지니언스 기술 블로그

ISMS 대응을 위한 NAC의 활용

Written by Genians | Oct 28, 2022 2:32:00 AM

ISMS 인증의 필요성

우리가 매년 건강검진을 받는 것과 마찬가지로 기업/기관의 보안 정책도 점검을 받을 필요가 있습니다. 이러한 점검 중 대표적으로 ‘정보보호 관리체계’(ISMS: Information Security Management System)가 있습니다. ISMS 제도를 주관하는 KISA(한국인터넷진흥원)가 ISMS에 대한 인식을 조사한 결과에 따르면 ISMS 인증 후 내부직원의 보안인식이 확대됐다는 응답이 69.7%, 침해사고 위험이 감소했다는 응답이 66.4%로 나타났습니다. 아울러 정보보호에 대한 경영진의 이해가 높아진 것은 물론 전담조직을 구성하고 정보보호 업무가 명확해졌다는 응답이 각각 65.5%로 제도 이행에 따른 긍정적인 결과를 보여주고 있습니다.

[인증기관과 미인증 기관의 정보보호 수준 비교, KISA 2016년 정보보호 실태조사 분석]

 

ISMS 인증에 대한 부담과 고민들

그러나 이러한 긍정적인 효과에도 불구하고 인증비용에 투자하느니 과태료를 내겠다는 의견도 존재합니다. ISMS 인증을 취득하고 잘 운영하는 기업도 존재하는 반면, 인증을 받는다고 해서 보안사고가 일어나지 않는 것도 아니며 업무 불편함을 가중시킨다는 이유가 가장 클 것 입니다. 인증을 준비하기 위한 컨설팅과 솔루션 등의 구축에 1억 이상이 소요되는 반면 미 인증에 따른 과태료는 3천만원 수준 인 것도 ISMS 인증 진행에 고려사항 일 것 입니다(주1). 최근에는 인증심사 과정에서 심사원과의 마찰까지 언급되는 등 ISMS 업무에 대한 부담과 애로사항은 높아지는 것 같습니다.

실제 보안 담당자의 고민은 이러한 문제를 잘 보여주고 있습니다.

* 보안 담당자 윤 차장의 고민

최근 협력업체로 이직한 윤 차장은 이직과 동시에 큰 업무를 맡게 되었습니다. 거래 중이던 모회사와의 거래량이 크게 늘어나게 되면서 모회사 보안 지침을 따라야 하는 상황이 되었습니다. 윤 차장은 모회사의 보안 지침에 따라 사내 보안 수준을 점검하면서 부족한 부분에 대한 대응책을 마련하는 업무를 맡게 되었지만, 부족한 보안 인력으로 인해 효과적으로 수행하기 어려운 상황에 놓였습니다. 부족한 부분을 해결해 줄 수 있는 보안 솔루션들은 많지만 관리 운영 인력이 부족한 상황을 효율적으로 해결할 수는 없을까 고민 입니다.

 

* 보안 담당자 최 팀장의 고민

금융권 보안 담당자 최 팀장은 고민이 있습니다. 최근 ISMS 의무대상기업으로 지정되어 정해진 기간 안에 ISMS 인증 취득이 필요하기 때문 입니다. 문제는 내부 보안 예산 부족으로 인해 ISMS 인증 취득에 필요한 여러 가지 보안 솔루션을 도입하기 어려운데 있습니다. 적은 예산으로 효율적으로 도입할 수 있는 솔루션은 없을까 고민 입니다.

 
다수 기업/기관의 경우 ISMS 인증을 전담하는 조직이나 인력을 기대하기 어려운 것이 사실이며 보안 운영 및 관리 등의 업무를 수행하면서 ISMS 업무를 병행하는 것이 일반적 입니다. ISMS 인증을 위한 통제 항목이 100여개, 세부항목까지 포함하면 (최대) 300여개의 점검항목에 대한 대책의 마련과 기술적 조치 그리고 증적자료의 준비 등이 필요 합니다. 상황이 이러니 ISMS 인증 및 사후심사를 마치면 업무 담당자가 퇴사한다는 고충을 토로하기도 합니다.

 

 ISMS 인증과 Genian NAC

업계에서는 이러한 고충을 해결하기 위해 ISMS 이행 준수를 도와주는 솔루션의 사용이 도움이 될 수 있다고 언급하고 있습니다. 이러한 솔루션들은 기술적 조치를 이행하고 주기적인 보고서 및 증적자료를 저장하는 등 점검항목에 대응할 수 있는 구체적인 기능을 제공하고 있습니다. 이러한 솔루션의 사용은 특정 기간이 아닌 도입 이후 상시 보안 관리체계를 구축하고 보안 기능을 통한 실제 보안역량 강화에도 도움을 줄 수 있을 것으로 판단됩니다. 또한 ISMS 뿐만 아니라 기타 정보보안규제에도 대응할 수 있어 의미가 크다고 할 수 있습니다.

Genian NAC는 내부보안 관리를 위한 최고의 플랫폼 입니다. 강력한 사용자 인증을 제공하고 특허 받은 탐지기술(DPI: Device Platform Intelligence)을 통해 네트워크에 존재하는 IT 자산(단말 등)을 빈틈없이 탐지하고 식별합니다. 기업/기관은 탐지된 자산을 대상으로 접근통제 등 다양한 보안정책을 수립하고 관리할 수 있습니다. 이러한 노력은 IT 관리의 사각지대(Blind Spot)를 줄이고 실제 보안성을 높이는 긍정적인 효과로 연결될 수 있습니다. 뿐만 아니라 Genian NAC가 제공하는 다양한 보안관리 기능은 ISMS 점검항목에서 요구하는 대책 마련 및 기술적 조치에 활용될 수 있습니다. 구체적인 내용은 아래의 백서를 통해서 확인하실 수 있습니다.

(주1)ISMS 투자 비용보다 과태료가 더 적다

 

더 자세한 내용은 아래 버튼을 클릭해 백서를 읽어보세요

 

Cloud NAC 관련 정보 더 알아보기