본문 바로가기

블로그

LG CNS 기술블로그 DX Lounge에서 최신 IT 소식을 만나보세요!

보안

[보안동향] ‘정보보호 공시’ 분석부터 작성까지 한 번에 끝내세요!

2022.08.19

지난 글에서는 정보보호 공시 개요와 대응 업무 절차, 정보보호 공시 준비 자료를 살펴보았습니다. 이번 글에서는 정보보호 공시 자료 분석 및 작성에 관해 알아보겠습니다.

정보보호 공시 자료 분석 및 작성

정보보호 공시 투자 영역 집계는 자산 대장과 비용 원장을 기반으로 분석을 진행합니다. 아래는 분석과 관련된 한국인터넷진흥원(KISA)의 가이드와 공시 실무교육 자료를 요약한 내용입니다.

정보보호 공시 가이드 라인 (출처: 한국인터넷진흥원)

앞에서 언급한 기본적인 분류 기준 방안을 기반으로 아래 세부 항목별 작성을 진행해 보도록 하겠습니다.

정보보호 공시 가이드 라인 (출처: 한국인터넷진흥원)

자산 분류, 집계와 관련해 KISA 가이드 및 추가적인 질의를 통해 확인한 내용에 대해 알려드리겠습니다. 제조업을 기반으로 하는 기업인 경우 운영기술(OT) 영역의 다양한 장비가 있는데요. KISA에 문의한 결과 산업용 소프트웨어는 정보 기술로 분류해 반영해야 합니다. 산업용 SW와 산업용 HW가 분리할 수 있거나, 비율 추정이 가능하다면 SW만 따로 산정해 투자 금액을 산정해야 합니다. 산업용 SW와 HW가 분리 불가능할 시에는, 일체형으로 판단해 SW, HW 모두 정보기술 금액으로 판정합니다.

정보 기술 분류 시 고민되는 아래 자산 유형은 KISA 문의 회신 내용을 참고하시기 바랍니다.

1) 수수료 관련 교육 및 복지(ex.기업 내부 직원을 위한 전자도서관 이용료, 기업 복지시스템 등) 등 제외
2) 통신요금, 문자전송요금, TV수신료, 뱅킹 수수료(1건 결제 당 수수료 300원 등) 등의 경우 제외. 전화기(IP전화기는 예외) 및 통신비의 경우 가이드라인 상 정보기술 자산으로 판단하지 않고, TV는 대형 모니터로 판단해 정보기술 자산으로 인정한 부분이기에 전화, TV 관련 서비스 이용료에서 제외
3) 회의비(워크샵)의 경우, 정보기술부서에서 사용한 비용으로 한정해 포함 가능
4) 소모품비의 경우 정보기술부서에서 사용한 소모품비는 정보기술 부문 투자로 판단 가능. 다만 타부서에서 사용하는 소모품비의 경우 전산 소모품으로 구분 가능한 소모품만 포함 가능. 전사 통합구매를 진행한 소모품비로 부서별 비용 판단이 어려울 경우 모두 제외
5) 공사비의 경우 통신실 구축 중 정보보호 공시 현황 산출 시 일반적인 공사비(리모델링 등) 계정 과목은 제외. 재해 재난 등에 따른 서비스 중단을 대비해 진행하는 서버실 공사 비용은 정보기술 비용으로 포함. 다만 일반적인 회의실 공사 비용은 정보기술 투자금액 산정 시 제외
6) FAX의 경우 정보보호 공시 가이드라인에 기반해 자료를 산출하기에 정보 기술로 포함

정보보호 공시 내 임원 여부에 대한 별도의 법적 기준은 없으나, 관계법령 등을 참고해보았을 때 아래 기준에 의해 임원여부 확인을 권고하고 있습니다. “상법 제401조의2, 제408조의2 등에 따라 회사의 업무를 집행할 권한이 있는 것으로 인정될 만한 명칭을 사용하여 회사의 업무를 집행하는 범위에 있다면 임원으로 판단” 합니다.

이번에는 정보보호 공시 임원 겸직 기준에 대해 살펴볼까요? 겸직 제한 대상 기업을 제외한 중소 기업들의 경우 부장급 정보보호 책임자도 지정 가능하도록 개정했으며 시행령에서 구체화할 계획입니다. 참고로 겸직 제한 대상 기업은 직전 사업연도 말 자산총액이 5조 원 이상이거나, 정보보호 관리체계(ISMS)의무대상 중 자산총액이 5,000억원 이상인 기업입니다.

그동안 중소 기업 이상의 모든 기업에 일률적으로 ‘임원급’ 정보보호 최고책임자 지정을 강제해 인력 채용·조직 신설에 대해 기업의 어려움 호소가 많았는데요. 이번 개정으로 이러한 부담을 완화할 것으로 보입니다.

