국회 과방위 이해민 조국혁신당 의원
사고 23일 전 KISA로부터 인증 취득
인증 심사 '형식적 통과' 아니냐는 지적도

지난달 27일 대전 유성구 국가정보자원관리원 화재 현장에서 소방당국 관계자들이 소실된 리튬이온배터리에 대한 반출 작업을 하고 있다. 대전=뉴스1

<이미지를 클릭하시면 크게 보실 수 있습니다>

9월 26일 발생한 화재로 데이터 소실과 행정서비스 중단이라는 전산 마비를 가져온 국가정보자원관리원(국정자원)이 사고 직전 한국인터넷진흥원(KISA)의 정보보호관리체계(ISMS) 인증을 통과한 것으로 확인됐다. ISMS는 '재해 복구' 항목을 포함하고 있는데 인증을 통과한 국정자원 대전센터에서 복구에 심각한 허점이 드러나면서 인증 제도의 실효성에 근본적 문제가 있다는 지적이 나온다.

10일 국회 과학기술정보방송통신위원회 소속 이해민 조국혁신당 의원에 따르면 국정자원은 사고 23일 전인 9월 3일 KISA로부터 ISMS 인증을 받았다. 국정자원 대전·광주·대구 센터 운영 및 국정자원 개인정보시스템을 대상으로 하는 인증으로 그 기간은 2028년 9월 2일까지 3년이다. 국정자원은 행정안전부 소속 정부기관이어서 민간 부문의 ISMS 인증 의무 대상이 아니지만 자율적으로 인증을 신청했다.

ISMS 인증에는 △재해·재난 대비 안전조치(재해 유형 식별, 복구 목표 시간 정의, 복구 계획 수립·이행) △재해 복구 시험 및 개선(복구 시험 계획·실시, 정기적 검토와 보완), △백업 및 복구 관리(백업 대상·주기·방법, 복구 절차·정기적 복구 테스트) 등 재해 복구가 필수적으로 포함되어 있음에도 실제 사고에서는 제대로 작동하지 않았다고 이 의원은 지적했다. KISA는 각 기관이 낸 자료와 실사를 바탕으로 ISMS 인증을 발급하지만 인증 심사가 형식적 통과가 아니냐는 비판이 나오는 지점이다.

이 의원은 "이중화·이원화는커녕 백업도 제대로 하지 않은 상황임에도 이러한 재난·재해 대비 수준을 '적정'하다고 판정해준 ISMS 인증 제도를 과연 어디까지 신뢰할 수 있을지 심각한 의문이 든다"며 "정부는 형식적 인증 건수 늘리기에 급급할 것이 아니라 실제 보안, 재해 복구 수준을 담보할 수 있는 근본적인 개선책을 시급히 마련해야 한다"고 지적했다.

김진욱 기자 kimjinuk@hankookilbo.com