미래 직업 정보보호관리체계 인증심사원(Information Security Management System Auditor)

한국고용정보원에서 발간한 '미래 유망 신직업 발굴 및 국내 활성화 방안 연구'에서 밝히는 신직업 중 정보보호관리체계 인증심사원에 대해서 알아보려고 합니다.

 

위 연구에서 신직업은 아래와 같이 정의하고 있었습니다.

• 우리나라에 없으나 외국에 있는 직업으로 국내 도입 및 활성화 지원으로 일자리 창출이 가능한 직업
• 국내에 새롭게 나타났거나 인지도가 낮은 직업(혹은 직무)이지만, 향후 시장 확장, 수요 증가, 환경 변화 등으로 일자리 창출이 가능한 직업
• 기존 직업으로 법․제도적으로 정립되지 않았지만, 종사자의 직업적 안정화 등을 위해 정책적 지원 필요성이 있는 직업

 

 

 

 

 

 

 

 

 

 

 

생성 배경 

모바일, 클라우드 컴퓨팅, 사물인터넷(IoT), 인공지능(AI) 등 첨단기술의 발달은기업과 개인에게 많은 이익과 편리함을 주는 반면, 이로 인해 해킹 등을 통한기업․기관 기밀의 탈취, 개인정보 유출 등의 위험성도 커지고 있음.

• 최근, 가상화폐 또는 가상자산 서비스 기업에 대한 랜섬웨어 공격으로 많은 기업들이 첨단기술 유출, 기업 신뢰도 하락과 고객 이탈, 주가 하락 등의 피해 외에도 집단소송과 대규모 피해보상의 중대한 위험에 처하기도 함.
• 정보기술(IT) 기업들에게 정보보호에 대한 투자는 비용이 아닌, 기업의 생존과 직결되는 중요한 요소로 자리매김하고 있음.

 

 

기업들은 정보보호 수준 강화를 위해 여러 가지 정보보호 제품들(백신, 방화벽,IPS 등)을 활용하는데, 이러한 제품들의 보안성을 객관적으로 보장하기 위해 CC인증,CC인증, IoT 보안인증 등 다양한 인증제들이 도입되고 있음.

 

 

CC인증은 공통평가기준(Common Criteria, ISO 15408)에 따라 정보보호제품보안성을 평가하고, CCRA(Common Criteria Recognition Arrangement, 미국․영국․프랑스․한국 등 가입) 회원국 간 인증결과를 상호 인정하는 제도.

• 국내에서는 공공기관 도입 시, 정보보호제품의 보안성 및 성능을 검증하여국가 정보보호 수준 제고에 기여.

 

 

IoT 보안인증은보안인증은 IoT 제품및연동모바일앱을대상으로하는데제품 및 연동모바일앱을 대상으로 하는데, 국민의실생활과밀접한 IoT 제품에 대한 보안 내재화를 촉진하는 기능을 함.

• 현재는 Lite, Basic, Standard로 인증의 유형을 구분하여 한국인터넷진흥원에서 제도를 운영하고 있으며, 앞으로 그 수요가 꾸준히 증가할 것으로 예상.

 

 

클라우드 보안인증은 클라우드 서비스에 대해 ｢클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률｣에 따라 정보보호 기준의 준수 여부 확인을 인증기관(KISA)이 평가․인증하여 이용자들이 안심하고 클라우드 서비스를 이용할 수 있도록 지원하는 제도로 2015년에 처음 도입.

• IaaS, SaaS(표준, 간편 등급)에 대한 보안인증을 시행 중인데, IaaS는 컴퓨팅자원(CPU), 스토리지 등 정보시스템의 인프라를 제공하는 서비스를 심사하고,SaaS는 인프라(IaaS) 외에 각종 응용프로그램(소프트웨어)을 제공하는 서비스를심사.

 

 

기업 전체의 보안 측면에서 특정 제품에 대한 보안성이나 일부 조직에 의존하는 정보보호 활동만으로는 기업․기관의 정보보호 수준 향상에 한계가 있음.

