[디지털투데이 박근모 기자] 최근 워너크라이 랜섬웨어를 비롯해서 다양한 형태의 사이버공격과 보안관리체계 미비로 인한 개인정보 유출 사고가 빈번하게 발생하면서 정부가 최소한의 정보보호 상태를 공인해주는 정보보호관리체계(ISMS)에 대한 중요성이 커지고 있다.
ISMS 인증기업이 2012년 152개에서 지난해 470개로 빠르게 증가했지만, 개인정보 유출 사고는 끊임없이 증가하고 있다. 특히 ISMS 인증을 받은 것으로 알려진 옥션, 인터파크, 네이트, KT, 카드3사(롯데, KB국민, NH카드) 등도 개인정보 유출 사고가 발생한 것으로 알려져 인증 제도에 허점이 있는 것은 아니냐는 논란이 제기되고 있다.
18일 국내 보안업계 따르면, ISMS는 해당 인증을 받았다고 하더라도 사용자의 개인정보나 기업의 중요 데이터를 안전하게 보호할 수 있는 정보보호관리 시스템을 완비했다는 것이 아닌 정부가 정한 정보보호를 위한 최소한의 절차를 이행했음에 불과하다. ISMS 인증을 받은 기업이라고 할지라도 개인정보 유출과 같은 사고에 예외가 될 수 없는 이유다.
또한 ISMS 인증 과정이 오래 걸리는 탓에 기업들의 인증 준비 기간에만 6개월이 소모되고 설사 인증에 바로 통과되지 않더라도 최대 90일간의 인증 보안 절차를 마련할 수 있는 추가 보안 조치 기간이 존재한다. 여기에 30일간의 인증 심사 보고서 작성과 위원회 심의·의결 과정을 고려한다면 보통 ISMS 인증을 받기까지 최대 9개월 이상이 소모되는 셈이다.
ISMS 인증 기관인 한국인터넷진흥원(KISA)의 지상호 KISA 보안인증지원단장은 "이같은 절차상의 문제로 기업들이 추가 보안 조치 기간인 3개월간 인증을 받기 위한 보안체계를 운영하고 그 이후에는 아무런 조치를 취하지 않더라도 기업이 인증을 받는데 문제가 없는 상태"라며 제도 개선 필요성을 주장했다.
ISMS 인증에 대한 종합적인 관리·감독을 하는 미래창조과학부와 인증제도를 운영하는 KISA는 그동안 제기된 ISMS의 문제를 해결하기 위해 '인증심사 절차'를 개선해 심사기간을 단축하고 '인증 심사원 전문성 확대' 등을 통해 인증 심사에 대한 신뢰성을 높이기 위한 논의를 진행 중이다. 이와함께 방송통신위원회가 운영하고 있는 유사한 정보보호 인증체계인 '개인정보보호관리체계(PIMS)'와의 통합 계획을 진행 중인 것으로 알려졌다.
ISMS는 정보통신망법 제47조 정보보호 관리체계의 인증에 관한 법령에 근거해 마련된 인증 제도다. 이는 금전적 목적의 랜섬웨어가 늘어가고, 지능형 지속공격(APT)에 형태의 사이버 공격이 심화됨에 따라 정부가 직접 나서서 기업들의 지속적인 정보보호 관리를 유도하기 위해 마련됐다. 특히 그동안 기업별로 제각각이었던 정보보호 관리체계를 통합해 전체적인 기업들의 기술적·물리적 보안 수준을 높이기 위함이다.
ISMS는 2003년 1월 25일 슬래머(Slammer) 웜(Worm) 바이러스로 인해 발생한 전국 인터넷 마비 사태에 따른 대처 방안 중 하나로 마련된 '정보보호 안전진단 제도'를 개선해 지난 2012년 시행됐다. 당시 개선된 내용에 따르면 정보통신망서비스제공자, 집적정보통신시설 사업자, 정보통신망서비스 제공자 중 매출액, 이용자수 등 일정 기준에 해당하는 기업·기관들은 정보보호 관리체계 인증 의무 대상이 됐다.
