에스큐브(대표 김창호.www.scube.co.kr)는 BS7799 인증컨설팅을 제공하는 정보보호 컨설팅업체로 국내에서 가장 먼저 BS7799 인증을 획득했다. 에스큐브가 BS7799 인증 획득을 준비하게 된 이유는 크게 두가지다. 첫째는 사내 컨설팅 인력들에 대한 교육을 강화하기 위해서이고 둘째는 정보보호업체로서 자체 보안을 먼저 향상시켜 고객에 대한 신뢰도를 높인다는 측면에서였다. 김창호 사장은 "한 회사의 보안을 책임지고 총체적인 컨설팅과 그에 따른 시스템 구축 등을 제공해주는 정보보호 전문업체라면 먼저 인증을 획득하는게 당연한 이치"라고 말했다. 그는 "컨설턴트들 또한 경험에서 비롯된 실질적인 노하우와 자신감을 갖고 있어야 타 회사의 보안에 대해 좀더 확신을 갖고 이런 저런 방향제시를 할 수 있다"고 설명한다. 에스큐브는 이같은 동기에서 BS7799 인증을 획득키로 결정하고 지난해 7월부터 본격적인 준비 작업에 들어갔다. 먼저 대표이사를 중심으로 한 정보보호위원회와 정보보호 전담 태스크포스팀을 구성하고 각 부서별 정보보호 담당자를 선정했다. 정보보호팀이 정보보호 정책을 수립하고 지침과 절차 제정 등을 총괄적으로 주도하는 가운데 부서별 정보보호 담당자들은 각 부서내 정보보호 활동과 홍보를 책임지는 업무를 맡았다. 시스템운영팀은 정보보호 정책과 지침,절차 등의 규정에 따라 시스템과 네트워크를 관리하고 운영하는데 힘썼다. 에스큐브는 국내에서 처음 BS7799 인증 획득을 준비하는 입장이어서 도움이 될만한 국내 사례가 없어 애를 먹었다. 또 공교롭게도 아시아 유일의 BS779 공인 강사 자격을 갖고 있던 박태완 부사장이 내부인인 관계로 영국의 전문 컨설턴트로부터 객관적인 컨설팅을 받아야 했다. 일반적으로 BS7799 인증을 획득하기 위해서는 순수한 심사비용 외에 심사규정을 준수하기 위한 부대비용이 훨씬 많이 들게 된다. 가령 모든 소프트웨어를 정품으로 갖춰야 하는 것은 기본이고 규정상 책상위에는 업무와 관련된 문서나 서류 등을 비치해 둬서는 안된다. 이 때문에 전직원 모두 개인 보관함을 갖춰야하는 등 물품비용과 인력비용을 모두 전체 예산에 감안해야 한다. 에스큐브의 경우 여기에다 영국인으로부터 직접 컨설팅을 받았기 때문에 왕복 항공요금 등의 부대비용까지 감수해야 했다. 에스큐브가 정보보호 업체라는 것이 BS7799인증 획득을 준비하는데 유리한 점으로 작용했다. 전직원들의 정보보호 마인드가 평균 이상은 갖춰져 있었기 때문이다. BS7799인증 획득을 준비중인 업체는 정보보호 관리체계에 대한 지침과 정책,절차 등에 대해 전직원을 대상으로 수차례 교육을 실시해야 한다. 전사 차원의 정보보호 관리체계를 갖추기 위해 직원 개개인의 정보보호 마인드는 무엇보다 중요한 부분이다. 에스큐브가 BS7799인증을 획득하는 과정은 순탄치만은 않았다. 정보보호 관리체계를 갖추는 것은 한 개인이나 팀 문제가 아닌 전 직원의 교육 동참이 무엇보다 중요하지만 컨설팅 등 외부 업무가 많은 에스큐브 직원들을 한자리에 모으기란 어려운 일이었다. 또 팀들간의 상호 의견조율도 결코 녹녹한 문제는 아니었다. 에스큐브는 1년여의 준비기간을 거쳐 지난 7월 BSI로부터 BS7799 인증을 공식 획득했다. 에스큐브에 대한 고객 신뢰도가 향상된 것은 물론이고 컨설턴트들 역시 이전보다 훨씬 자신감을 갖고 고객을 대할 수 있게 됐다. 특히 에스큐브가 최초로 인증을 획득한 이후 최근BS7799에 대한 관심이 고조되면서 인증을 준비하는 업체들의 컨설팅 의뢰가 급격히 증가하고 있다. 김창호 사장은 "BS7799 인증은 관리 프로세스이기 때문에 인증 그 자체에 의미를 두기보다는 내부보안을 향상시키고 유지시키는 데에 큰 의미를 둬야 한다"며 "BS7799인증은 인증획득후 6개월마다 유효 심사를 받아야 하므로 유지하는데 더 많은 노력을 기울어야 한다"고 밝혔다. 정종태 기자 jtchung@hankyung.com