• 아무리 보안성이 뛰어난 정보보호 제품이라도 이를 운용하기 위한 정책이부재하거나관리인력의전문성이부족하다면제품은본래의기능을다하지못함.
• ‘일회성 관리’, ‘부분적 보안’이 아닌 ‘지속적 관리’, ‘전사적 보안’을 위한 보다높은 수준의 보안관리 활동이 가능한 정보보호 관리체계(ISMS) 구축이 요구됨.
• 기업․기관이 구축한 정보보호 관리체계의 적합성을 판단하여 인증을 부여하는 정보보호 관리체계(ISMS) 인증 제도는 기업․기관의 정보보호에 대한인식 및 수준 제고에 기여.

 

 

국내 기업․기관이 스스로 정보보호 관리체계를 구축․운영하는 데 활용할 수있도록 관리체계 모델을 개발하고, 2001년 7월에 정보통신망법 개정을 통하여 <정보보호 관리체계 인증(ISMS)> 제도를 도입한 바 있으며, 이후 2013년에ISMS 인증 의무화, 2014년에 심사기관 지정, 2016년에 의무 대상 확대, 2018년에개인정보보호 인증(PIMS)과의 통합 등 많은 법․제도적 변화를 겪어 왔음.

• 의무화 이전에 100여 개에 불과하던 인증서도 2020년 말 기준, 약 835개의인증서(유효한 인증서 기준)로 확대되는 등 규모 면에서 꾸준히 성장.
• ISMS와 PIMS 통합 이후, 인증제도 명칭이 <정보보호 및 개인정보보호 관리체계 인증제도(ISMS-P)>로 변경되었으며, ｢정보통신망 이용촉진 및 정보보호등에 관한 법률｣과 ｢개인정보 보호법｣을 법적 근거로 함.
• 법령에서 정한 인증의 통합을 위해 과학기술정보통신부와 개인정보보호위원회는 ｢정보보호 및 개인정보보호 관리체계인증 등에 관한 고시｣를 공동으로 개정하여 시행.

 

인증 심사원들은 정보보안 인증들이 제대로 운영되고, 그 품질을 유지하기 위해 중요하며, 각 인증제도 별로 별도의 평가자 또는 심사원을 운영하고 있음.

• 정보보안 인증 심사원 중 가장 대표적인 자격으로 ISMS-P 인증 심사원이있는데, 이들은 ISMS-P 인증심사뿐만 아니라 클라우드 인증심사도 수행하고있으며, 기업체 정보보호 담당 인력의 경우도 ISMS-P 인증 심사원 자격보유자가 많음.
• ISMS-P 인증 심사원은 정보통신 분야의 정보처리기술사, 정보감사 분야의정보시스템감리사와 더불어 정보보호 분야에 중요한 자격으로 자리매김하고 있음.

 

 

 

 

 

 

 

 

수행직무

 

ISMS-P 인증심사원은 한국인터넷진흥원으로부터 인증심사를 수행할 수 있는자격을 부여받고 인증심사를 수행하는 자를 말함(｢정보보호 및 개인정보보호관리체계 인증 등에 관한 고시｣).

•  ISMS 인증심사원은 심사원보, 심사원, 선임 심사원으로 구분되며, 심사기관소속의 심사원 또는 선임 심사원이 심사팀장 역할을 맡음.
• 인증심사는 서면심사와 현장심사를 병행하여 실시하는데, 인증심사팀은서면 및 현장심사를 통하여 도출된 문제점에 대해 신청기관 담당자와의회의를 통해 상호 간 결과를 확인.
• 서면심사는 ISMS-P 관련 정책, 지침, 매뉴얼(절차) 등 내부규정 존재 여부 및 해당 내부규정이 인증기준을 충족하는지 심사하며, 신청기관에서 제출한 증거자료 확인을 통해 운영의 적정성을 확인.
• 현장심사는 서면심사의 결과와 기술적․물리적 보호대책 이행 여부를 확인하기 위하여 담당자 면담, 관련 시스템 확인 등의 방법으로 심사.

