ISMS 인증 확대됐지만…개인정보 보호는 '구멍'

기업 1천곳 인증, 440억원 수수료 들였지만 정보 유출 지속
김장겸 "보안효과 없어…심사 방식 전면 개선해야"

[연합뉴스 자료사진]

(서울=연합뉴스) 박형빈 기자 = 잇따른 해킹으로 주요 기업의 개인정보 유출 사고가 발생하는 가운데, 정부의 정보보호 관리체계 인증 제도가 실효성 없이 기업의 비용과 인력만 낭비하게 만든다는 비판이 제기된다.

12일 관련 업계와 국회 과학기술정보방송통신위원회 소속 국민의힘 김장겸 의원실에 따르면 정부는 주요 기업에 정보보호 관리체계(ISMS) 인증을 의무화하고 있다.

올해 8월 기준 인증 의무 대상 기업은 568곳으로, 인증 유효기간은 3년이다.

기업들은 매년 사후 심사를 받아야 하고 한국인터넷진흥원(KISA), 금융보안원, 한국정보통신기술협회(TTA), 한국정보통신진흥협회(KAIT), 개인정보보호협회(OPA), 국가정보원 산업기밀보호센터(NISC) 등 6개 기관이 심사를 수행한다.

이들 기관의 심사 결과를 토대로 인증을 발급하는 KISA에 따르면 2021년부터 지난 8월까지 약 5년간 총 1천6개 기업이 인증(ISMS 806건·ISMS-P 256건)을 취득했다. 이는 법적 의무 대상의 1.7배로, 민간기업 967곳과 공공기관 39곳이 포함됐다.

인증 취득에는 상당한 비용과 인력이 투입된다.

최초 심사 수수료는 ISMS 평균 1천200만원, ISMS-P는 1천800만원 수준이며, 사후 심사에도 각각 평균 720만원과 1천만원이 든다. 최근 5년간 기업들이 납부한 심사 수수료만 440억4천700만원에 달한다.

그런데도 대규모 개인정보 유출 사고는 끊이지 않고 있다. 인증을 보유한 기업에서 사고가 발생해도 인증이 취소된 사례는 단 한 건도 없었다.

기업들은 인증 취득을 위해 내부 인력을 투입해 수천 장의 문서와 자료를 준비해야 하며, 실제 보안 강화보다 '인증 통과'에 초점이 맞춰지는 구조라고 토로한다.

인증심사가 실제 보안 역량을 검증하기보다 '체크리스트' 위주의 형식적 점검에 그친다는 지적도 있다. 최신 해킹 기법이나 지능형 공격에 대한 대응력은 평가하지 못한 채 심사일 기준 최소 요건 충족 여부만 확인하는 구조라는 것이다.

매출 100억 원 규모의 중소기업부터 수조 원대 대기업까지 전담 부서·인력·매뉴얼 보유 여부 등 동일한 기준으로 심사하는 점도 문제로 지적된다.

김장겸 의원은 "수백억 원의 비용과 많은 인력이 보안인증 준비에 소요되고 있지만, 정작 국민 개인정보 보호와 해킹 방지에는 효과가 없다"며 "보안 인증이 기업의 행정 부담과 사회적 비용으로 전락하지 않도록 정부와 인증기관은 심사 방식을 전면적으로 개선해야 한다"고 강조했다.

binzz@yna.co.kr

▶제보는 카톡 okjebo