금융권 ‘인증 획득 필요성은 있지만 글쎄’

금융권은 국내서 부여되는 정보보안체계 인증에 대해 필요성은 느끼지만 이에 대해 적극적인 모습을 보이지는 않고 있다. 또 인증 획득에 대해 금융권은 단순히 내세우기만을 위한 수단으로 여기고 있는 것도 문제로 지적되고 있다.

이는 인증획득을 위한 비용부담과 실질적 혜택 부족이 원인인 것으로 분석되고 있다.

최근 금융권 및 관련업계에 따르면 한국정보보진흥원(KISA)의 정보보호관리체계(ISMS) 인증과 영국표준협회(BSI)의 BS7799 인증을 획득한 금융기관은 13개 금융기관이다. 이중 기업은행이 ISMS와 BS7799 인증을 모두 획득한 유일한 금융기관이다.
따라서 많은 금융기관 중 인증을 획득한 금융기관은 소수에 불과한 상황이다.



◇ 인증획득은 보안체계 인정 = ISMS 인증은 국내, BS7799 인증은 국외 기준으로 심사, 발급하고 있다. 따라서 각 인증에 맞게 획득한 후 국내·외에서 정보보안체계를 인정받게 된다.

ISMS 인증을 받게 되면 정통부가 권고하고 있는 안전진단 대상에서 제외되는 혜택을 받는다. 그러나 금융기관은 금융감독원이 IT경영평가를 통해 안전진단을 실시하고 있어 원래 안전진단에서 제외돼 있다.

또 BS7799 인증도 보안체계를 갖췄다는 인정을 받게 된다. 실제적으로 국제 업무를 많이 취급하는 금융기관의 경우 해외에서 BS7799 인증을 요구받기도 한다.
과거 씨티은행이 한미은행을 인수할 당시 한미은행이 BS7799 인증을 획득해 이를 인정받아 보안체계는 완벽하다고 평가해 실사대상에서 제외된 바 있다.



◇ 비용 부담 등 한계점 있어 = 우선 인증을 획득하기 위해서는 컨설팅 등 제반비용이 필요하다. 따라서 많은 비용을 부담해 인증을 획득해야 하는가에 대해서도 여러 금융기관들은 회의감을 표현하기도 한다.

또 ISMS와 BS7799 기준이 표준화되지 못해 유사한 인증에도 불구하고 2개의 인증을 모두 받기 위해 중복된 노력을 투자해야 하는 것도 문제다. 이밖에도 인증획득에 따른 보다 다양한 혜택이 이뤄져야 하나 현재로서는 극히 미흡한 것이 현실이다.
금융기관들도 인증 획득을 단순한 내세우기 위한 수단으로 여기는 것도 문제다.

실제 BS7799 인증을 획득한 9개 은행, 카드, 증권 모두 인터넷뱅킹과 사이버트래이딩 등 채널 부문에 대해서만 정보보안체계 인증을 받은 것이다. IT 전체적인 부분을 받은 것은 삼성·교보생명뿐이다.



◇ 인증 없으면 보안체계 허술? = 인증을 안 받았다고 해서 무조건 보안체계가 허술한 것은 아니다. 금융기관의 경우 금융감독원이 IT경영평가 진행시 정보보안체계에 대한 실사를 진행하기 때문이다. 그러나 금감원 평가만으로 금융기관의 보안체계 전체를 평가받기에는 무리가 있는 것으로 전문가들은 보고 있다.

또 인증을 획득했다고 해서 보안체계가 완벽한 것도 아니다. 완벽한 보안체계를 갖추기 위해서는 지속적인 사후관리가 필요하다.

BSI코리아 전민구 전문위원은 “정보보안체계 인증을 획득했다고 해서 보안이 완벽하게 이뤄졌다고 볼 순 없다”며 “단지 정보보안 사고 발생 횟수가 줄고 사후대책에 대한 체계 확립을 갖출 수 있을 것”이고 말했다.



◇ 국내 정보보호 인증 ISMS = 한국정보보호진흥원의 ISMS 인증은 조직의 특성 및 환경에 맞게 정보보안체계를 수립·구현해 체계적으로 관리·유지하고 이행하는지를 평가해 부여한다.

평가 기준으로 정보보호관리체계 수립·운영을 위한 5단계 관리과정(정보보호정책수립, 정보보호관리체계 범위설정, 위험관리, 구현, 사후관리), 문서화, 정보보호대책 등이다.

ISMS는 BS7799와 유사하며 기술적인 부분을 보완해 심사한다. 심사 비용은 무료이며 이후 지속적인 평가를 위해 3년간 500만원의 비용을 지불한다.

현재 ISMS 인증을 획득한 금융기관은 2003년도 농협, 올해 초 기업은행 등이다. 이밖에 상호저축은행중앙회가 인증을 받기 위해 신청을 준비 중에 있다



비용 부담 및 혜택 적어…홍보 위주로 활용

총 13개 금융기관 획득…企銀만 2개 획득



◇ 국제 정보보호 인증 BS 7799 = 영국표준협회의 BS7799 인증은 60~70%를 차지하는 IT부문과 인력, 문서 보안 등에 대해 평가한 후 인증이 부여된다. 전 세계적으로 인정되는 BS7799는 글로벌 기업들이 협력업체에게 많이 요구하는 인증이다.

실제 비자카드가 BS7799에 준하는 AIS(신용카드정보보안) 체계를 아태지역 카드 밴 업체에 요구해 이 기준에 맞는 심사를 실시, 인증을 부여할 계획에 있다.

금융권에서는 우리은행이(구한빛은행) 2001년 8월에 처음 획득해 지난해 8월 갱신했다. 이후 국민, 신한, 한국씨티, 대구, 부산은행과 삼성생명, BC카드가 2003년에 교보생명과 한국투자증권, 증권예탁원이 2004년에, 기업은행은 올해 초 인증을 받았다.

농협과 현대해상화재가 연말 심사를 받을 계획인 것으로 알려지고 있다.

한편 국민은행은 BS7799 인증 확대와 상관없이 위험관리시스템, 보안체계수립, 취약성 점검 등 보안 전반적인 부분에 대해 지난해 10월부터 컨설팅을 시작해 현재 마무리 중이다.

            <정보보안체계 인증 획득 금융기관>
                                                * 금융업종별내 순서는 인증을 획득한 순서임.
**상호저축은행중앙회는 ISMS, 농협·현대해상화재는 BS7799 신청 준비 중



신혜권 기자 hkshin@fntimes.com