이후 정보통신기술(ICT)의 빠른 확산으로 정보통신망에 대한 의존도가 높고(인터넷 쇼핑몰, 포털, 게임) 개인정보 등 민감 정보를 다루는 기관(종합병원, 대학교)들이 정보보호 관리체계 인증 대상에서 제외되는 문제를 해결하기 위해 연간 매출액 또는 세입 등이 1500억 이상이거나 정보통신서비스 매출액 100억 또는 일일평균이용자 수 100만명 이상인 사업자나 기관들이 인증 의무대상에 포함되도록 지난 2015년 정보통신망법이 추가 개정되면서 현재의 모습을 갖춘 상태다.
ISMS는 보안업계에서 말하듯 기업이 고객 및 기업내 중요 정보를 완벽하게 보호할 수 있는 보안체계는 아니지만, 보안사고 발생을 미연에 방지가 가능한 최소한의 예방 대책이라고 할 수 있다. 하지만 의무 인증 대상 기업들을 제외하고 ISMS 자율 인증을 받는 기업이 많지는 않은 것으로 나타났다. 이는 인증 과정이 길고 복잡한 이유와 함께 인증을 위한 비용이 2억원 가량 발생하는 등으로 인해 기업들이 외면하고 있는 것으로 분석됐다. 심지어 KISA에 따르면 ISMS 의무 인증 대상의 경우에도 과태료가 3000만원에 불과해 인증을 받는 대신 과태료를 내는 경우가 늘고 있는 것으로 나타났다.
지상호 KISA 보안인증지원단장은 "지난해 30여개의 기업이 ISMS 인증 대상임에도 불구하고 인증을 받지 않아 과태료 처분을 받았다"며 "ISMS 인증 이후에도 매년 인증 재심사 및 갱신이 필요해 이 과정에서 추가 비용이 발생한다"고 전했다.
이어 "기업들이 ISMS 인증을 받기위해 시간과 비용을 소모하기 보다 과태료를 내는게 간단하다고 여기는 것 같다"고 꼬집었다.
KISA는 이같은 문제를 해결하기 위해 ISMS 인증 운영 절차 개선에 나설 계획이다.
먼저, ISMS 인식조사를 통해 수집된 결과를 바탕으로 인증 심사 신청 양식을 개선하고, 인증 심사 절차를 간소화할 방침이다. 특히 ISO 27001 인증이나 PIMS, 주요정보통신기반시설의 취약점 분석평가를 받았을 경우 인증 심사의 일부를 생략해 ISMS 인증을 받을 수 있게 된다.
또한 인증심사 공정성과 일관성 확보를 위해 인증심사 종료 후 심사 담당자 만족조 조사를 실시(6월부터 실시 예정)하고 인증심사 희망 일을 조사해 KISA가 심사를 받는 기업의 분야·심사 횟수·특성 등에 따라 심사 기관을 배정해 효율적이고 빠른 처리를 유도할 계획이다. 특히 ISMS 인증심사를 수행하는 4개기관(KISA, KAIT, TTA, 금융보안원)의 심사팀장 정기세미나를 확대하고 인증 교육 및 안내 등을 확대 운영한다.
여기에 미래창조과학부와 KISA가 운영하는 ISMS와 방송통신위원회가 운영하는 개인정보보호관리 체계인 PIMS가 기능과 목적이 개인정보보호라는 측면에서 유사해 이들을 통합하는 방안이 현재 미래창조과학부와 방송통신위원회, 행정자치부 등 관련 정부 부처간 협의를 진행 중으로 알려졌다. 이를 통해 빠르면 올해 중으로 KISA가 ISMS·PIMS 통합 인증 심사를 통해 중복 인증 문제를 해결할 수 있을 전망이다.
지상호 KISA 보안인증지원단장은 "ISMS 인증 기업 확대를 위해 인증 과정에서 발생하는 컨설팅 비용을 지원하고, 절차를 간소화 하는 등 활성화 방안을 다양하고 마련 중"이라며 "ISMS 인증을 통해 기업들의 최소한의 정보보호 관리 체계를 마련해 개인정보 유출 등 보안사고를 줄일 수 있도록 계속 지원해 나갈 것"이라고 전했다.