[사설]ISMS 인증, 바로 보고 바로잡자

플랫폼 기업이 정보보호관리체계(ISMS) 인증의 효율화가 필요하다고 주장했다. 인적·금전적 부담이 가중될 뿐만 아니라 역설적으로 보안 능력이 저하된다는 것이다. ISMS란 특정 조직에 적합한 기술적·물리적 보호 조치를 포함하는 종합관리체계를 의미한다. 사이버 공격에 대응할 최소한의 보호 조치 기준을 마련한 기업 대상으로 한국인터넷진흥원(KISA)이 인증한다.

특히 새롭게 ISMS 인증 대상이 된 플랫폼 기업은 예산과 인력 확보에 부담을 토로하고 있다. 막대한 컨설팅 비용은 물론 불확실한 인증 심사 일정과 대상, 기준 등도 플랫폼 기업의 어려움을 가중하는 요인으로 작용하고 있다. ISMS 인증이 '대형 프로젝트'로 간주 받는 정도다.

ISMS 의무 대상자가 인증받지 않을 경우 3000만원 이하의 과태료를 물어야 한다. 그러나 비용 등을 포함해 여러 이유로 과태료를 감수하는 비정상 사례도 있다.

이뿐만 아니라 플랫폼 기업은 ISMS 인증 실효성에도 의구심을 제기하고 있다. 인증 항목이 플랫폼 기업의 인프라 트렌드를 따라오지 못하고 있다는 지적도 있다.

마침 한국소프트웨어산업협회와 산하 서비스혁신위원회가 ISMS 인증 효율화를 위한 해법을 제시했다. 지난 1년 동안 기업의 애로사항과 개선 요청을 취합한 결과다. 협회는 ISMS 인증 효율화를 위해 ISMS 인증 항목 효율화, ISMS 의무 대상자 기준 명확화, 민간 인증제도 활성화 등을 꼽았다. 인증 갱신 기간을 기존 1년에서 2년으로 유예하는 방안도 포함했다.

기업의 보안 역량 강화를 위해 ISMS 인증이 필요하다는 건 부인할 수 없는 사실이다. 본래의 취지를 극대화하기 위해선 현장에서 겪는 불편을 줄여야 한다. 기왕에 개선 요구가 제기된 만큼 공론화할 필요가 있다. 고칠 게 있으면 빨리 고치는 게 현명한 처사다.