[스페셜리포트]플랫폼 업계, ISMS 인증 논란

플랫폼 기업이 정보보호관리체계(ISMS) 인증 효율화를 요청했다. 인적·자금적 부담이 가중되며 되레 보안 능력이 저하된다는 지적이 나오면서다.

ISMS란 특정 조직에 적합한 기술적 물리적 보호 조치를 포함하는 종합관리체계를 의미한다. 사이버 공격에 대응할 최소 보호 조치 기준을 마련한 기업에 한국인터넷진흥원(KISA)이 인증해준다. 인증 대상자는 인터넷서비스제공사업자(ISP), 인터넷데이터센터(IDC) 사업자, 인터넷쇼핑몰·포털·게임 사업자와 같은 정보통신 서비스 부문 사업자 등이다. 정보통신 서비스 부문 전년도 매출액이 100억원 이상이거나 또는 전년도 말 기준 직전 3개월간 일일 평균 이용자수 100만명 이상일 경우 인증 의무 대상자에 속한다.

◇예산·인력 등 부담 가중

코로나19로 비대면 경제가 활성화하며 지난 2년간 플랫폼 기업은 급성장했다. 플랫폼을 활용한 전년도 매출액이 100억원을 돌파한 기업이 다수 생겨났다. 갑작스러운 성장에 ISMS 인증을 의무적으로 받아야 하는 상황이 발생하며 성장통을 겪고 있다.

예산과 인력을 확보하는 것은 신생 기업에게는 큰 부담으로 다가온다. 최고정보보호관리책임자(CISO)와 전담 개발자를 따로 고용해야 해 간접비용이 발생한다. 컨설팅 비용도 만만치 않게 들어가 ISMS 인증은 '대형 프로젝트'라는 인식이 자리매김했다.

ISMS 인증을 준비하고 있는 한 기업 관계자는 “ISMS 인증을 받기 위해 컨설팅을 받아야 하는데 대부분 억대가 넘는다”며 “준비되지 않은 상황에서 KISA의 심사를 받을 경우 협상의 여지가 없어 컨설팅은 필수”라고 말했다.

인증을 위한 정보보호팀을 운영하게 될 경우 전체 인력난으로 번지기도 한다. 이 때문에 퇴사자가 발생한다.

또 다른 기업 관계자는 “정보보안 인증 과정에서 다양한 유관 업무 부서와 정보보호팀 갈등이 생긴다”며 “ISMS 통제 항목은 정보보호팀과 협업 부서가 함께 자료를 준비해야 하는데, 협업 부서가 추가 업무를 수행해야 하는 부담이 생기며 퇴사하게 되는 경우가 많다”고 말했다.

심사 일정 예측이 불가해 벼락치기 준비 부담을 떠안아야 하는 문제도 있다. 이는 KISA에서 제시한 인증 대상 서비스 부문이 모호해 발생한다. 통상 매출이 가입자 유치에 큰 영향을 미치지 않는 기업소비자간거래(B2C) 플랫폼은 KISA에서 제시한 기준대로 회계 분류를 하지 않는다. 때문에 KISA 측에서 인증 공지를 받으면 그제야 ISMS 인증 준비를 시작한다. 소명서를 보내나 인정받지 못하면 그 다음해 8월까지 벼락치기로 인증을 준비해야 한다.

이 외에도 갱신을 위한 상시 관리 이슈 등이 있다. 암호통제, 접근통제, 정보보호 교육, 등 상시 준수 항목을 관리하는 것이 현실적으로 어렵다는 설명이다. 보안이 강화되면서 개발과 운영이 힘들어진다는 점도 부담이다. 개발을 진행하면서 보안 이슈에 무게를 두다 보니 다수 부서에서 보안에 대한 반감이 생긴다는 입장이다.

이 때문에 돈을 들여서 인증을 받느니 과태료를 내면서 버텨보자는 기업도 생기고 있다. 억대 컨설팅 비용과 3년마다 그에 준하는 갱신 비용을 지출하는 것보다 과태료를 내는 게 낫다는 판단에서다. 정보통신망법 제76조에 따르면 ISMS 의무 대상자가 인증을 받지 않을 경우 3000만원 이하의 과태료를 물어야 한다.

◇실효성 의문

실효성 의문도 있다. ISMS 인증을 받은 후에도 정보기술(IT) 사고가 발생하는 경우가 있기 때문이다. 카카오의 경우 2013년부터 매년 ISMS 인증을 갱신하고 있을 뿐만 아니라 2019년 ISMS-P 인증을 획득한 바 있다. 그럼에도 지난해 10월 SK㈜ C&C 판교데이터센터 화재로 카카오톡을 비롯한 다수 카카오 서비스가 먹통이 됐다. 해당 사고는 ISMS-P 인증 기준 중 '재해복구'에 부합했다. KISA에 따르면 심사 당시 특별한 문제가 발견되지 않았다는 입장이다.

KISA 측은 “통상 ISMS는 예방의 의미를 가진 건강검진이라고 볼 수 있다”며 “검진 후 관리를 하는 것은 검진 받은 사람의 몫이지 사고가 발생하지 않는 것까지 KISA가 담보하기는 어렵다”고 말했다.

전문가는 인증 체계 중 재난·재해에 대한 기준이 다소 형식적이라고 짚었다. 인증 권한 등 일상적인 보안 체계의 경우 기준이 글로벌 스탠더드에 맞춰져 있지만 비일상적인 재난 환경에 대해서는 기준이 다소 포괄적이라는 설명이다. 유관 기관과 기업 모두 비일상적인 상황에 대해 일상적인 상황과 동일하게 투자를 하기는 어렵기 때문이다.

김도승 목포대 교수는 “재난·재해 등과 같은 미래적이고 비일상적인 상황에 대해서는 기준이 조금 덜 실용적일지라도 양해가 된다”며 “사고 예방에 대한 부분은 행정지도 등과 같은 지원책이 필요할 것”이라고 말했다.

업계에서는 인증 항목이 플랫폼 기업의 인프라 트렌드를 따라오지 못하고 있다는 지적도 나온다. 다수 플랫폼 기업의 경우 데이터를 클라우드에 저장하는 방식으로 옮겨가고 있다. 그럼에도 ISMS 인증은 하드웨어를 직접 구비해 시스템을 구축하는 '온프레미스' 방식에 초점이 맞춰져 있다.

한 업계 관계자는 “자사는 온프레미스 환경 자체가 없는데 인증 체크리스트에는 이 같은 항목이 반영돼 있지 않아 KISA 측이 이해를 하지 못할 때가 있다”며 “예컨대 AWS 상에서는 KISA가 원하는 결과 값이 나올 수 없는데 심사 평가서에서 요구하는 결과 값을 내놓으라고 하는 경우가 있다”며 고충을 토로했다.

심사원 성향에 따라 고무줄 잣대로 심사를 한다는 점도 문제로 부상하고 있다. ISMS 관련 통제 항목 기준이 있으나 기업 실사를 나온 심사원의 심사방법이나 결함 난이도 등에 주관적인 판단이 작용한다는 비판이다. 결함 기준이 일관적이지 않다는 점은 인증 실효성에 대한 의문을 증폭시킨다.

손지혜기자 jh@etnews.com