[디지털데일리 김보민기자] KT와 롯데카드에서 발생한 해킹 사고를 계기로 '정보보호 및 개인정보보호 관리체계 인증(ISMS-P)' 제도를 개선해야 한다는 목소리가 높아지고 있다. 인증 범위에 대한 사각지대를 해소하고 제도 실효성을 높여야만 대규모 해킹 사고와 같은 피해를 예방할 수 있다는 지적이다.

보안업계에서는 ISMS-P 인증만으로 모든 해킹사고를 예방할 수 있을 것이라는 편견을 먼저 버려야 한다고 입을 모은다. ISMS-P 인증의 경우 기업의 중요 자산의 정보보호 관리 체계를 점검하는 수단이라, 인증을 받았다고 해서 모든 유형의 해킹을 막을 보증서를 획득한 것이 아니라는 취지다. 국제표준을 기준으로 부여하는 해외 인증과 비교해봐도, '100% 해킹 방어'를 담보하는 제도가 없다는 의견도 나온다.

다만 그간 기업이 보안사고가 발생할 때마다 ISMS-P 인증을 면피 수단으로 악용한 만큼, 제도적 차원에서 보완 작업을 본격화해야 한다는 점에는 이견이 갈리지 않는 분위기다. 중요도가 높은 서비스 영역에 인증 범위를 강화하고, 통신을 넘어 의료 등 각 산업에 특화된 기준 또한 마련될 필요가 있다는 의견이 제기된다.

◆ 'ISMS-P 구멍' 부각…"제도 자체가 유명무실? 비판 적절치 않다"

현재 국회에서는 최근 일어난 보안사고를 계기로 ISMS-P 제도의 존재 가치에 의문을 던지는 목소리가 나오고 있다. ISMS-P는 개인정보보호위원회(이하 개인정보위)가 주관하는 개인정보보호 관리체계로 한국인터넷진흥원(KISA) 관리·감독을 맡는다. 금융권에서는 금융보안원이 보안 전문기관으로 금융회사 ISMS-P 인증을 담당하고 있다.

KT의 경우 이번 사고의 침투 경로로 꼽힌 '펨토셀'이 ISMS-P 인증의 사각지대에 있었다는 지적을 받고 있다.

국회 과학기술정보방송통신위원회 소속 조국혁신당 이해민 의원실이 KISA로부터 제출받은 자료에 따르면 펨토셀은 ISMS-P 인증 범위에 빠져있었다. 제도 안내서에는 정보통신망서비스제공자(ISP)가 받아야 하는 ISMS-P 인증 범위에 IP 기반 인터넷 연결을 위한 정보통신설비나 서비스를 제공하기 위한 설비가 포함돼 있지만, 펨토셀과 무선기지국은 실제 인증 심사에서 누락된 것으로 나타났다. 이해민 의원은 "해킹 피해를 본 기업은 ISMS-P 인증을 받은 곳이고 현실과 동떨어진 인증 기준과 기업 자율에 맡긴 형식적인 검토로는 보안 수준을 높일 수 없다"고 비판했다.

롯데카드도 ISMS-P 인증으로 뭇매를 맞고 있다. 롯데카드의 경우 지난 7월 ISMS-P 인증을 받은 후 약 한 달이 지난 시점에 고객정보 유출 사고가 발생했다. 지난 24일 국회에서 열린 과학기술정보방송통신위원회 해킹사고 청문회에서도 ISMS-P 실효성에 대한 질타가 이어졌다. 이에 조좌진 롯데카드 대표는 "광범위한 형태의 인증 범위를 가지고 있는 것은 사실이나, 실제 모든 항목에 대한 점검을 실시하는 것은 아니다"라고 답하며 책임을 인정하기도 했다.

보안업계에서는 이번 해킹 사고를 계기로 보안 인증에 대한 중요성이 부각된 점은 긍정적이나, ISMS-P 제도 자체가 유명무실하다는 평가에 대해서는 반대하는 입장을 보이고 있다.

ISMS-P 인증심사원으로 활동하는 보안업계 관계자는 "해킹을 100% 방지할 수 있는 국내 인증도, 해외 인증도 없다"며 "인증을 받는 기업의 입장에서 봤을 때, ISMS-P·ISMS(정보보호 관리체계 인증)에 대한 인증 수준은 해외 대비 높은 편"이라고 전했다.

