[ISMS②] ISMS, 보안사고 방패막 아니다
상태바
[ISMS②] ISMS, 보안사고 방패막 아니다
  • 김선애 기자
  • 승인 2017.05.23 15:11
  • 댓글 0
이 기사를 공유합니다

ISMS 인증 취득 후 운영 과정 중요…인증심사원 만성 부족 문제 해결해야

정보보호관리체계(ISMS)는 민감한 정보를 가진 기업/기관이 정보보호 체계를 수립하고 유지하는지 여부를 심사하고 평가하기 위한 것이지만, 실제로는 ‘규제준수’에만 급급한 상황이다. 만성적인 심사원 부족, 하반기에 집중되는 심사 요청, 가짜 증적자료를 구분해내지 못하는 점 등은 한계로 꼽혔다. 또한 지난해 대학이 ISMS 인증에 대한 집단 보이콧에 나서면서 부정적인 인식은 더욱 높아졌다. 그러나 올해 대학의 반발이 다소 누그러지는 한편, 기업/기관의 인식도 개선되는 분위기다.<편집자>

ISMS 인증 수요 꾸준히 늘어

ISMS는 2002년부터 시행된 정보보호 안전진단 제도를 폐지하면서 2012년 정보통신사업자 등을 대상으로 규제가 시행됐고, 2013년 의무화를 적용받게 됐다. 지난해 시행된 개정안으로 인증 의무 대상이 크게 늘어났다.

초기에는 법 규정이 애매해서 인증의무 대상인지 여부를 판단하지 못한다는 지적도 있었으며, 통제항목만을 만족하면 된다는 생각에 체크리스트만으로 인증을 획득하고자 했다. 컨설팅 등 전문기관의 도움 없이 기업 내 자체 역량만으로 해결하려는 모습도 상당수 보였으며, 인증에 소요되는 비용보다 과태료가 더 싸다며 차라리 과태료를 내겠다는 주장도 있었다.

그동안 정부가 적극적으로 ISMS 인증을 유도하고 인증 수수료 감면 등의 혜택을 부여하면서 인증을 획득하는 기업들이 늘어나기 시작했다. 사이버 공격이 빈번하게 발생하면서 ISMS 인증조차 받지 않으면서 침해사고를 당한 기업에 대한 비난 여론이 거세지자 인증획득에 속도를 높이는 조직도 늘어났다. 의무대상이 아닌데도 인증을 획득해 기업 신뢰도를 높이고자 하는 곳도 꽤 많은 편이다.

황병남 에이쓰리시큐리티 상무는 “대규모 개인정보 유출 사고가 연이어 발생하면서 보안에 대한 인식이 향상되고 ISMS 인증에 대한 전향적인 태도로 트렌드가 바뀌었다. 특히 보안사고시 경영진의 책임을 강력하게 묻는 방식으로 규제가 정해지면서 경영진의 보안 인식이 많이 달라졌다”며 “최근 발생하는 침해사고의 절반 이상이 관리 소홀을 틈탄 외부해킹으로 인해 발생하고 있다. 정보관리 체계 안에서 필수적인 정보보호 활동을 체계화 한 ISMS의 필요성에 기업/기관이 동의하고 있는 것”이라고 설명했다.

ISMS 인증 수요가 늘어나면서 컨설팅 업계의 기대도 높아지고 있다. 초기에는 기업/기관이 자체적으로 ISMS를 준비했지만, 업무에서 상시적으로 보안 통제 항목을 지키고 증적 자료로 남길 수 있도록 체계화하기 위해서는 전문 컨설팅이 도움이 된다는 것을 이해하게 됐기 때문이다.

인증 의무 기관 늘며 컨설팅 시장 ‘활황’ 기대

2013년 최초 인증을 받은 기업들은 2014년과 2015년 사후 심사를 완료하고, 2016년 재인증을 받아야한다. 또한 병원·대학 등 새로운 의무대상 기업이 추가되면서 컨설팅 시장이 활황을 이룰 것으로 기대했다.

그러나 지난해 대학의 집단 반발과 함께 ISMS 인증 심사원 발탁 기준이 까다로워지면서 심사 일정이 원활하게 진행되지 않았고, 인증심사 대기 기간이 길어지면서 업계에서 기대한 수준으로 시장 규모가 커지지는 않았다.

