기업 내부 정보보호 관리체계를 심사해 부여하는 국제표준 정보보호인증인 ISO27001이 무용지물인 것으로 나타났다. 사상 초유의 고객정보 유출 사태를 일으킨 금융사 모두 ISO27001 인증을 획득, 대대적으로 홍보한 금융사들이다. 이들은 인증 획득 홍보에만 신경썼을 뿐 사후 상시 정보보호 관리체계를 유지하지 않아 이번 사건을 키운 배경이 됐다.
22일 금융권과 인증기관에 따르면 국민은행·농협·롯데카드 모두 내부 정보보호 관리체계가 완벽하다고 평가를 받아 ISO27001 인증을 획득했다. 정보유출의 발단이 된 개인신용평가사 코리아크렛딧뷰로(KCB)도 ISO27001 인증을 받았다.
국민은행은 지난 2009년 안철수연구소(현 안랩)로부터 전사 IT서비스 분야 ISO27001 인증 컨설팅을 받았다. 이후 IT서비스 전 부문에 ISO27001 인증을 획득했다.
당시 국민은행은 노르웨이인증원(DNV)으로부터 공개키기반구조(PKI)·지문인증, 통합계정·권한 관리, IT서비스관리, 품질관리, 변경·형상관리, 위험관리, 보안관제 등 전반에 걸쳐 심사를 받았다. 국민은행은 인증 획득은 과감한 투자와 전사적 노력의 결실이라며 보도자료를 배포, 대대적으로 홍보했다. 이후 2010년 6월 국민은행 시스템에서 KB국민카드 시스템이 분리됐다.
농협도 인터넷뱅킹을 포함, 전사 업무 대상 ISO27001 인증을 2007년 9월 획득했다. 농협은 시큐아이닷컴과 함께 주요 정보자산에 대한 보안현황 점검과 위험평가, 대책 적용과 모니터링 등 지속발전 가능한 정보보호 경영 프로세스를 수립했다. 인터넷뱅킹, 포털, 쇼핑, 금고업무 등 전 부분을 대상으로 ISO27001 인증을 획득했다.
롯데카드도 지난 2008년 전자금융거래 대상 ISO27001 인증을 받았다. 당시 보안정책, 위험관리 등 11개 영역, 133개 항목에 평가를 받았다. 정보유출의 발단인 KCB도 ISO27001 인증을 획득, 내부 정보보호 체계가 완벽하다고 평가받았다.
국제표준 정보보호 인증을 획득했지만 개인정보가 유출된 것은 대부분 인증 획득에만 매몰됐기 때문이다. 인증 획득 후 지속적인 사후관리가 이뤄지지 않아 보안체계가 유지되지 않은 것이다. 매년 인증 대행기관에서 사후심사를 받지만 1년에 한 번 정도여서 상시 정보보호 체계를 평가하기는 어렵다.
인증 대행사가 난립해 있는 것도 문제다. 현재 국내 인증 대행사는 6개다. 대부분 국제 기준에 맞춰 인증 심사와 부여를 하지만 일부 영세한 대행사는 체계적인 심사와 관리가 불가능하다. 인증을 부여한 기업의 사후관리 인력이 한두 명에 불과한 대행사도 존재한다. 여기에 외국계회사가 한국인정원에 정식 등록을 하지 않고 대행 업무를 수행하는 곳도 있다.
인증대행사 관계자는 “인증대행사가가 인증 획득기업의 정보보호 체계를 유지할 수 있도록 상시 모니터링을 하는 것은 불가능하다”며 “인증 획득기업 스스로 정보보호 관리체계를 유지해야 한다”고 말했다.
신혜권기자 hkshin@etnews.com
ISO27001=국제표준화기구(ISO)와 국제전기기술위원회(IEC)에서 제정한 정보보호관리체계 국제 인증이다. 정보보호 정책, 물리적 보안, 정보접근 통제 등 정보보안 관련 11개 영역, 133개 항목에 대해 국제 심판원이 심사와 검증을 거쳐 인증을 부여한다.