정보보호 안전진단이 왜 사라지나?
여러가지 이유가 있을 것이다.
안전진단의 주체는 정부(정통부, 방통위), 관리기관(통신사, 웹 호스팅 등 정보통신서비스 업자, 안전진단 수행기관이 있다.
각 주체들의 역할, 입장 및 잘못을 찾아 보고 향후 비슷하 업무가 발생 할 경우에 이를 반영하여 보고자 한다.
1. 정부
- 관리기관, 수행기관 지정 및 관리 감독 권한 보유
- 중간에 수행기관 인력에 대한 감독을 강화하여 신분증을 배부하였음
- 아쉬운 점은 수행인력에 대한 자긍심을 고양할 수 있는 프로그램이 부족하였다고 생각 된다.
- 안전진단은 방통위를 대신한 감사 성격이 강하나 을로써 보고서 작성에 치중하도록 되어 버렸다.
- 보안은 자발적으로 하지 못하는 성격이 있다. 이것을 함으로해서 이득이 되는 것이 없다.
- 보험 성격이 강하다. 자동차 책임 보험처럼 강제화 해야 한다. 안전진단 대상은 강제화 하였다.
- 관리기관에 의해 끌려간 느낌이 있다. 그리고 수행기관이 수익기관이라고 생각해서 을의 입장을 유지하도록 유도하였다.
- 이것으로 인해 안전진단 품질저하에 일조하였다. 갑에게 어찌 함부로..^^ 을이라면 이해를 할 것이다.
- 안전진단 필증이 있으면 보안사고가 안 나야 한다는 논리를 편다(국회에 계시는 분들이 특히 그렇다)
- 이론은 맞다. 그러나 여러가지 메터리즘을 살펴보면 안전진단만으로 충분한가 라는 생각이 들것이다.
- 그래서 안전진단을 없애고 ISMS로 전향한것이 아닌가 판단된다.
- 지금 현재 ISMS만 허용하고 있으나 ISO27001도 함께 고려되어야 하겠다.
- 그리고 ISMS 심시기관, 심사원 양성 계획도 빨리 수립해야 할 듯하다.(개인적으로 관심이 많다.)
2. 정보통신서비스 업자
- 기본적으로 보안에 관심이 없는 그룹이다. 매출에만 관심이 있다.
- 안전진단 수수료에만 관심이 있다.(안 그런 기관도 있지만 대부분이 그렇다)
- 수익도 나고, 성과금도 두둑히 주는 기업도 마찬가지다.
- 수퍼갑 행세를 하는데 갑자기 을이 와서 진단을 한다고 하니 어리둥절 어쩔 줄 몰라하면서 그냥 누른다.
- 알아서 잘 해 줘 ^^
- ISMS로 변경되어도 관리기관의 태도에는 차이가 없을 것 같다.
- 그러나 심사원들의 레벨이 수행기관의 수행원과는 다른다.
- 교수, 대기업 간부, 기술사 등 이미 사회적 지위 높고, 정보보호 측면에서 인증을 받은 분들이 심사를 하게 된다.
- 적어도 예전처럼, 을 부리는 것 처럼은 하지 못할 것이다.
- 차츰 정보보호 수준이 향상될 것으로 생각된다.
3. 수행기관
- 범 국가적으로 정보보호 수준 제고를 위한 힘써야 한다는 자긍심이 없는 기관이 존재하였다.
- 예를들어 심사도 수행하지 않고 문서행위만을 수행하는 기관도 있다고 한다.
- 안전진단 단가는 낮고, 업무는 복잡하여 그럴 수도 있으나, 매출에만 관심이 있는 수행기관이 있었던것 같다.
- 20여개의 기관이 상호 경쟁을 하면 품질이 좋아져야 하는데 단가만 내려가고,
- 저가의 인력 투입이 지속적으로 되므로써 안전진단에 대한 필요성이 낮아 졌던것 같다.
- ISMS로 변경되면서 일은 더 많아 질 것으로 판단된다.
- ISMS 인증 대비 컨설팅이 솟아져 나오겠지만 단기적으로 진행되고 지속적인 사업은 되지 못 할 것으로 판단된다.
정보보호 수준 제고에 관심들이 많았으면 좋겠다. 특히 그것을 업으로 하는 수행기관에서 매출에만 관심 두지 않고 좀더 품질 높은 서비스를 제공하였으면 한다. 비용도 제대로 받으면서 말이다. 사구려 물건은 이제 그만~