[보안맨] 글로벌 외국계 금융 기업의 통합 정보보호 관리체계 관리 방안

안녕하세요,

본 기고글에서는 글로벌 대기업의 통합 정보보호 관리체계 시스템 구축 및 관리방안에 대해 다루겠습니다.

 

대기업에서는 법적 요건 준수 또는 강화된 IT 보안 관리체계를 마련하기 위해 다양한 활동을 수행합니다예를 들어일부 국내 금융회사의 경우 법적 필수 사항이 아님에도 ISMS-P (정보보호 및 개인정보보호 관리체계인증서를 취득하기 위해 많은 인력과 비용을 투입합니다.

금융회사에서 일반적으로 IT 보안 및 개인정보를 관리하기 위해 고려해야 할 컴플라이언스 요소는 일반적으로 아래와 같습니다.

  • -정보통신망 이용촉진  정보보호 등에 관한 법률

  • -개인정보 보호법

  • -신용정보의 이용 및 보호에 관한 법률

  • -전자금융거래법

  • -ISMS-P , ISO27001, PCI-DSS  보안 인증 (optional)

  • - 

※ 1): 정보보호 및 개인정보보호를 위한 일련의 조치와 활동이 인증기준에 적합함을 인터넷진흥원 또는 인증기관이 증명하는 제도

※ 2): 정보보호 관리체계에 대한 국제 표준이자 정보보호 분야에서 권위 있는 국제 인증으로정보보호정책기술적 보안물리적 보안관리적 보안정보접근 통제 등 정보보안 관련 11개 영역, 133개 항목 충족 필요

 3): 신용카드 데이터 보안을 위한 국제표준으로, PCI 보안 표준 위원회에서 관리하는 보안 컨트롤 세트

 

필자가 생각하는 ISMS-P 내 컴플라이언스 준수 관련 인증 기준은 아래와 같습니다.

  • -1.4.1 법적 요구사항 준수 검토조직이 준수하여야  정보보호  개인정보보호 관련 법적 요구사항을 주기적으로 파악하여 규정에 반영하고준수여부를 지속적으로 검토해야 한다.

  • -1.4.2 관리체계 점검관리체계가 내부 정책 및 법적 요구사항에 따라 효과적으로 운영되고 있는지 독립성과 전문성이 확보된 인력을 구성하여 연 1회 이상 점검하고발견된 문제점을 경영진에게 보고하여야 한다.

 

특히 여러 해외 국가에 서비스를 런칭하는 기업의 경우경우에 따라 GDPR, PDPA 등 개인정보보호 관련 규정 또는 NIST 800-53, COBIT⑷ 등 IT 및 보안 통제사항을 고려하기도 합니다.

※ 1): 유럽 연합 일반 데이터 보호 규칙으로유럽연합 (EU)에 속한 인구의 사생활 보호와 개인정보들을 보호해 주는 규제

 2): 싱가포르 개인정보보호법으로 개인정보 관련 사안의 적법성에 관한 판단기준과 규제의 근거 제시

 3): 미국 연방 정보 시스템에 대한 보안  개인정보보호 제어 카탈로그 제공

※ 4): 정보 기술 관리  IT거버넌스를 위해 ISACA 에서 만든 프레임워크

 

여러 자회사를 보유한 대규모 글로벌 금융 기업의 경우복잡하고 다양한 국내외 정보보호 및 개인정보보호 법령/규정 및 관련 인증 요건을 주먹구구식으로 관리하게에는 한계가 있습니다그에 따른 통합/일원화된 관리 방식즉 시스템화 하려는 니즈도 분명 존재할 것 입니다.

 

한 기업이 국내외 컴플라이언스를 충족하기 위한 정보보호 관리체계 통합 프레임워크(또는 시스템)를 마련하는 방법에 대해 공유드리기는 어려울 것 같습니다다만필자가 글로벌 금융회사에서 경험한 일련의 valid points 를 공유드리고 싶습니다본사 입장에서 해외 다수의 국가에 seperate 되어 있는 자회사들의 정보보호 및 IT 관리체계를 어떻게 통합/관리했는지에 관한 내용입니다필자가 직접 해당 관리체계를 기획/운영한 것은 아닙니다자회사 담당자로서의 의견이며이때 개인정보보호 관련 사안은 별도로 다루지 않습니다.

 

 

  • 1.본사 통합 정보보호 관리체계 평가 양식 개발

 

본사에서는 업종 (금융제조 등을 고려해 IT 정보보호 관리체계 셀프 평가서 (질문지)를 개발했습니다질문지(통제 항목약 200여개를 각 자회사가 스스로 평가/제출하게 하고실제 이행여부를 본사가 원격 또는 현장 방문하여 질문지의 신빙성을 확인하는 절차 입니다.

 질문지  관련 references (e.g. COBIT, NIST 800-53 )  명시해 어떻게 질문지가 개발되었는지 밝혔습니다또한 질문지 별 1~4점수에 따라 각 자회사의 IT 보안 성숙도가 평가될 수 있도록 응답지를 마련했습니다높은 점수로 담당자가 평가한 항목일수록 관련 공식적인 지침/절차가 존재하고통제항목을 정기적으로 이행하거나 자동화된 방법이 있는 형태로 구성했습니다.