최고정보보호책임자(Chief Information Security Officer, CISO)의 정보보호를 위한 업무를 명확히 하고 개인정보 보호책임자(Chief Privacy Officer, CPO) 등 유사 정보보호 관련 업무도 수행할 수 있게 겸직제한을 완화했습니다. 또한 정보보호 계획의 수립·시행, 정보보호 실태와 관행의 정기적인 정보보호 감사, 위험의 식별 및 정보보호대책 마련 등 의무적인 업무 외 개인정보보호 등을 겸직 가능한 업무로 추가해 기업 부담을 완화했습니다.

정보보호 관련 활동 현황 작성 시 정보보안팀이 해당 작성 기간 수행한 활동을 작성하며, 작성 시 건수, 증적 자료를 확보해야 합니다. 2016년부터 KISA에서는 사전 정보보호 공시 모의 수행 과 검증 지원 사업을 진행해 다양한 기업 유형별 공시 정보가 있는데요. 작성 시 해당 유형을 식별하고 확인할 수 있습니다.

기업 정보보안팀은 향후 자사의 부족한 정보보호 활동을 타 기업의 사례를 통해 식별, 추가, 비교할 수 있는 기반이 조성됐습니다. 더불어, 대상 기업은 정보보호 공시제도의 의무화를 통해 효율적인 계획 및 실행을 위한 연초 정보보호 활동 계획을 수립하고, 실행하며 결과 증적을 남겨서 연도별 공시 작성 시 신속하고, 효율적으로 관리할 수 있습니다.

아래는 영역별 활동세부 내역에 기재할 수 있는 예시입니다.

[정보보호 투자 활성화 실적]
• 정보보호 관련 국내외 컨퍼런스 참가 (세션발표, 전시부스 설치 등)
• 국내외 해외 기업과 정보보호 MOU
• 정보보호 관련 수상 내역

[임직원의 정보보호 인식 제고 교육 및 지원]
• 정보보호 온라인 콘텐츠 제작/배포
• 정보보호 가이드북 배포
• 임직원의 정보보호 자격증 취득 지원
• 임직원 대상 사내 정기 정보보호 교육과정 개설
• 협력(외주)업체 정보보호 수준 향상을 위한 활동(지원, 교육, 점검 등)
• 정보보호 자문위원회 활동

[정보보호 전담 인력 관리 활동]
• 정보보호를 주제로 이사회 의제 발제
• 정기 보안 책임자 간담회
• 정보보호 공모(모의 해킹 대응대회 등), 세미나, 페스티벌 등 개최
• 해외 정보보호 세미나 참석 지원
• 우수보안사례 발굴 및 내부 시상 활동

[이용자 정보보호 인식 제고활동]
• 스마트폰 보안 활동 홍보
• 개인정보보호 활동 홍보
• 피싱 및 스팸메일 방지 활동 홍보
• 해킹 방지 및 안전한 PC 사용 홍보

정보보호 공시 대응 글을 마치며

이번 글에서 소개한 내용을 바탕으로 작성을 진행하면 아래와 같이 정보보호 공시 자료가 완료됩니다.

작성된 해당 공시 자료는 내부 검토 및 결재 그리고 대표이사의 직인을 날인한 후 정보 보호 공시 사이트에 올리면 최종 완료됩니다. 사실 프로젝트를 진행하면서 최초 백 수십 만 건이 넘어가는 자산 및 비용 전표 자료를 분석하고 검토했는데요. 분석, 검토 후 취합을 마치면 정보보호 투자와 인원 현황이 어떻게 나올 것인지 궁금했습니다.

백만 건이 넘어가는 비용 원장이나 자산 대장 등의 여러 엑셀을 띄우고 작업을 하기 위해서는 메모리 16G 이상 고사양 CPU를 탑재한 노트북 또는 데스크탑의 사용을 권장합니다. 그리고 분석 및 가공 처리 단계마다 버전별 저장을 수행해야 예기치 않게 발생할 수 있는 오류 등으로 인한 작업 시간의 손실을 예방할 수 있습니다.

작업 시 주요 키워드, 자산 유형, 비용 계정 등을 살펴 가며 분류하고 정리했지만, 대기업의 회계 시스템인 경우 다양한 처리 시스템을 통해 자동 전표가 회계적으로 생성되는 경우가 있어 최종 분류/식별의 어려움이 있는 전표와 자산이 발생합니다. 이때는 귀속부서나 구매거래처 정보, 자산 유형, 계정 등을 복합적으로 사용해 판단합니다.

오래전, SAP FI/CO 컨설턴트로 재무 시스템 구축 프로젝트를 수행했던 경험이 이번 정보보호 공시 프로젝트를 수행할 때 큰 도움이 됐습니다. 정보보호 공시 대응의 경우 주무 부서가 정보보안 팀이지만, 정보기술과의 협업 특히 회계팀 및 인사팀의 도움이 필수적입니다.

프로젝트를 수행 중 인상적이었던 포인트가 두 가지 있었습니다.

그중 하나는 제조업에서 OT -산업용 소프트웨어의 경우 정보기술로 분류해 반영해야 했던 것이었습니다. 사실 전 세계 제조 강국인 우리나라에선 이미 IT와 OT의 경계가 허물어지고 있고, 제조업 전반에 DX기술인 클라우드, 빅데이터, AI, 머신러닝 등이 접목되고 있음을 확인할 수 있었습니다.

두 번째로는 CCTV 유관 자산 및 비용의 비율이었습니다. KISA에서는 CCTV를 정보기술 투자이면서 정보보호 영역으로 분류하고 있는데요. 실제 분석을 통해 확인해 본 결과, 정보보호 투자(자산/비용) 영역에서 상당 부분을 차지하고 있었습니다. 지능형 영상 보안 처리 및 물리보안에서도 큰 비중을 차지하고 있었고, 이외에도 안전 환경 및 사업장 내의 다양한 영역에 설치/구성/운영되고 있었습니다.

다만 정보보호 공시의 기본 취지에서 살펴볼 때 이러한 투자가 정보보호 투자영역의 비율을 상당 부분 차지하고 있어 투자 비율이 높게 나오는 점은 향후 개선돼야 하지 않을까 생각했습니다.

실제 수행 시에 고객의 예상보다 높은 투자 비율이 나왔으며, 분석을 통해 확인한 결과 CCTV 및 영상보안 관련 투자가 상당한 부분을 차지하고 있었던 점이었습니다.

최초 시행되는 정보보호 공시 제도 대응을 진행하며 새로운 지식을 배울 수 있었고, 내년에 고객과 함께 더 체계적으로 준비해야 할 점을 파악해 보는 좋은 계기가 됐습니다.

기업의 보안 조직은 연초 보안 관련 계획 수립 시, 공시와 관련 투자, 다양한 정보보호 활동을 사전 계획/관리/운영할 수 있도록 준비해야 합니다. 또한 정보기술 및 회계팀과 협업해서 비용 계정을 세분화하거나 인터페이스 전표를 통해 전표를 생성할 때, 원시 발생 전표의 적요나 자산 정보를 연계 받아 처리하면 더 좋은 결과를 얻을 수 있다는 점도 알 수 있었습니다.

정보보호 공시 제도가 의무적으로 2021년 실행됐고, 조만간 ESG 공시도 의무화될 것으로 예상됩니다.

최근 ESG 경영, 기업의 ESG 평가에서 보안영역이 기업 및 이용 고객에게 더욱 높은 수준의 정보보호 체계/서비스를 제공하는 역할을 할 것으로 예상되는데요. 이러한 제도를 통해 우리나라 기업의 정보보호에 대한 보안 투자 및 조직/인원의 투자 확대가 되는 좋은 계기가 될 것으로 보입니다.

이번 글을 통해 내년 공시를 위한 사전 준비 항목과 방법에 대한 가이드를 소개해드렸습니다. 내년에 진행하는 정보보호 공시 진행에 도움이 되길 바랍니다.

[출처 및 참고자료]

https://www.kisa.or.kr/post/fileDownload?menuSeq=401&postSeq=2882&attachSeq=1&lang_type=KO
정보보호 공시 가이드라인 à 한국인터넷진흥원
https://isds.kisa.or.kr/publish/list.do?pageNum=1&limit=10 à 정보보호 공시 종합포털(ISDS)
https://www.kisa.or.kr/401/form?postSeq=2938 정보보호 공시 실무교육 – 교육자료 제공
정보보호_공시_가이드라인_개정본(2021.12.).pdf
첨부파일사전점검확인서(2종).zip
첨부파일 PDF(기업용)_정보보호_공시_실무교육.pdf
첨부파일 PDF(컨설팅용)_정보보호_공시_실무교육.pdf
첨부파일 PDF(한국인터넷진흥원)정보보호공시제도_소개자료.pdf42135643
http://www.motie.go.kr/motie/gov3.0/gov_openinfo/sajun/bbs/bbsView.do?bbs_seq_n=631&bbs_cd_n=30 à K-ESG 가이드라인
https://www.boannews.com/media/view.asp?idx=97971 à 겸직 예외 보도

글 ㅣ LG CNS 사이버시큐리티팀 김진우 책임

해당 콘텐츠는 저작권법에 의해 보호받는 저작물로 LG CNS 블로그에 저작권이 있습니다.
해당 콘텐츠는 사전 동의없이 2차 가공 및 영리적인 이용을 금하고 있습니다.

구독하기
목록

관련 아티클

챗봇과 대화를 할 수 있어요