인해 집단 소송, 고객 이탈, 평판 실추, 대외 신뢰도 하락 등으로 이어져 해당 기업의 비즈니스 연속성에도 큰 영향을 미칠 수 있다. 따라서 금융보안 위험에 대한 효과적인 관리가 필요한 실정이다. 본 연구에서는 정보보호 관리 효율성 개선을 위해 국내 대표 정보보호 인증제도를 통합하고 금융 산업의 특성을 반영한 정보보호 관리체계 인증의 필요성을 밝히고자 한다. 또한 금융권 정보보호 관리체계 인증이 필요하다면 앞으로 어떤 방향으로 개발되어야 할지에 대해 제시하고자 한다.
3.20 전산 대란, 카드사 고객정보유출사고 등에서 알 수 있듯 보안이 전제되지 않고서는 그 어떤 편의성과 효율성도 담보할 수 없다. 그뿐만 아니라 금융권은 다른 산업보다 고객 이익의 침해 가능성이 커 보안사고 발생 시 이용자의 정신적 금전적 피해가 발생할 수 있으며, 이로 인해 집단 소송, 고객 이탈, 평판 실추, 대외 신뢰도 하락 등으로 이어져 해당 기업의 비즈니스 연속성에도 큰 영향을 미칠 수 있다. 따라서 금융보안 위험에 대한 효과적인 관리가 필요한 실정이다. 본 연구에서는 정보보호 관리 효율성 개선을 위해 국내 대표 정보보호 인증제도를 통합하고 금융 산업의 특성을 반영한 정보보호 관리체계 인증의 필요성을 밝히고자 한다. 또한 금융권 정보보호 관리체계 인증이 필요하다면 앞으로 어떤 방향으로 개발되어야 할지에 대해 제시하고자 한다.
Considering the results of the 3.20 Cyber Attack, leaks of personal information by card companies, and so on, convenience and efficiency cannot be guaranteed without security as a prerequisite. In addition, it is more likely that customers' interests seem to be interfered with in financial instituti...
Considering the results of the 3.20 Cyber Attack, leaks of personal information by card companies, and so on, convenience and efficiency cannot be guaranteed without security as a prerequisite. In addition, it is more likely that customers' interests seem to be interfered with in financial institutions than in any other industry. Therefore, when a security accident occurs, users may suffer mental damage and monetary loss, leading to class action, customer defection, loss of reputation, and falloff in international credibility, which all may have a significant effect on the business continuity of corporations. This study integrates the representative information security certification systems in order to improve the efficiency of information security management and demonstrate the necessity of information security management system certification for the financial sector. If the certification is needed, we would like to recommend the desirable development direction.
Considering the results of the 3.20 Cyber Attack, leaks of personal information by card companies, and so on, convenience and efficiency cannot be guaranteed without security as a prerequisite. In addition, it is more likely that customers' interests seem to be interfered with in financial institutions than in any other industry. Therefore, when a security accident occurs, users may suffer mental damage and monetary loss, leading to class action, customer defection, loss of reputation, and falloff in international credibility, which all may have a significant effect on the business continuity of corporations. This study integrates the representative information security certification systems in order to improve the efficiency of information security management and demonstrate the necessity of information security management system certification for the financial sector. If the certification is needed, we would like to recommend the desirable development direction.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
금융 산업의 특성을 고려한 정보보호 관리체계 인증모형을 도출하기에 앞서 기존 정보보호 인증제도의 중복성 문제를 해결하고자 한다. 본 연구에서는 국내 대표 정보보호 인증제도인 ISMS, PIMS, PIPL의 평가 기준을 비교 및 통합한다.
마지막으로 설문 응답자에게 금융권 정보보호 관리체계 도입 시 고려사항에 대해 자유롭게 의견을 제시하도록 하였다. 금융권의 경우 아직 온라인만큼 오프라인에서 필요한 요구사항들이 상당부분 존재하여 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」을 근거로 한 ISMS만으로는 모두 충족할 수 없으므로 금융관련 법률 반영이 필요하다는 의견이 다수였다.
본 연구는 그동안 많은 연구들에서 지적한 정보보호 관리 인증제도 간 중복성 문제를 해결하기 위해 실제 통합모형을 도출하고, 전문가를 대상으로 한 설문을 통해 적정성을 검증받았다. 더 나아가 하나의 통합모형이 금융 분야에서는 어떻게 활용될 수 있을지에 대한 방향을 모색해 보았다는 점에서 관련 연구들과 차별점을 가진다.
금융 산업의 특성을 고려한 정보보호 관리체계 인증모형을 도출하기에 앞서 기존 정보보호 인증제도의 중복성 문제를 해결하고자 한다. 본 연구에서는 국내 대표 정보보호 인증제도인 ISMS, PIMS, PIPL의 평가 기준을 비교 및 통합한다. ISMS와 PIMS는 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」에 의거한 제도이며, PIPL은 「개인정보보호법」 에 의거한 제도이다.
본 연구에서는 유사성을 지닌 정보보호 인증제도의 통합으로 정보보호 관리 업무의 효율성 높이고 금융권에 특화된 정보보호 관리체계 인증모형의 개발방향을 제안하고자 하였다.
본 연구에서는 정보보호 관리체계 통합모형의 적정성을 검증하고 금융권 정보보호 관리체계 인증의 필요성을 밝히기 위해 금융 산업의 업무적 특성을 잘 이해하는 금융 산업에 직접 종사하는 IT․정보보호 전문가, 정보보호 관리체계 인증 컨설팅 경험이 있는 정보보호 컨설턴트 또는 인증심사원을 대상으로 설문조사를 하였다. Table 8은 응답자의 일반적 특성을 나타낸 것이다.
특히 금융권의 경우, 업무 시스템이 해킹 당하거나 고객의 개인정보가 유출되어 막대한 재무적 손실이 발생할 수 있으며, 기업의 대외 신뢰도 하락 등의 비재무적 손실을 야기할 수 있다[14]. 이에 따라 본 연구에서는 금융 산업에 먼저 초점을 두어 금융권에 특화된 정보보호 관리체계 인증의 필요성을 밝히고 개발방향을 제안하고자 한다.
제안 방법
2차로는 ISMS와 PIPL의 세부 통제항목을 비교하여 ‘동일’, ‘유사’, ‘다름’을 판단한다. ISMS는 국내 최초로 도입된 정보보호 관리체계 인증제도로 10년 이상 운영되었으며 PIMS, PIPL 또한 ISMS에서 파생되었기 때문에 ISMS를 정보보호 인증제도의 비교 및 통합의 중심축으로 설정하였다. ‘동일’, ‘유사’, ‘다름’ 항목 도출 기준은 Table 4와 같이 결정하였으며, 각 세부 통제항목의 설명과 심사지침 및 기준을 모두 참고하여 목적, 방향, 내용의 일치 여부를 확인하였다.
정보보호 인증제도 통합 결과는 다음과 같다. ISMS를 기준으로 하여 PIMS와 PIPL을 일치시켜 기존 ISMS에 추가되는 32개의 새로운 세부 통제항목 32개를 도출하였으며, PIMS의 생명주기 통제분야를 추가하여 정보보호 인증제도 통합모형을 도출하였다. ISMS에 새롭게 추가되는 통제사항에 대해서 전문가를 대상으로 한 설문을 통해 금융기관 정보보호 관리수준 평가 시 통합 모형의 적정성을 검증할 수 있었다.
ISMS에 없는 PIMS, PIPL의 통제사항에 대해 응답자가 금융기관 정보보호 관리수준 평가 시 느끼는 필요 정도를 5점 척도(1: 전혀 필요하지 않다, 2: 필요하지 않다, 3: 보통이다, 4: 필요하다, 5: 매우 필요하다)로 평가하도록 하였다. 응답자의 평균값이 3.
ISMS에 없는 PIMS의 생명주기 통제분야를 기준으로 PIPL과의 ‘동일’, ‘유사’, ‘다름’ 항목도 도출하였다(Table 6참조).
방송통신위원회는 『정보통신망 이용촉진 및 정보보호 등에 관한 법률』 을 근거로 PIMS를 운영해 왔으며, 행정자치부는 『개인정보 보호법』에 따라 공공기관과 일반 사업자를 대상으로 PIPL 제도를 운영해왔다. 개인정보 보호와 관련된 기업이 양부처가 유사한 인증제도를 별도로 운영해 혼란을 겪어왔으며, 유사한 규제에 대한 통합 요구가 높아 이를 통합하여 한국인터넷진흥원이 본 제도를 운영하기로 하였고(2016.1.1.), PIMS의 124개 심사항목과 PIPL의 65개 항목을 86개로 통합 및 조정하였다(Table 3참조). 본 연구는 ‘개인정보보호 관리체계 인증 등에 관한 고시’가 개정되기 이전부터 통합모형을 진행하였기 때문에 기존의 PIMS와 PIPL의 심사항목을 활용한 결과를 제시한다.
최종적으로 도출된 32개의 새로운 세부 통제항목 중 ISMS에 추가되는 통제사항을 정리하면 Table 7과 같다(기존 ISMS 통제사항에 추가되는 세부 통제항목은 제외). 기존 ISMS에 32개의 새로운 세부 통제항목과 ISMS에 없는 PIMS의 생명주기 통제분야를 추가하여 정보보호 인증제도 통합모형을 도출하였다.
본 연구는 ‘개인정보보호 관리체계 인증 등에 관한 고시’가 개정되기 이전부터 통합모형을 진행하였기 때문에 기존의 PIMS와 PIPL의 심사항목을 활용한 결과를 제시한다.
정보보호 인증제도 통합 시 먼저 ISMS와 PIMS의 세부 통제항목을 비교하여 ‘동일’, ‘유사’, ‘다름’을 판단한다.
추가적으로 ISMS 인증제도가 국내 금융 산업의 특성을 충분히 반영하고 있는지에 대한 설문을 실시하였다. Fig.
성능/효과
1, 2차에서 도출된 ‘동일’, ‘유사’ 항목은 ISMS 세부 통제항목에 일치시키고, ‘다름’ 항목은 ISMS에 추가하여 통합한다.
ISMS를 기준으로 하여 PIMS와 PIPL을 일치시켜 기존 ISMS에 추가되는 32개의 새로운 세부 통제항목 32개를 도출하였으며, PIMS의 생명주기 통제분야를 추가하여 정보보호 인증제도 통합모형을 도출하였다. ISMS에 새롭게 추가되는 통제사항에 대해서 전문가를 대상으로 한 설문을 통해 금융기관 정보보호 관리수준 평가 시 통합 모형의 적정성을 검증할 수 있었다. 또한 ISMS 인증의 국내 금융 산업 특성 반영 정도에 관한 의견을 통해 금융권 정보보호 관리체계 인증의 필요성을 밝힐 수 있었으며, ISMS 인증이 금융 산업 특성을 반영하고 있지 않다고 생각하는 이유에 대한 답변에서 앞으로 어떻게 금융권 정보보호 관리체계 인증모형이 개발되어야 할지 방향성을 확인할 수 있었다.
먼저 정보보호대책 파트를 살펴보면 PIMS의 경우 5개의 통제분야가 ISMS와 100% 중복되었으며 ‘IT 재해복구’를 제외한 나머지 통제분야에서도 높은 중복비율을 보였다. PIPL은 상대적으로 낮은 중복비율을 보였는데 ISMS와의 세부 통제항목 수의 차이에서 기인한 것이다(참고: ISMS의 세부 통제항목 수는 253개, PIMS는 310개 그리고 PIPL은 155개임). PIMS의 생명주기 파트에서도 이러한 점을 감안한다면 상당히 높은 중복비율을 보인다고 할 수 있다.
가장 높은 평균값을 보인 통제분야는 ‘접근통제’였으며, 가장 낮은 평균값을 보인 통제분야는 ‘정보보호 정책’ 이었다.
먼저 정보보호대책 파트를 살펴보면 PIMS의 경우 5개의 통제분야가 ISMS와 100% 중복되었으며 ‘IT 재해복구’를 제외한 나머지 통제분야에서도 높은 중복비율을 보였다.
57 등을 들 수 있다. 응답 결과의 평균값은 모두 3.0 이상으로 정보보호 관리체계 통합모형의 적정성을 충족하는 것으로 나타났다. 금융권 정보보호 관리체계 인증 개발을 위해서는 ISMS에 없는 PIMS, PIPL 통제사항을 추가하여 통합하는 단계가 먼저 필요함을 알 수 있다.
ISMS에 없는 PIMS, PIPL의 통제사항에 대해 응답자가 금융기관 정보보호 관리수준 평가 시 느끼는 필요 정도를 5점 척도(1: 전혀 필요하지 않다, 2: 필요하지 않다, 3: 보통이다, 4: 필요하다, 5: 매우 필요하다)로 평가하도록 하였다. 응답자의 평균값이 3.0 이상이면 통제항목의 적정성을 충족하는 것으로 보았다.
후속연구
ISMS에 새롭게 추가되는 통제사항에 대해서 전문가를 대상으로 한 설문을 통해 금융기관 정보보호 관리수준 평가 시 통합 모형의 적정성을 검증할 수 있었다. 또한 ISMS 인증의 국내 금융 산업 특성 반영 정도에 관한 의견을 통해 금융권 정보보호 관리체계 인증의 필요성을 밝힐 수 있었으며, ISMS 인증이 금융 산업 특성을 반영하고 있지 않다고 생각하는 이유에 대한 답변에서 앞으로 어떻게 금융권 정보보호 관리체계 인증모형이 개발되어야 할지 방향성을 확인할 수 있었다.
본 연구를 보완하기 위해서는 금융 IT, 정보보호 관련 법률을 검토하여 앞서 도출한 통합모형의 통제항목과 일치시키는 작업을 통해 실제 금융권을 대상으로 한 정보보호 관리체계 인증모형을 개발해보는 후속연구가 필요하다. 또한 ISO/IEC 27001:2005와 비교하여 금융서비스 조직에 맞춰 수정, 보완된 ISO/IEC 27015:2012의 통제항목이 속한 통제분야와 금융권 정보보호 관리체계 도입 시 ISMS 통제분야 강화 정도에 관한 설문 결과 높은 중요도 순위를 보인 통제분야를 고려하여 개발되어야 할 것이다.
본 연구를 보완하기 위해서는 금융 IT, 정보보호 관련 법률을 검토하여 앞서 도출한 통합모형의 통제항목과 일치시키는 작업을 통해 실제 금융권을 대상으로 한 정보보호 관리체계 인증모형을 개발해보는 후속연구가 필요하다. 또한 ISO/IEC 27001:2005와 비교하여 금융서비스 조직에 맞춰 수정, 보완된 ISO/IEC 27015:2012의 통제항목이 속한 통제분야와 금융권 정보보호 관리체계 도입 시 ISMS 통제분야 강화 정도에 관한 설문 결과 높은 중요도 순위를 보인 통제분야를 고려하여 개발되어야 할 것이다.
국제 정보보호 관리체계 표준인 ISO/IEC 27001이 소속된 ISO/IEC 27000시리즈를 보면, ISO/IEC 27001을 기반으로 한 금융, 의료, 통신분야 등 산업별 정보보호 관리에 관한 세부적인 가이드라인을 제시하고 있다[5]. 이에 따라 국내에서도 앞으로 모든 기업에 적용 가능한 표준 정보보호 인증제도와 함께 개별 기업이 속해있는 업종의 특성을 반영한 산업별 정보보호 관리표준을 제시해야 할 것이다.
질의응답
핵심어
질문
논문에서 추출한 답변
PIPL은 어떤 제도인가?
인증기준은 ‘관리과정’, ‘보호대책’, ‘생명주기’ 3개 분야로 구성되어 있다[10]. PIPL은 개인정보처리자의 개인정보보호 관리체계 구축 및 개인정보 보호조치 사항을 이행하고 일정한 보호수준을 갖춘 경우 인증마크를 부여하는 제도이다. 인증 기준은 크게 ‘개인정보보호 관리체계’와 ‘개인정보 보호대책’분야로 구성되어 있다[12].
정보보호 관리체계란 무엇인가?
정보보호 관리체계란 정보자산의 비밀성·무결성·가용성을 달리하기 위하여 각종 보호대책을 관리하고, 위험기반 접근방법에 기초하여 구축·구현·운영·모니터링·검토·개선 등의 주기를 거쳐 정보보호를 관리하고 운영하는 체계이다[8].
내부에 의한 정보보안 사고를 막기 위한 방법은 무엇인가?
따라서 보안사고도 더욱더 고도화되고, 복잡해지고, 발생횟수도 빈번해지고 있다[11]. 외부 해킹뿐만 아니라 내부직원에 의한 보안사고가 늘어나면서 기업은 정보자산을 보호하고 조직 경쟁력을 강화하기 위한 수단으로 정보보호관리 프로세스 개선활동의 하나인 정보보호관리체계 구축 및 운용에 지속적인 노력을 기울이게 되었다[13].
참고문헌 (17)
DigitalDaily, "'PIMS, PIPL', integration of the similar personal information security certifications," 2015.11.15.
Eun-yeop Park, Jin-won Choi, and Tae-hee Cho, "A case study on building personal information management System Certification," Review of The Korea Institute of information Security & Cryptology, 21(5), pp. 27-36, Aug. 2011.
F. Gregory Hayden and Kurt Stephenson, "Overlap of organizations: corporate transorganization and Veblen's thesis on higher education," Journal of Economic Issues, 24(1), pp. 53-85, Mar. 1992.
Hyeon-seon Kang, "An analysis of information security management system and certification standard for information security," Journal of Security Engineering, 11(6), pp. 455-468, Dec. 2014.
ISO/IEC27001, Information technology-Security techniques-Information security management systems-Requirements, 2005.
ISO/IEC TR 27015, Information technology-Security techniques-Information security management guidelines for financial services, 2012.
Jung-duk Kim, "Standardization of information security management," Review of KIISC, 21(2), pp. 19-22, Apr. 2011.
Jeong-hae Kim, "A study on the reform of the overlapping regulation in the industrial safety sector," Korean Society and Public Administration, 15(1), pp. 211-233, May. 2004.
Korea Internet and Security Agency, Information Security Management System(ISMS) certification guideline, 2013.
Korea Internet and Security Agency, Personal Information Management System(PIMS) certification guideline, 2010.
Myung-seong Yim, Tae-seog Jeong and Jung-min Lee, "A suggestion for information security awareness of finance firms," Journal of Security Engineering, 11(6), pp. 479-798, Dec. 2014.
National Information Society Agency, Personal Information Protection Level(PIPL) guideline, 2015.
National IT Industry Promotion Agency, Domestic and international research trends on information security management system certification, 2011.
Sung-ju Park and Jong-in Lim, "A study on the development of SRI(Security Risk Indicator)-based monitoring system to prevent the leakage of personally identifiable information," Journal of the Korea Institute of Information Security and Cryptology, 22(3) pp. 637-644, Jun. 2012.
The Boannews, "Visualization of integrating the information security certifications...what are the priorities?," 2014.08.11.
Yong-hun Kim, "Inter-ministration competition in government public key infrastructure," Korean Republic Administration Review, 34(3), pp. 93-109, Nov. 2000.
Yeong-jin Shin, "A study on technological protection measures improvement for personal information security," The Journal of Public Policy and Governance, 8(1), pp. 69-103, Jun. 2014.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.