정보보호관리체계(ISMS) 인증을 받는 보안업체들이 늘어나고 있다.

보안업체들은 법적으로 ISMS 인증 의무화 대상은 아니지만 안랩, SK인포섹, 이글루시큐리티 등 주요 보안기업들은 비즈니스 특성상 자발적으로 ISMS 인증을 받아왔다. 보안컨설팅·보안관제 사업영역이나 공인인증서비스 등 주로 보안 관련서비스 제공분야가 대상이었다.

최근에는 보안 솔루션 개발 분야를 포함해 ISMS 인증을 받는 보안업체들이 확대되는 경향이 나타난다.

올 들어 이니텍이 자체 통합전산센터(IDC)·인프라 서비스 운영 환경을 대상으로 ISMS 인증을 획득했다.

시큐아이도 올해 정보보호 컨설팅 서비스 운영 부문에 ISMS 인증을 받았다.

최근에는 닉스테크가 ISMS 인증을 받았다. 닉스테크는 주력 제품인 엔드포인트 보안 솔루션을 개발하는 기술연구소와 관련부서를 대상으로 ISMS 인증을 받았다.

닉스테크는 11일 ISMS 인증 획득 소식을 전하면서, 6개월의 준비기간을 거쳐 기존에 구축된 기업 내 민감 정보관리체계를 강화했다고 설명했다.

ISMS 인증은 기업이 주요 정보자산을 보호하기 위해 수립·관리·운영하는 정보보호관리체계가 인증 기준에 적합한지 심사해 인증을 부여하는 제도다. 약 12개의 정보보호관리과정의 통제 사항과 92개의 정보보호 대책 등 총 104개의 항목을 심사하며, 최초 심사를 통해 인증을 취득하면 3년의 유효기간이 부여된다.

최근 공공기관·기업에서 널리 사용하는 보안제품들도 해킹사고에 악용되는 일이 발생하면서 보안업체들의 정보보호관리체계 운영·강화 중요성이 강조되는 상황이 반영된 결과다.

기업이 사용하는 정상 소프트웨어 개발체계나 제품을 해킹·변조하는 공급망(Supply Chain) 공격은 계속 증가하는 추세다. 중앙관리 소프트웨어의 보안관리 취약부분을 악용한 표적공격도 지속적으로 나타날 것으로 예상되고 있다.


이미 국내 보안업체들의 솔루션에서 취약점이 발견되거나 해킹이나 악성코드 유포에 악용되는 사례가 여러 번 발생하기도 했다.

보안업체들도 보안제품 자체의 보안성 강화는 물론, 개발체계 전반의 보안관리 필요성이 제기된다.

<취합 : 바이라인네트워크>

한국인터넷진흥원(ISMS)의 ISMS 인증서 발급현황을 조사한 결과, ISMS 인증을 받아 효력을 유지하고 있는 보안업체들은 10여곳이다.

박동훈 닉스테크 대표는 “ISMS 인증 대상 기업은 아니지만 자발적으로 정보보호관리체계를 구축 운영해 기업 내 종합적인 정보보호 대책을 구현하고 보다 안전한 환경에서 제품을 연구·개발하기 위해 진행했다라면서 “침해사고로부터 100% 안전지대는 어디에도 없지만 인증 취득으로 정보보호 침해사고 가능성을 현저하게 줄이고, 침해사고가 발생하더라도 피해를 최소화할 수 있을 것”이라고 강조했다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network