 

 

ISMS-P 인증심사원이 ISMS-P 인증심사를 위한 필수자격이기도 하지만, 클라우드인증, IoT 인증 등의 분야에서도 ISMS-P 인증심사원의 활동이 많아지는 이유이기도 함.

 

 

 

ISMS-P 인증심사원은 기업의 관리적, 기술적, 물리적 정보보호 체계를 종합적으로 심사해야 하므로 고도의 전문성이 요구됨.

•  ISMS-P 인증심사원은 정보보호 및 개인정보보호 부문의 인증기준에 따라 심사를 진행하며, 신청기업은 모든 기준을 만족해야 인증을 받을 수 있음.

 

 

ISMS-P 인증기준 구성 항목 - ‘관리체계 수립 및 운영(16개)’, ‘보호대책 요구사항(64개)’, ‘개인정보 처리 단계별 요구사항(22개)’ 등 모두 102개의 항목으로 구성 - ‘관리체계 수립 및 운영’은 관리체계의 메인프레임으로서 전반적인 관리체계 운영 라이프사이클을 구성 - ‘보호대책요구사항’은총12개분야에대한인증기준으로서정책, 조직, 자산, 교육등관리적부문과개발, 접근통제, 운영․보안관리등물리적․기술적부문의보호대책에관한사항으로구성 - ‘개인정보 처리 단계별 요구사항’은 개인정보 생명주기에 따른 보호조치 사항으로 구성

 

 

• 따라서 ISMS-P 인증심사원은 정보보호 영역 중 특정 분야의 전문성도 중요하지만, 관리적, 기술적, 물리적 보안을 망라하는 정보보호 전 분야의 기본소양과 지식이 보다 필요.
• 특히, 최근엔 개인정보보호 분야가 중요해지면서, ISMS-P 인증심사원에게는 정보보호 분야의 지식과 더불어 개인정보보호 관련 기술, 법제도에 대한역량도 반드시 필요.
• 정보보호 분야의 특징이 지켜야 할 수십, 수 백군데 영역 중에 어느 한 군데만 소홀히 해도 큰 사고가 벌어질 수 있기 때문에 기술적인 전문성과 더불어 기업의 비즈니스, 정보기술 등을 종합적으로 바라보고 기업이나 조직의 위험을분석할 수 있는 통찰력이 필요.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

국내현황

ISMS-P 인증심사는 2013년에 ISMS 인증 의무화 도입 후 매년 꾸준히 증가하고있음.

• 기업은 인증을 받아도 매년 사후심사를 받아야 하므로 매년 거의 800~900여 건의 심사가 진행되고 있으며, 앞으로 계속 증가할 것으로 전망.

 

 

 ISMS-P 인증심사 건수의 증가에 따라 인증심사기관들도 점차 증가하고 있음.

• 법정인증기관은 한국인터넷진흥원과 더불어 금융보안원이 금융 분야 인증기관으로 지정되었으며, 한국정보통신진흥협회(KAIT), 한국정보통신기술협회(TTA), 개인정보보호협회(OPA)가 심사기관으로 지정됨. 최근에는 관련 고시가 개정되면서 심사기관을 하고자 하는 자는 상시 접수할 수 있도록 변경되어 앞으로 심사기관에 참여하려는 기관도 많아질 것으로 예상.

 

자격이 유효한 ISMS-P 인증 심사원은 약 1,400여 명으로 추정됨.

• 인증심사원 중에는 별도의 소속 없이 인증심사만을 주 업무로 하는 심사원이있고, 기업 등에 소속된 상태에서 심사 활동에 참여하는 심사원들이 있음.