ISMS 인증 심사원의 경우, 기존에는 심사원 자격 기준이 느슨해 자격미달인 심사원도 대거 채용해 인증 심사를 제대로 진행하지 못했다. ISMS 인증 신청만 하면 통과하게 되어 규제만을 위한 규제라는 비판을 면하지 못했다. 그래서 심사원 자격 검정 제도를 만들어 시험을 통과해야 자격을 유지하도록 했다. 시험에 응시할 수 있는 사람은 정보보호 또는 정보기술 관련 6년 이상이 경력이 있어야 하며, 필기전형과 실기전형을 거쳐야 한다.

또한 지난해 신규 의무대상 기업의 경우 준비기간 부족 등의 이유로 지난해 말까지 인증을 못 받은 기업은 올해 말까지 인증 기간이 미뤄지면서 올해 인증심사 신청이 더욱 늘어날 것으로 보이며, 컨설팅 수요도 늘어나고 있는 상황이다.

컨설팅 수요는 5~6월에 가장 많은 편인데, 연말까지 인증을 획득하기 위해서는 상반기 중 컨설팅을 완료하고 정책과 시스템을 구비해 인증을 신청해야 연말에 인증서를 받을 수 있기 때문이다. 그러나 마지막에 급하게 인증을 받고자 하는 기업도 만아서 하반기까지도 컨설팅 수요는 꾸준히 늘어날 것으로 보인다.

ISMS 인증 받아도 운영 소홀하면 위험

ISMS 의무 대상 기업들은 제대로 된 정보보호 관리체계가 필요하다는 것을 인정하며 이를 강제하는 규제에 대해서도 동의하는 입장이다. 그러면서도 담당자에게 인증 업무가 부담스러운 것은 사실이라는 의견을 조심스럽게 드러내기도 한다.

ISMS는 기업/기관에 필요한 정보보호 관리과정 12개, 정보보호 대책 92개 등 총 104개 통제항목에 대한 적합성을 판단해 인증을 부여한다. 인증을 획득한다 해도 1년 후 사후 심사를 받아야 하며, 인증 획득 후에도 관리항목이 제대로 통제되고 있다는 사실을 입증 받아야 한다. 3년 후에는 재인증을 받아야 한다.

ISMS 인증을 위해서는 가장 먼저 컨설팅 혹은 자체 점검을 통해 ISMS 심사기준 104개 통제항목을 만족하는지 점검한 후 인증기관인 KISA에 신청 접수한다. 접수 후 바로 인증심사가 사직되는 것은 아니고, 인증 상담과 예비 점검을 거친 후 인증심사 계약을 하고 서면과 기술 심사가 시작된다. 심사 기간 중 통제항목을 만족하지 못하는 부분에 대해서는 최대 90일 내에 보완할 수 있도록 하며, 보안조치가 확인되면 다시 심사해 인증위원회의 심의·의결을 거치게 된다.

1년 후 사후심사 시, 그동안 통제항목이 잘 지켜졌는지 증명해야 하는데, 많은 경우 업무 편의를 위해 보안정책을 지키지 않고 있다가 가짜 증빙서류를 만들게 된다. ISMS의 취지대로 상시 보안 정책이 유지돼야 하지만, 현업에서는 정책을 잘 지키려하지 않고 보안팀은 이를 제재할 권한이 없다.

이러한 현실을 지적하며 ISMS는 유명무실한 규제라고 비판하는 의견도 있다. ISMS에서 정한 통제항목만을 지키면 되며 ISMS 인증을 받았다고 해서 침해사고를 당하지 않는 것도 아니기 때문이다. 대표적인 예로, 인터파크는 ISMS 인증을 받은 기업이지만 지난해 대규모 개인정보 유출사고를 당했다.

지상호 KISA 보안인증지원단장은 “ISMS 인증을 받았다고 해서 사고가 나지 않는 것은 아니다. 알려지지 않은 취약점을 이용한 공격을 막는 것은 ISMS 인증으로 해결할 수 있는 것이 아니다. 특히 많이 발생하는 사고는 ISMS 인증 획득 후 운영과정이 소홀해 발생하는 것이기 때문에 상시적으로 철저한 통제와 관리가 중요하며, 이는 ISMS가 가장 중점을 두는 것”이라고 강조했다. 



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.