SKT·KT·롯데카드 개인정보 유출 여파…‘ISMS 인증=보안 튼튼’ 실효성 의구심

정보보호 실질 투자 대신 ‘인증’ 활용
형식적 요건 갖춘뒤 ‘면피’수단 삼기도

게티이미지뱅크

최근 해킹 및 개인정보 유출 사고를 겪은 SK텔레콤·KT·롯데카드 등 주요 기업들이 모두 보유하고 있던 ISMS(정보보호 관리체계)와 ISMS-P(정보보호 및 개인정보보호 관리체계) 인증의 실효성에 대한 의문과 함께 ‘무용론’까지 제기되고 있다.

전문가들은 ISMS와 ISMS-P 인증이 기본적인 사이버 보안의 최소 기준으로서 제도 자체는 유지돼야 하지만 이를 ‘실제 보안 역량의 증명’이 아닌 형식적인 외형 요건으로만 활용하려는 기업들의 접근 방식이 문제라고 지적한다. 결국 ‘ISMS-P 인증은 마치 면허증 같지만, 그 면허가 실제로 운전을 잘한다는 보장은 아니다’라는 말처럼 ‘활용하는 태도’가 문제라는 것이다.

ISMS는 기업이나 기관이 보유한 정보 자산을 안전하게 보호하기 위해 수립한 관리체계가 적절히 운영되고 있는지를 평가하는 제도다. 정보의 기밀성, 무결성, 가용성을 유지하기 위한 기술적·관리적·물리적 보호조치가 체계적으로 마련돼 있는지를 심사한다.

ISMS는 총 80개 심사 기준으로 구성된다. 관리체계 수립 및 운영(16개 항목), 보호대책 요구사항(64개 항목)으로 나뉘며, 인증을 통해 조직의 보안 수준을 일정 수준 이상으로 끌어올리는 것을 목표로 한다.

여기에 개인정보보호 요소를 통합한 확장 개념이 ISMS-P다.

개인정보의 수집, 이용, 보관, 파기 등 전 과정에서 보호 조치가 이뤄지는지를 평가하며 개인정보를 대규모로 처리하거나 민감 정보를 다루는 기관·기업 등이 주 대상이다. 기존 ISMS와 PIMS(개인정보보호 관리체계 인증)를 통합해 2018년부터 시행되고 있다.

ISMS-P는 ISMS의 80개 기준에 더해 개인정보보호법 기반의 21개 기준이 추가돼 총 101개 항목으로 구성된다. 정보보호에 더해 개인정보보호까지 포괄해야 하므로 더 높은 수준의 통합 인증 제도로 평가된다.

이들 인증을 받은기업은 공공 입찰 가산점이나 보험료 할인 등 일부 인센티브도 받을 수 있다.

문제는 기업들이 정보보호에 대한 실질적인 투자 없이 ISMS 인증을 일회성 이벤트처럼 활용하고 인증 이후에는 보안 시스템 유지·강화에 손을 놓는 사례가 반복되고 있다는 점이다. 형식적인 문서 요건만 갖춰 ‘인증받은 기업’ 타이틀을 확보한 뒤 이를 면피 수단으로 삼는 행태가 만연한 상황이다.

임종인 고려대학교 정보보호대학원 교수는 최근 사고를 겪은 롯데카드 사례를 대표적인 경고 신호로 들었다.

임 교수는 “이 회사는 ISMS-P 인증을 획득했지만, 실제로는 민감 정보를 평문으로 저장하고 있었고 2017년에 발견된 취약점을 8년 가까이 방치한 서버가 해킹 경로로 활용됐다”면서 “이처럼 인증 자체가 보안 취약점을 덮는 방패처럼 오용된다면, 제도의 신뢰도는 더 이상 유지되기 어렵다”고 지적했다.

이에 따라 인증 자체를 목표로 삼는 접근이 아닌, 기업 스스로 정보보호를 비용이 아닌 경쟁력의 일부로 인식하는 문화와 생태계 조성이 함께 뒷받침돼야 한다는 설명이 나온다.

예컨대, 우수한 보안 역량을 갖춘 기업에는 세제 혜택이나 정부 조달 우대 등 실질적인 인센티브를 제공하고 반대로 사고를 반복하거나 관리 소홀로 피해를 유발한 기업에는 징벌적 과징금과 민사상 책임 강화 등 사후 책임 구조를 명확히 해야 한다는 목소리도 커지고 있다.

이예린 기자