실효성 도마 위 오른 ISMS 인증 제도

“무용론 경계해야…실질적 평가로 개선 필요” 국정감사 시즌이 돌아오면서 올해 사이버 침해를 당한 기관과 기업들이 획득했던 정보보호 관리체계(ISMS), 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증의 실효성이 또 도마 위에 올랐다. 국회 과학기술정보방송통신위원회 소속 이해민 조국혁신당 의원실에 따르면, 국가정보자원관리원은 화재 발생 전인 지난 9월 3일 재해복구(DR) 관련 심사항목이 포함된 ISMS 인증을 통과한 것으로 확인됐다. 이후 화재 복구 과정에서 백업 미비로 공무원 업무자료가 소실되는 등 복구체계의 허점을 드러냈다. 해킹 사고 관련 ISMS-P 인증의 실효성은 이미 지난달 국회 청문회에서도 지적됐다. ISMS-P는 기존 ISMS의 총 80개 심사항목에 개인정보 관련 21개 심사항목까지 추가로 평가한다. 하지만 정보유출이 발생한 SK텔레콤의 가입자인증서버(HSS)나 KT의 불법 초소형기지국(팸토셀) 등은 인증범위에서 빠져있었다. 예스24도 이 인증을 받았는데 랜섬웨어에 걸렸고, 롯데카드의 경우 인증 직후에 297만명의 개인정보가 8년간 방치된 취약점을 통해 유출됐다. 국회 과방위 소속 김장겸 국민의힘 의원실에 따르면, 최초 심사 수수료는 ISMS 평균 1200만원, ISMS-P 1800만원 수준이며 사후 심사에도 각각 평균 720만원, 1000만원이 든다. 최근 5년간 기업들이 납부한 심사 수수료만 440억4700만원에 달함에도 대규모 정보유출 사고가 끊이지 않고 있다. 인증 보유 기업에서 사고 발생 이후 이를 계기로 인증이 취소된 사례는 단 한 건도 없었다. 때문에 업계에선 이런 정보보호 인증이 실제 보안 역량 검증보다 각종 서류를 기반으로 한 체크리스트 위주 형식적 점검과 단순 인증 통과에만 치우쳤다는 비판이 나오고 있다. 충분한 기간을 두고 실질적인 보안태세를 심층적으로 평가해야 한다는 지적이다. 나아가 일각에선 현 세태를 두고 해당 인증제도의 무용론까지 제기하는 상황이다. 개인정보보호위원회는 지난달 11일 발표한 '개인정보 안전관리 체계 강화 방안'을 통해 ISMS-P 인증 제도를 개선한다고 밝혔다. 신종 해킹기법을 고려해 취약점 점검, 모의해킹 등 현장심사 중심으로 인증체계를 고도화하고 사고기업 대상 사후관리를 강화한다. 장기적으로는 핵심 공공시스템·이동통신서비스 등 대상 단계적 의무화 및 전반적인 인증 품질 향상을 위한 제도 개선도 추진한다는 방침이다. 염흥열 순천향대 정보보호학과 명예교수는 "무용론은 결국 정보보호를 위한 정책적 수단 중 하나를 놓치게 되는 셈이므로 경계해야한다. 그보다는 고위험 산업군 등을 구분하고 실질적인 정보보호 역량을 평가하는 등 실효성을 높여가야할 것"이라고 지적했다. 그는 "인증 획득 이후 개선 여부 확인을 포함해 심사 과정 또한 더욱 엄밀해질 필요가 있다"고 말했다. 팽동현 기자 dhp@dt.co.kr