[디지털데일리 김보민기자] 윤석열 정부가 '불필요한 부담 경감'을 명분으로 정보보호관리체계(ISMS) 제도를 간소화했다는 지적이 제기됐다. 올해 통신사를 비롯해 대형 보안사고가 이어진 만큼, 보안 인증에 대한 대대적인 개편이 필요하다는 의견도 나왔다.

국회 과학기술정보방송통신위원회 조인철 의원(더불어민주당)이 과학기술정보통신부로부터 제출받은 자료에 따르면, 윤석열 정부가 ISMS 제도를 완화하던 당시 민간기업을 겨냥한 해킹 피해는 급증했다.

2021년 문재인 정부 시기와 비교하면 민간기업 해킹은 3배, 중소기업 피해는 3배, ISMS 인증기업 피해는 16배 늘었다. 당시 윤 정부는 기업 부담을 완화하기 위해 사후심사 과정에서 현장심사를 최소화하고 간편인증제를 도입했다.

ISMS는 정보보호를 위한 조치와 활동이 인증기준에 적합한지를 증명하는 제도다. 다만 최근 SK텔레콤 해킹, KT 소액결제 사태가 이어지면서 ISMS 제도가 보안사고를 예방할 수 있는 수단이 될 수 없다는 지적을 받았다. 대형 보안사고가 발생한 기업 모두 보안 인증을 획득했지만, 실제 사고를 막는 데 어려움을 겪었기 때문이다.

현행 제도가 기업 규모와 산업별 위험도를 고려하지 않고 모든 인증 대상에 동일한 기준을 적용한 점도 문제점으로 꼽혔다. 사후 검증 절차가 없어 침해 사고가 발생하더라도 인증기관이나 심사기관이 해당 기업 보안 체계를 재점검하거나 심사 단계에서 간과된 항목을 분석하기 어렵다.

조 의원은 간편인증제 도입 이후 상황이 악화됐다고 강조했다. 의원실에 따르면 올해 상반기 기준 민간기업 전체 침해사고와 중소기업 피해 건수는 지난해보다 50% 증가했다. 같은 기간 ISMS 인증기업의 침해사고 비율도 75%를 상회했다.

조 의원인 지난 7월 '정보통신망 이용촉진 및 정보보호 등에 관한 법률' 개정안을 대표 발의했다. 개정안은 고위험 산업군 차등화 인증기준을 도입하고 정보보호 위반이 있을 경우 인증취소 근거를 신설하는 내용을 담고 있다. 재인증을 이행하지 않을 경우 과징금을 부과하고, 정보보호 예산과 인력을 확보하는 것을 의무화하는 개편안을 포함하고 있다.

조 의원은 "ISMS 제도를 총괄 감독해야 할 과기정통부의 무책임과 제도의 실질적 운영을 책임지는 한국인터넷진흥원(KISA)의 소극적 대응이 제도 부실의 본질"이라며 "보안은 기술이 아닌 국민 안전의 문제다. 형식적 인증을 넘어 실질적 보안 체계를 구축해야 한다"고 말했다.

- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -