정보보호 관리체계를 위한 주요 통제영역 연구: 금융 관련 조직을 중심으로

Abstract

금융서비스산업 전반에 고객의 금융정보 및 금융서비스를 적절하게 보호하고 유지하기 위해, 조직은 정보보호 관리체계(ISMS), 개인정보보호 관리체계, 비즈니스연속성 관리체계와 같은 경영시스템을 도입하여 운영하기 시작하였다. 본 연구는 금융권이 ISMS를 고려하는 것이 바람직하며 정보보안 문화, 실무 및 가이드라인을 고려하는 다양한 조직 안에 각기 다른 형태를 가질 수 있다는데서 출발하였다. 금융서비스산업 내에서도 분야에 상관없이 적용 가능하고 보편적으로 널리 알려진 국제 정보보호 관리체계 ISO27001을 도입한 금융 관련 조직을 대상으로 인증 심사에 따른 부적합 추이 및 통제 요인의 분석을 통해 해당 ISMS의 주요 통제 영역을 도출하게 된다. 이에 따라 ISMS를 도입하여 운용하고 있는 금융 관련 5개 조직의 사례분석을 통해 정보보호 수준의 개선 효과를 분석해 보고자 했다. 금융 섹터에서 인증을 유지하고 있는 곳이 적어 실증 연구를 위한 자료 확보가 어려웠지만, 초기 연구 대상으로서의 의미가 있는 것으로 분석되었다. 분석을 통해, 대상 업체들에서 최초심사로부터 3년 주기가 지나는 동안 부적합 건수가 매년 감소하고 있음을 확인할 수 있었다. 부적합 빈도수가 가장 높았던 물리적 환경적 보안, 의사소통 및 운영관리, 접근통제 영역이 각 23%, 19%, 17%를 나타내 전체 부적합의 59% 정도를 차지하는 주요 통제영역으로 도출되었다. 이를 통해 금융권에서 중요하게 다루어지지 않았던 기술적, 관리적, 물리적 보안 이슈를 ISMS가 충족시키고, ISMS가 금융서비스산업에 적용 가능한 효과적인 관리체계가 될 수 있음을 발견하였다.