이어 "일례로 국제표준화기구(ISO) 등 해외 인증의 경우 심사 대상을 '고객'으로 보지만, 국내 제도는 '감사' 측면에서 심사를 진행한다"며 "해외 인증은 인터뷰를 중심으로 이뤄지고, 국내처럼 현장에서 데이터베이스(DB)를 직접 확인하는 깊이(Depth)까지 가지 않는다"고 말했다. 그러면서 "인증심의위원회를 별도로 두고, 객관적인 제3자가 인증 결과를 검토하는 작업도 있다"며 "제3자에서 인증을 보증하는 제도는 없다"고 부연했다.

이번 사태로 보안 인증과 투자에 대한 회의감을 느끼는 기업이 늘어날 수 있다는 우려도 제기된다. ISMS-P 인증심사원으로 활동하는 한 정보보호최고책임자(CISO)는 "오래 전부터 보안 투자를 늘려야 한다는 의견이 제기됐지만, 이러한 인증이 나오기 전까지는 사실상 이를 장려할 방법이 마땅치 않았다"며 "제도의 존재 이유까지 논하는 목소리도 나오는데, 이는 적절하지 않은 지적"이라고 말했다. 이어 "ISMS-P 제도 자체를 비판하기보다는 현실적인 개선 방안은 무엇인지, 질타보다는 대안이 필요한 시점"이라고 강조했다.

◆ 자산 식별·산업별 특성 고려한 제도 개선 필요…예산은 여전히 숙제

보안업계는 이번 사태를 반면교사 삼아, ISMS-P 등 국내 보안인증 제도의 내실을 다져야 한다고 입을 모은다. "보안인증을 받았으니 우리는 안전하다"는 면피 또한 내세우지 못하도록 방향성을 잡아야 한다는 의견도 있다.

보완 요소로는 ▲자산 식별 구체화 ▲산업별 특성 고려가 꼽히고 있다. KT와 SK텔레콤 사태의 공통점은 모두 개인정보 등 유형관리를 비롯한 자산 식별을 명확히 하지 못했다는 취지다. 펨토셀과 같이 중요도가 높은 서비스 영역을 인증 범위에 포함시키는 방향의 대책이 필요하다는 것이다.

통신·금융뿐만 아니라 사이버 공격에 취약한 산업의 특성을 고려한 제도 개편이 필요하다는 의견도 나온다.

의료 분야 보안 담당자는 상급종합병원을 대상으로 ISMS-P 인증 의무화를 추진하는 것에 대해 "병원 현장의 정보보호 체계는 아직 형식적인 관리 수준이지, 개인정보보호에 구조적으로 취약한 실정"이라며 "인증심사 기준을 산업화 특수에 맞게 차등하고, 정보보호 전담조직 등 정책적 지원도 필요하다"고 말했다.

또 "병원의 경우 의료진뿐만 아니라 환자 이송 인력까지 모두 환자 정보를 다루는 '개인정보취급자'나 마찬가지"라며 "그 규모에 맞는 인증 범위가 필요한데, (의무화 이전) 다른 업계와 차별화된 특성을 고려할 필요가 있다"고 강조했다.

예산 한계 또한 넘어야 할 산이다. KISA는 ISMS-P 인증 범위에서 펨토셀이 누락된 것과 관련해 "인력과 예산의 한계로 코어망 중신으로만 (심사가) 이뤄지고 있다"며 "무선기지국은 중앙전파관리소가 관리하기 때문에 범위에 포함되지 않는다"고 밝힌 바 있다. 기업 또한 ISMS-P 인증을 받기 위해 담당 인력이 1~2개월씩 상주하며 심사 비용을 부담해야 하는데, 이에 대한 한계 또한 큰 것으로 전해진다. 심사 규모 대비 기간이 짧아 샘플링 조사에 그치는 경우도 있다.

한편, 개인정보위와 KISA는 인증 실효성을 강화하기 위한 대책을 마련할 전망이다. 개인정보위는 이달 '개인정보 안전관리체계 강화 방안'을 통해 ISMS-P 인증제도를 강화한다고 발표했다. 신종 해킹기법을 고려해 취약점 점검, 모의해킹 등 현장 심사를 중심으로 인증 체계를 고도화한다는 구상이다. 아울러 사고 기업을 대상으로 사후 관리를 강화하고, 공공시스템 및 이동통신서비스를 대상으로 단계적 의무화 등 개선을 추진할 방침이다.

이외 보안 인식 개선과 내부 통제를 강화하기 위한 방안도 추진한다. 특히 개인정보보호 분야 투자에 대한 최소 기준을 명확화하고, 최고경영자(CEO) 및 개인정보보호책임자(CPO) 중심 내부통제를 강화할 계획이다. 다크웹 등 유통 정보를 분석해 2차 피해를 예방하기 위한 방안도 마련한다.

- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -