정보보호관리체계(ISMS)가 올해 도입된 지 15주년을 맞이했다. 그동안 기업, 기관들의 보안성을 높이는데 기여했다는 평가를 받지만 잡음도 계속되고 있다. ISMS 인증을 받은 기업이 해킹을 당하는 사례가 발생하기도 하고 분야별로 특화된 ISMS 도입 문제와 의무화 대상도 여전히 논란이다.

2002년 5월 정보통신부는 기업이나 기관의 정보자산 보호 체계 적합성을 인증하기 위해 ISMS 인증을 도입했다.

ISMS는 정보통신망법에 따라 정보보호 관련 관리절차, 운영체계 등 104개 항목 및 세부통제 항목에 대해 심사를 통과해야 받을 수 있다.

미래창조과학부가 ISMS 인증기관으로 지정한 한국인터넷진흥원(KISA), 금융보안원 등이 심사를 맡고 있으며, 인증은 3년의 유효기간을 지니며 이후에는 갱신 심사를 받아야 한다.

ISMS, 관리체계 강화 취지 주목

ISMS는 도입 초기 정보보호 기술이 아니라 관리체계를 점검하고 강화한다는 점에서 전문가들에게 주목을 받았다. 이에 따라 각종 보안 사고가 발생하고 대책이 나올 때 마다 ISMS의 의무화를 주장하는 목소리가 있었다.

한 때 ISMS는 2005년부터 시행된 정보보호 안전진단제도와 경쟁 또는 상호보완적 관계가 유지됐다. 2012년 정보보호 검증 제도의 일원화 논의가 이어졌고 정부는 일정 규모 이상 정보통신서비스사업자를 대상으로 의무 시행했던 정보보호 안전진단제도를 폐지하고 ISMS로 일원화하기로 했다.

이에 따라 2013년부터 일정규모 이상의 정보통신사업자들이 ISMS를 받게 됐다. KISA에 따르면 2017년 1월 기준으로 유지되고 있는 ISMS 인증은 431건이다.

인증을 받은 곳들도 정보통신사업자들뿐 아니라 게임사, 쇼핑몰, 교육업체, 병원, 금융사, 제조업체 등으로 다양해졌다. 최근에는 의무대상이 아닌 사업자들도 자사의 보안 수준을 점검하고 고객들에게 신뢰를 주기 위해 자발적으로 ISMS 인증을 획득하고 있다.

이런 성공의 이면에 ISMS를 둘러싼 논란도 계속되고 있다. 2016년 5월 인터넷 쇼핑몰 인터파크가 해킹을 당해 1030만명의 고객 정보가 유출되는 사고가 발생했다. 인터파크는 2013년 ISMS 인증을 받아 인증이 유지되는 상태여서 인증에 허점이 있는 것이 아니냐는 지적이 나왔다. 보안 업계에 따르면, 비단 인터파크뿐 아니라 ISMS 인증을 받은 기업, 기관에서 보안사고들이 있었던 것으로 알려지고 있다.

전문가들은 ISMS 자체 문제가 아니라 ISMS 인증 이후가 문제라고 지적하고 있다. 한 보안업체 관계자는 “ISMS를 받았다는 기업에 보안 점검을 갔는데 불편하다는 이유로 ISMS를 받을 당시와 달리 느슨하게 보안을 유지하고 있었다”며 “그러다보니 ISMS를 받고도 ISMS 규정을 어겨 보안 사고가 나는 경우가 있다”고 말했다.

이 관계자는 “문제는 이렇게 인증을 받을 때 보안을 철저히 하고 평소에 느슨하게 운영하다가 다시 인증을 갱신할 때 보안을 강화하는 곳들이 있다는 것”이라고 지적했다.

이런 문제를 막기 위해 중간 점검이나 상시적 또는 암행 점검도 고려해야 하지만 근본적인 문제는 기업들의 인식이라고 한다. 보여주기식 ISMS 인증 추진이 문제라는 것.

인증 대상 포함된 대학 반발

ISMS의 의무화 대상과 전문화된 ISMS 도입 문제도 논란이 되고 있다. 정보통신망법 시행령은 서울시 및 모든 광역시에서 정보통신망서비스를 제공하는 사업자, 정보통신서비스 부문 전년도 매출액이 100억 원 이상인 사업자, 전년도 말 기준 직전 3개월 간 일일 평균 이용자 수가 100만 명 이상인 사업자를 의무대상으로 한다.

그런데 지난해 5월 시행령 개정으로 연간 매출 1500억 원 이상인 상급종합병원 43개와 재학생 수 1만 명 이상 대학 37개가 새로 의무 대상에 포함됐다. 당초 금융기관을 포함하는 방안이 논의됐지만 금융위원회는 금융당국의 점검 내용과 ISMS 내용이 중복된다고 주장해 의무 대상에서 제외했다.

앞서 금융당국은 금융 ISMS를 독자적으로 만들어 인증하는 방안을 추진했었다. 하지만 미래부 주관의 기존 ISMS와 중복 문제가 규제개혁위원회 등에서 지적돼 금융 ISMS는 무산된 바 있다.

이에 대학교들은 인증 획득에 따른 비용 부담과 금융기관이 빠지고 자신들이 의무 대상이 된 상황을 문제 삼으며 반발하고 있다. 보안 전문가들은 대학이 예외가 될 수 없다고 비판하고 있지만 대학들은 교육 분야에 맞는 대체 인증까지 거론하며 강경한 입장이다.

한 보안 전문가는 “대학 나름의 특수성과 현실적인 어려움이 있을 수 있지만 보안을 강화하는데 예외가 될 수는 없다”고 지적했다.

반면 일반 기업 관계자는 “보안을 강화하는 취지는 이해를 하지만 특정 영역을 의무화하고 다른 영역을 자율에 맡기는 것은 논란의 소지가 있다”고 말했다.

이에 대해 미래부 관계자는 “병원도 의무화 논의 과정에서 반발했지만 보안을 강화하자는 취지에 공감해 의무화를 수용했다”며 “대학들과 논의를 통해 설득 작업을 계속하고 지원방안도 추진하겠다”고 말했다.

전문가들은 15주년을 맞아 ISMS의 발전 방향을 다시 고민해 봐야 한다고 지적하고 있다.

염흥열 순천향대 정보보호학과 교수는 “ISMS가 도입된 후 보안 강화에 기여했다고 생각하지만 일본이 같은 인증을 1만 곳 이상 받은 반면 한국은 아직 수 백 곳에 불과해 더 확산돼야 한다”며 “ISMS의 기존 틀을 유지하면서 금융, 의료, 교육, 국방 등 각 영역별로 필요한 내용을 반영해야 한다”고 말했다.

그는 대학 ISMS 도입과 관련해 “대학들이 대체 인증을 따로 만드는 것은 바람직하지 않다고 본다”며 “정부에서도 대학들의 현실을 반영해 ISMS 적용 범위를 조정하는 등 정부와 대학이 대화로 문제를 풀어야 한다”고 지적했다.

[테크M = 강진규 기자(viper@techm.kr)]

<본 기사는 테크M 제46호(2017년 2월) 기사입니다>