금융보안원, ISMS 심사 올해 26곳…첫 인증 10월 발급

사후 심사 대상 21곳·최초 심사 5곳…"심사 늘어날 수도"

ISMS 심사, 내년 중 금융권에 적합한 세부 통제 항목 반영

금융보안원이 정보보호관리체계(ISMS) 인증 심사를 본격적으로 시작, 이르면 오는 10월 금융보안원 명의의 인증서가 첫 발급될 것으로 전망된다.

ISMS(Information Security Management System)는 조직의 각종 보안위협으로부터 주요 정보자산을 보호하기 위해 정보보호 관리 절차 및 물리적·기술적·관리적 보호 대책을 체계적으로 수립, 지속적으로 운영·관리하기 위한 종합적인 체계를 의미한다.

금융보안원 관계자는 17일 "금융보안원이 올해 하반기 진행·진행 예정인 ISMS 심사 대상은 총 26곳"이라며 "이중 첫 번째로 SK증권에 대한 사후 심사를 9월초 진행했고, 후속조치 등이 이뤄진 10월 또는 11월 중 인증서가 발급될 것"이라고 밝혔다.

금융보안원에 따르면 금융업계에서 ISMS를 획득한 기업은 총 50개다. KB국민·NH농협은행 등 은행, 대신·삼성증권 등 증권, 삼성화재 등 보험, 한국정보통신·한국사이버결제 등 전자금융업자 등 다양한 금융분야의 회사들이 ISMS 인증을 갖고 있다.

ISMS 심사는 총 세 가지로 분류된다. 인증을 받기 위해 처음 신청했을 때 받는 '최초 심사', 인증 획득 후 ISMS 인증이 보장되는 3년 동안 관리 실태를 잘 이행하고 있는지 매년 확인 받는 '사후 심사', 인증 기간이 끝나 다시 인증을 획득하기 위해 받는 '갱신 심사'로 나뉜다.

금융보안원 관계자는 "가장 먼저 심사를 진행한 SK증권의 경우 사후 심사로, 이와 같은 사후 심사 대상이 21곳"이라며 "나머지 5곳은 최초 심사 대상"이라고 전했다.

이어 "다음주에 한 곳의 심사가 예정돼 있고, 24곳에 대해서도 올해 안에 심사가 이뤄질 수 있도록 계획돼 있다"며 "최초 인증을 신청하는 기업들이 늘어날 경우, 심사 대상도 늘어날 것"이라고 덧붙였다.

심사에 필요한 기간은 사후 심사의 경우, 평균 두 달 정도, 최초 심사의 경우에는 네 달 정도 필요한 것으로 나타났다. 이에 따라 '금융보안원' 명의의 ISMS 최초 인증 업체는 이르면 올 연말, 늦어도 내년 초에는 탄생할 것으로 보인다.

올해 처음으로 ISMS 인증 심사를 신청한 5곳은 KB금융지주, 삼성카드, 신한카드, 하나캐피탈, 외환펀드서비스 등으로 알려졌다.

이들 5개 기업은 ISMS 인증 의무 획득 대상이 아닌 자발적 인증 신청 기업으로, 올해 사후 심사가 진행될 나머지 21곳 중 BC카드를 제외한 20곳은 ISMS 인증 의무 획득 대상이다.

금융기업 중 ISMS 인증 의무대상은 '정보통신망 이용촉진 및 정보보호 등에 관한 법률'에서 연간 매출·사용 횟수 등에 따라 규정하고 있다.

금융보안원은 내년까지 세부 통제 항목을 다듬어 보다 금융회사에 적합한 ISMS 심사를 할 계획이다.

금융보안원 관계자는 "금융보안원이 금융권의 IT 환경, 보안 환경 등에서 전문성을 살리기 위해 세부 통제 항목 253개를 금융권에 특화될 수 있도록 내년까지 수정할 방침"이라며 "세부 통제 항목이 금융권에 적합하도록 수정되면 금융 분야의 정보보호 역량이 강화될 것"이라고 설명했다.

ISMS 심사는 미래부에서 지정한 '정보보호관리체계 인증 등에 관한 고시'에 나와 있는 104개의 기준과 그 하위항목으로 세부 통제 항목이 253개가 있다. 고시는 인증기관 임의로 수정이 불가능하나, 세부 통제 항목은 인증기관에서 수정할 수 있는 권한이 있다.

한편, 금융보안원은 지난 7월 미래창조과학부로부터 정보보호 관리체계 '인증' 및 '인증심사'를 일괄적으로 수행하는 최초의 민간 인증기관으로 지정된 바 있다. 이전까지는 한국인터넷진흥원(KISA)에서 금융기관의 ISMS 인증을 전담해왔다.

박종진 기자 truth@segye.com

<세계파이낸스>

세계일보

스포츠

금융보안원, ISMS 심사 올해 26곳…첫 인증 10월 발급

오피니언

HOT뉴스

포토