각종 보안사고 속에 정부가 주는 보안인증인 정보보호관리체계(ISMS), 개인정보보호관리체계(PIMS)를 바라보는 시선이 곱지 않다.
ISMS나 PIMS 인증을 받은 회사들이 계속 보안 사고를 내다보니, 인증 제도 자체에 대한 불신도 커지는 모습이다. 일각에선 ISMS, PIMS 인증을 받았는데도 사고가 나는 기업들은 더 강력하게 처벌해야 한다는 목소리도 들린다.
인증을 받았으니 보안 사고를 내지 말아야 한다고 생각하는 이들을 이해시키기는 쉽지 않는게 현실이다. 그게 아니라고 한다면 비겁한 변명처럼 들리게 마련이다.
기업 보안 담당자들에겐 이같은 상황이 여간 부담스러운게 아니다. 인증을 받았다는 것은 보안을 위해 필요한 최소한의 조치를 취했다는 의미인데, 세상 사람들은 인증 받았으면 사고가 터져서는 안 된다고 생각하고 있으니 인증에 대해서는 말을 아낄 수 밖에 없는 처지다. 그래도 사석에서는 할말이 많다는 표정들이다.
인증 전문가들은 ISMS, PIMS 등은 기업/기관이 지켜야 할 최소한의 체크리스트를 확인하는 것일 뿐 인증을 받았다고 보안사고가 나지 않는 것은 아니며, 인증이 취소되는 경우도 상당히 제한적이라고 설명한다.
정부도 같은 입장이다.
미래부 정보보호정책과 관계자는 ISMS의 경우 인증을 받았다고 해서 모든 사고를 완벽하게 막을 수 있다고 보장하는 것은 아니다라며 정보통신망법상 인증심사에 필요한 허위자료를 제출하는 등 특수한 경우에 한해서만 인증이 취소될 수 있다고 밝혔다. 아직까지 보안사고가 발생해 ISMS 인증이 취소된 사례는 나오지 않았다.
ISMS, PIMS 등은 일종의 건강검진을 받는 것과 같다는 설명이다. 건강검진을 받았다고 해도 암과 같은 각종 질병에 걸릴 수 있는 것처럼 보안사고 역시 이러한 맥락에서 봐야 한다는 것이다.
물론 ISMS, PIMS인증을 받은 기업/기관들에서 사고가 발생했다고 해서 이들에게 면죄부가 주어지는 것은 아니다.
염흥열 순천향대 정보보호학과 교수는 ISMS는 본래 정보를 보호하고 관리하기 위한 프로세스를 갖췄는지 확인한기 위한 것이라고 말했다. 인증 신청 기업들이 정보보호대책을 수립, 검토, 개선하기 위한 일련의 지침들을 확인하는 것이라는 설명이다.
그는 만약 인증 받을 때만 반짝 관리하고 이후 하나의 정보보안사이클이 제대로 돌아가지 않을 경우에는 충분히 인증 취소 사유가 된다고 덧붙였다.
관련기사
- 비슷한 보안 인증들, 상호 인정 허용된다2014.04.20
- 정보보호인증제, 중복규제 해결해야2014.04.20
- ISMS 국제표준 2.0 시대 연다2014.04.20
- 미래부, 정보보호 관리체계 인증제도 설명회2014.04.20
현재 정보통신망법 상 ISMS 인증을 필수로 받아야 하는 곳은 정보통신부문 매출 100억원 이상 또는 일평균 이용자수 100만명 이상, 정보통신망서비스 제공자, 집적정보통신시설(IDC) 사업자 등이다.
PIMS의 경우 아직 의무는 아니나 정보통신망법에 따라 사업자들에게 권고하는 사항이다. 이 인증을 취득한 기업들은 최대 절반까지 과징금, 과태료 등을 경감 받을 수 있다.