[김국배기자] 정보보호 관리체계(ISMS) 인증은 왜 받는 것인가. 국민·롯데·농협카드부터 KT에 이르기까지 개인정보 유출 사고가 빈발하면서 정보보호관리체계 인증이 주목받고 있다.
잇따른 보안사고를 계기로 인증 대상은 확대되는 추세.지난 2009년만 해도 10여 개 기관만이 인증을 받았으나 지난 2013년 의무화 대상이 지정되면서 38개 기관이 인증을 받았다. 미래창조과학부에 따르면 현재 ISMS 인증 총 발급건수는 270여 건 정도이며 2017년까지 500여 건으로 증가할 전망이다.
2002년 도입된 정보보호관리체계 인증은 정보통신망의 안전성을 확보하기 위해 관리적·기술적·물리적 보호조치를 포함한 종합적 관리체계를 수립했는지 여부를 점검받아 획득하는 것이다. 현재 한국인터넷진흥원(KISA)이 인증업무를 담당하고 있다.
인증에 주목하는 이유는 해커로부터 안전하고자 하는 과정에서 인증이 어느 정도의 비중을 지니느냐에 있다. 인증은 받으면 해커로부터 안전할 수 있느냐는 것이다.
경영자들에게는 안타까운 일이지만 결론부터 말하자면 인증을 받았다고 기업의 시스템이 해킹 공격에 뚫리지 않는다는 생각은 오해다. 인증 받은 기업에도 사고는 일어날 수 있다.
정보보호 관리체계 인증을 받는다는 것은 어떤 시스템이 해킹으로부터 안전하다고 보증해주는 것이 아니다. 이보다는 기업 내 정보보호 관리 활동이 원활히 돌아가고 있는가에 초점이 맞춰져 있다. 보안 사고가 났을 때 적어도 빨리 대응할 수 있는 체계가 수립돼 있다는 것을 증명하는 것이 관리체계 인증이다. 회사 입장에선 보안 대응 수준을 보여주는 도구인 셈이다.
따라서 인증 받은 기업이 사고가 났다는 사실만으로 비난하는 것은 과도한 행동이란 게 보안업계의 시각이다.
김대환 소만사 대표는 "인증은 그 당시의 상황에 대한 것이고 시스템이란 동적이기 마련"이라며 "ISMS 인증은 하나의 시작점이지 완벽함을 의미하는 것이 아님"을 강조하고 있다. "운전면허를 땄다고 무사고 운전을 보장하는 것은 아니지 않느냐"는 설명이다.
인증이 모든 것을 보장하지는 않지만 적어도 정보보호와 보안을 중요하게 생각한다면 일단 인증은 받고 시작할 일이라는 얘기다.
한편 인증 의무화 대상은 '정보통신망 이용촉진 및 정보보호 등에 관한 법률' 47조의 2항에 의거해 기간통신사업자와 인터넷데이터센터, 정보통신서비스 부문 전년도 매출액 100억원 이상 또는 전년도 말 기준 직전 3개월간 일일 평균 이용자 수 100만명 이상인 기업 등이 해당한다.
김국배기자 vermeer@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기