예를 들어, “시스템 도입 시 디폴트 패스워드를 변경하고 있는가라는 질문지(통제 항목)가 있습니다이때 1 응답 항목은 전혀 하고 있지 않다.” 이지만, 4( 점수일수록 변경이 진행되도록 체크리스트에 명시하고관리자가 이를 이행하도록 프로세스화 되고 있다라는 응답지를 마련 했습니다.

 

또한 본사에서 여러 자회사 담당자들이 평가 양식을 쉽게 이해하고 진행할  있도록

kick-off / 교육 자료를 배포  여러차례 설명, QnA 하는 미팅을 개최 했습니다.

이때 흥미로운 점은각 자회사(국가)별 위 질문지에 대한 최종 달성 목표치를 부여한 점 입니다.예를 들어대한민국 A 자회사의 경우위 질문지에 대한 최종 목표 달성 점수를 2.7  부여하고일본 자회사의 경우목표 달성 점수를 3 부여 했습니다본사에서 사전에 자회사의 정보보호 관리체계에 대한 성숙도를 고려해 목표 수치(미션)를 명확히 제시한 후 약 6~7개월 뒤 최종 목표 점수 달성여부를 파악했습니다각 자회사 별 KPI (Key Performance Index)를 명확히 부여함으로써 각 자회사의 정보보호 관리 성숙도를 판단했습니다.

 

 

 






 



Figure 1. 셀프 평가지  일부 발췌 (예시)


  • 2.그룹  자회사 경영진에게  정보보호 관리체계 평가에 대한 역할 할당 / 결과 공유

 

2 항목이 필자는 제일 중요하다고 생각합니다 자회사별 할당된 목표 점수에 대해 본사 및 자회사 경영진들이 중요 과업으로 인지하고수치를 달성하기 위해 실무진들을 독려한 점 입니다본사에서 해당 업무를 기획할 때정보보호 및 IT 거버넌스를 고려한 것 입니다경영진들의 분명한 책임 및 역할 없이 비지니스 부서로부터 적절한 정보보안 협조를 이끌어 내기 쉽지 않기 때문 입니다.


연간 목표 점수의 달성여부를 경영진들이 주기적으로 IT 및 보안 실무자들에게 보고 받고미비점들은 경영진들의 협의를 이끌어내는 일련의 체계가 잘 마련되었습니다단순히 일차원적인 directoin 이 아닌경영진과 실무자간 긴밀하게 소통할 수 있는 커뮤니케이션 채널이 마련되었습니다.


특히 정기적으로 발행되는 본사 IT  정보보호 관리 지표 자료에 자회사별 정보보호 관리체계 평가 결과 달성여부를 List-up 하는 portion 이 있었습니다정보보호 관리체계 목표점수를 달성하고본사에서 주는 미션을 잘 수행하는 자회사에게는 금메달을이를 충족하지 못하는 자회사에게는 동메달을 부여하고각 메달에 따라 적절한 보상 또는 페널티를 부여했습니다.

 

 






 


 

Figure 2. 본사 IT  정보보호 연간 KPI 관리 문서 (배포용, 예시)

 

 

  • 3.자회사 관리 담당자 (Supporter) 지정  관리

 

자회사마다 비지니스 특성로컬 법령 특성조직 구조 등이 다양하므로 동일한 평가지에 대해 여러 해석이 있었습니다필자의 경우에도 어떤 질문지에 대해서는 이해가 안되거나 모호한 부분이 있었습니다또는 로컬 규정과 상충되는 질문지도 존재했습니다이때 관련 사항에 대해 신속한 도움을 받을  있는 본사 Supporter (담당자)들이 각각 맡은 region 별 (e.g. Asia, EU, etc.) 문제 해결 위한 도움을 주었습니다.


 정보보호 관리체계 평가 외에도 Supporter로부터 IT Audit 등에 대한 guidance  받도록 소통 창구를 만들어 주었습니다일례로, IT Audit finding 과 정보보호 평가지간 중복되는 질문지(통제항목)에 대한 개선사항을 어떻게 도출해야할지 막막했던 적이 있었습니다이때본사 Supporter  도움으로 자회사의 best practice (모범 사례) 참고해적절히 신규 관리 프로세스를 기한 내 도출해 해결한 사례가 있습니다.

 

 

  • 4.한계점

 

본사에서는 여러 자회사들이 고유하게 가지고 있는 로컬 정보보호 및 IT 관련 법령까지 고려한 양식을 개발하지는 못했습니다실제로 어떤 국가는 IT 보안 및 개인정보보호 규정이 느슨하고어떤 국가는 너무 복잡하고 까다롭습니다추측컨데모든 자회사의 법령을 해석/파악한 통합 정보보호 관리체계 프레임워크를 개발하기에는 비용 효율적으로 적절치 않다고 판단한 것이 아닌가 생각합니다


따라서필자의 회사에서도 국내 금융회사에 따른 지켜야  여러 IT  정보보안 관련 법령들 (e.g. 전자금융거래법  하위 감독규정신용정보보호법 등을 별도로 check 해야 했습니다.

태그가 없습니다.

2개의 댓글이 있습니다.

일 년 이상 전

감사합니다

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

일 년 이상 전

자료 감사합니다.

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입