[이슈분석]ISMS-PIMS 통합 인증 실효성 확보가 관건

보안 전문가들은 정보보호관리체계(ISMS)와 개인정보호관리체계(PIMS) 인증 통합에 앞서 실효성 확보를 지적한다.

ISMS는 법적 규제다 보니 인증을 위한 인증에 매달린다. 기업이나 기관마다 상황이 달라서 인증 항목의 일률화가 부적절하다는 목소리도 나온다.

2016년 개인 정보 유출 사고가 발생한 인터파크 역시 ISMS 인증을 받았다. ISMS를 받고 있는 기업은 상당수가 규제여서 어쩔 수 없이 준수하고 있는 실정이다. ISMS 인증을 받을 때는 정보 보호 체계를 유지하지만 인증이 나오면 수많은 예외를 둔다. 일부 ISMS 인증을 받은 기업은 직원 정보 보호 교육 항목에 가짜 출석부를 제출한다. 기업 내 정보 보호 생활화를 도모하는 인증 목적과 달리 규제로만 생각한다.

이 때문에 일부 ISMS 대상 기업은 인증을 포기하고 매년 과태료를 내고 있다. 기업 정보 보호 체계는 만들지 않고 3000만원을 내고 마는 식이다. 2013년 ISMS 인증 의무를 위반한 기업은 14개에서 2015년 36개로 2.6배 증가했다.

GettyImages
GettyImages

ISMS나 PIMS 인증 항목이 최신 사이버 위협 대응을 막기에 역부족이라는 비판도 나온다.

김우한 전 정부통합전산센터장은 17일 “최근 발생하고 있는 기업이나 개인 정보 유출 사고는 대부분 지능형지속위협(APT) 공격”이라면서 “기업이나 기관이 ISMS에서 정의한 항목을 모두 준수해도 해킹 방지에는 역부족”이라고 말했다. 김 센터장은 “정부통합전산센터 같은 곳은 1년 내내 정보 보호 관련 검증 유지 업무를 수행하고 있다”면서 “인증 취득은 업무 수행에 따르는 결과물이어야 하지만 그것이 목적이 된다”고 꼬집었다.

김 센터장은 “정부가 기업 스스로 상시 점검 체계를 만들 수 있는 수단을 제공해야 한다”면서 “대상 기업이 ISMS와 관련, 정보 보호 체계 및 수준을 점검하는 도구를 보급하자”고 제안하기도 했다.

최동원 과학기술정보통신부 침해사고대응과장은 “ISMS 인증은 침해 사고를 최소화하는 것으로, 안전을 100% 보장하는 것은 아니다”라면서 “인증 취득 후 인증 기술 준수와 유지 책임을 다해야 한다”고 강조했다. 매년 건강 검진을 받으면 질병을 조기에 발견해서 치료하거나 문제점을 개선하는 것과 같다.

최 과장은 “통합 인증에서 ISMS 심사 항목이 104개에서 80개로 줄었다고 보안 기능이 약화되거나 하지는 않는다”면서 “분야별 특화 항목을 개발하고 심사 기관 지정을 추진하는 등 인증 체계 효율화 및 심사 품질 제고에 힘쓰겠다”고 덧붙였다.

김인순 보안 전문기자 insoon@etnews.com