 

 

현재, 심사원 보는 20만 원/일, 심사원은 30만 원/일, 선임 심사원은 35만 원/일의 자문료를 받고 있으며, 심사원 등급 기준으로 1주일당 150만 원의 수입이발생.

• 심사원이 한 달에 얼마나 많은 심사를 할 수 있을지는 해당 월에 기업이심사신청을 많이 하는지와 해당 심사원의 역량 등에 따라 달라짐.
• 인증심사는 인증받는 기업의 규모에 따라 달라질 수 있으나, 통상 1~2주내외의 기간 동안 심사를 함.

 

 

 

ISMS-P 인증 심사원은 기술적 전문성뿐만 아니라, 정보보호 분야의 종합적 능력이 필요한 만큼, 심사원이 되기 위해서는 정보보호 관련 학력뿐만 아니라 일정 수준의 정보기술 또는 정보보호 경력이 필요함.

•  ISMS-P 인증 심사원이 되기 위해서는 4년제 대학 졸업 이상 또는 이와 동등한학력을 취득한 자로서 정보보호 및 개인정보보호 경력을 각 1년 이상 필수로보유하고 정보보호, 개인정보보호 또는 정보기술 경력을 합하여 6년 이상을보유하여야 하며, 서류전형, 필기전형, 실기전형을 통과해야 심사원보 자격을부여받음.
• 필기전형의 경우, 2015년에 처음 도입되었고 1년에 1회 시험을 치르고 있으며,합격률이 높지 않음에도 불구하고 매 회차 1~2천 명의 응시자가 도전하고있으며 매년 응시자 수가 꾸준히 늘어나고 있음.
• 인증심사에 4회 이상 참여하고 심사일수의 합이 20일 이상인 경우 심사원으로승급하게 되고, 심사원이 된 후에 정보보호 및 개인정보보호 관리체계 인증심사를 3회 이상 참여하고 심사일수의 합이 15일 이상인 경우, 선임 심사원으로 승급할 수 있음.

 

 

ISMS-P 인증심사원은 보수교육을 통해서 전문성과 최신심사기술을 익히고 있음.

• 한국인터넷진흥원은 인증심사원들을 위해 다양한 교육 기회 및 정보를 제공하고 있으며, 자격 유효기간 동안 평가를 통해서 심사원으로서의 전문성을검증하고 있음.

 

 

 

 

 

 

 

 

 

 

활성화 방안

1) 각 인증심사 제도별로 인증심사원에 대한 자격과 역할, 업무 범위 등을 법령으로 규정하여 제도화 및 직업적 안정이 필요.

• 또한, 법적 제도 마련을 통해 인증심사원에 대한 관리를 철저히 실시할필요가 있음. 예를 들어, 인증심사원 중에는 보다 보수가 많을 수 있는 컨설팅등의 업무를 수행하기도 하는데, 인증심사의 독립성, 객관성을 위해서는자신이 컨설팅한 기업에 대해 심사에 참여할 수 없도록 철저히 규제할 필요가있음.
• 현재는 각 인증제도별로 평가자, 심사원을 운영하는 경우도 있고, 어떤 인증제도의 경우는 각 분야의 전문가들이 자율적으로 활동하고 있음.

 

 

2) 인증심사원에 대한 보수 수준을 전업이 가능한 수준으로 높임으로써 이들이 안정적인 환경에서 전문적 역량을 갖추고 업무를 수행하도록 지원이 필요.

 

 

 

 

3) ‘인증 심사원’에 대한 양성 교육과정, 역량 향상 교육과정과 콘텐츠를 개발하여 제공해 줌으로써 정보 및 보안기술의 빠른 발전에 대응할 수 있도록 지원할 필요가 있음.

 

 

 

 

4) 의료, 제조, 에너지 등 다양한 산업 분야에서 정보기술의 활용이 증가하고 있으므로 각 산업분야에서 적합한 인증항목을 개발하여 ‘정보보호 관리체계 인증’ 제도를 확대할 필요도 있음.