“ISMS는 건강검진일 뿐”… 해킹 못 막은 보안 인증 [韓 보안 불감증]

SKT 해킹 이후 보안 인증제 실효성 논란 재점화
ISMS 보유했지만 인증 범위 내 서버 뚫려
정부 “심사 강화 등 개편 검토”… 법 개정 가능성도
전문가 “인증은 진단일 뿐, 만능 아니야”
보안 업계 “사후 대응 체계까지 평가해야”

(사진제공=한국인터넷진흥원)

SK텔레콤 해킹 사태를 계기로, 국내 정보보호인증제도(ISMS)의 실효성 논란이 다시 불거졌다. 이에 정부도 제도 개편을 검토 중이다. 업계는 제도 개편 필요성에는 공감하지만, ‘제도 만능주의’에 대한 경계도 필요하다고 지적한다.

9일 관련 업계에 따르면, 사이버 침해 사고 당시 SKT는 ISMS 2개와 ISMS-P 1개를 보유하고 있었다.

ISMS는 기업이나 기관이 해킹, 내부자 유출, 시스템 장애 등 정보보호 위협에 잘 대비하고 있는지 평가하는 인증제도다. 위험 관리, 사고 예방 및 대응, 재해 복구 등 80개 항목을 이행해야 한다. 여기에 개인정보보호 기준 21개를 추가한 것이 ISMS-P다. 개인정보 수집·이용 동의 절차나, 민감정보·고유식별정보 처리 여부, 개인정보 파기 및 제3자 제공 등의 관리 절차 등이 포함된다.

국회 입법조사처는 최근 보고서를 통해 ISMS의 실효성에 문제를 제기했다. 입법조사처는 "2014년 KT 해킹 사고 당시에도 해당 인증제도가 유명무실하다는 비판이 제기됐고, 2023년 LG유플러스 해킹 사고 당시에는 개인정보 유출에도 해당 기업의 인증이 취소되지 않고 유지되는 것에 대한 문제가 나왔다"며 "이번 SKT 해킹 사태에서도 인증 기준상 요구되는 절차가 실제 현장에선 제대로 작동하지 않았으며, 큰 비용과 시간을 들여 유지한 인증 체계가 정작 해킹 방어와 초기 대응 실패로 이어졌다"고 비판했다.

업계도 제도 개편의 필요성에 공감하는 분위기다. 보안 업계 관계자는 "단순히 체크리스트를 통과하면 인증을 부여하는 형식적인 절차를 벗어나 기업의 보안 체계가 실제로 잘 작동하고 있는지를 중점적으로 평가해야 한다"며 "기업의 특성과 비즈니스 환경을 고려한 위협 분석 및 대응 체계 구축 여부를 자세히 평가한다면, 제도의 본래 취지에 더욱 부합하는 효과를 기대할 수 있을 것"이라고 말했다.

이에 정부는 ISMS 개편을 검토 중이다. 과학기술정보통신부 관계자는 "제도 개편을 검토하고 있다. 심사를 강화하는 식으로 고려 중"고 했다. 고학수 개인정보보호위원장도 "ISMS-P는 데이터 관리 시스템을 두고 있는지 평가하는 것이기 때문에 침해 방지 시스템까지 포괄적으로 보도록 개선하는 방향도 생각 중"이라며 "이는 법률 개정까지 필요한 사안이라 구체적인 논의를 이어갈 예정"이라고 말한 바 있다.

다만, 전문가는 '제도가 만능'이라는 안일한 인식은 배격해야 한다고 지적했다. 박춘식 아주대 사이버보안학과 교수는 "ISMS를 취득하는 건 건강검진을 받는 것과 같다. 건강검진은 현재 몸 상태에 대한 진단인 거지, 앞으로의 몸 상태를 예측하는 건 아니지 않으냐"며 "ISMS도 마찬가지다. 이걸 취득했다고 해서 앞으로의 보안도 완벽하다는 걸 보장할 수 없다"고 설명했다. 이어 박 교수는 "ISMS의 개편은 물론 필요하지만, 이 인증을 만능인 것처럼 이해해선 안 된다"고 덧붙였다.

다른 보안 업계 관계자도 "SKT 해킹 사태에서 드러난 건, ISMS의 사후 대응 체계가 무용했다는 점"이라며 "인증 획득이라는 ‘결과’에 머물러 있는 것 같다. 그것도 기업의 사업 가산점, 행정 혜택을 위한 것"이라고 했다.