[뉴스토마토 류석기자] 내부자 거래에 의한 카드사 정보유출 사태부터 표적공격(APT)에 따른 통신사 고객 개인정보 유출 사고까지 전방위적인 정보보안의 대안으로 정보보호관리체계(ISMS) 인증이 주목받고 있다.

 

ISMS인증은 기업이 정보자산 보호를 위해 자체적으로 구축·운영하는 보안정책과 인력, 장비, 시설 등이 객관적 기준에 맞는지 심사해 인증하는 제도이다. 정보통신망서비스와 집적정보통신시설 사업자, 정보통신서비스 부문 매출액 100억원 이상 혹은 일평균 이용자수 100만명 이상의 사업자는 의무적으로 인증을 받아야 한다.

 

심사기관의 경우 기존에는 한국인터넷진흥원(KISA)이 단독으로 주관했지만 최근 한국정보통신진흥협회(KAIT)가 포함돼 복수 심사체제로 전환됐다.

 

 

인증은 정보보호정책 수립, 위험관리, 사후관리 등의 '관리과정 요구사항'부터 정보보호정책, 인적보안, 암호통제 등의 '보호대책 요구사항'까지 총 통제 사항 92개와 통제 항목 225개로 구성돼 있다. 또 각 기준들에 대해서는 유사기준은 통합하고 실효성이 낮은 기준은 삭제하는 등 신규 보안 동향도 적극 반영한다.

 

인증을 받기 위해서는 ▲정보보호관리체계를 수립 ▲위험관리 방안 이행 ▲보안사고에 대한 신속 대응 여부 파악 등이 이루어진 다음 잔여위험에 대한 재평가와 내부 보안 감사도 수행해야 한다. 또 이를 바탕으로 보안체계에 대한 개선 작업도 이루어져야 최종적으로 인증을 받을 수 있다.

 

이러한 체계적이고 촘촘한 보안 시스템 수립을 통해 예상치 못한 공격자들의 보안위협에도 대응할 수 있게 되는 것이다. 보안체계 수립은 어떤 경우도 완벽하다고 할 수는 없지만 이 정도의 기준을 지키는 것은 최소한 지켜야 할 수준이라고 업계관계자들은 입을 모으고 있다.

 

방인구 안랩 MSS사업본부 상무는 "ISMS 인증은 정보보호관리체계의 수립과 운영이 얼마나 잘되고 있는지를 보여주는 객관적인 지표로 최근에는 기업 규모에 상관없이 고객정보 등의 중요한 디지털 정보를 다루는 경우가 많아 더욱 주목을 받고 있다”며 “다만 어떠한 인증이라 할지라도 완벽할 수 는 없기 때문에 인증획득에만 집중하기 보다는 수립된 보안정책을 지속적으로 실행하는 실천의지가 중요하다"고 강조했다.

 

하지만 ISMS인증에 대한 부정적인 시각도 있다.

 

일부 업계관계자들 사이에서는 이러한 복잡한 과정을 통해 발급되는 ISMS인증이 각 기업들의 보안 수준을 하향평준화 시키고 있다는 지적이 나오고 있다.

 

이러한 지적이 나온 배경으로는 매출 규모가 크지 않은 사업장의 경우 ISMS인증체계가 복잡다단하고 많은 비용을 필요로 하기 때문에 인증기준을 준수하지 않은 채 벌금을 내고 인증을 피하려는 경우가 왕왕 발생하고 있기 때문이다.

 

또 매출 규모가 큰 대기업의 경우도 지나치게 보안관리를 ISMS인증에만 의존하게 되면서 보안사고 피해에 대한 책임을 인증기관으로 넘겨버리려는 현상도 나타나 전반적인 보안 수준이 낮아지고 있다는 것이다.

 

한 업계관계자는 ISMS인증에 대해 “하나의 기준으로 모든 사업자를 규제하기 보다는 사업장의 규모에 맞게 현실적인 기준을 제시하는 것이 기업들의 보안 수준 향상에 도움이 될 것”이라고 지적했다.

 

이에 대해 지상호 KISA 정보보호관리팀장은 “ISMS인증 대상에서 제외되는 소규모 사업장의 경우와 ISMS인증 대상기관임에도 지키지 않는 기업 등에 따른 부작용을 해소하기 위해 민간 신용평가사가 기업의 신용을 평가 하듯이 민간이 기업의 정보보안 수준 등급을 매기는 ‘자율 보안등급제’를 통해 보완해 나갈 계획”이라고 밝혔다.