[기자수첩] ISMS 인증, 사이버보안 보증수표 아니다

기자수첩입력 :2018/07/06 14:44    수정: 2018/07/12 08:55

올해 6월 국내 암호화폐 거래소에 굵직한 해킹 사고가 줄줄이 발생하면서, 그 부실한 사이버보안 현황이 문제로 떠올랐다. 암호화폐 거래소가 이용자 정보와 자산을 탈취한 해킹을 막지 못한 책임이 크다. 미흡한 정보보호 수준을 높여야 한다는 진단이 나오는 것은 자연스럽다.

이미 주기적 보안 점검과 실태조사 등으로 거래소 보안을 강화하겠다는 정부 차원의 '긴급대책'이 있었다. 사업자들은 그에 따른 정보보호최고책임자(CISO) 지정 및 전문가 영입, 자율규제안 수용에 더해 정보통신망법상의 정보보호 인증 및 국제 인증 해당 의무 준수 등을 공언했다.

빗썸은 이미 대두된 거래소 보안 문제를 재차 부각시켰다. 작년 6월 해킹으로 거래소 회원 수만명의 개인정보와 수천개의 계정을 도난 당했다. 그리고 1년만인 지난달에 또 190억원 규모 암호화폐를 탈취당했다.

거래소 가운데 어느 곳도 정보보호관리체계(ISMS) 인증을 받지 않았다는 점이 새삼 비판거리였다. 즉 이제껏 ISMS 인증을 안 받았단 사실이 '미흡한 사이버보안 수준'의 근거로 동원됐다. 여기엔 '미흡하지 않은 사이버보안 수준'을 갖춘 조직이면 인증을 받았을 거란 논리가 깔려있다.

물론 ISMS 인증은 그 조직이 일정한 체계를 갖춰 기본적인 정보보호 활동을 수행하고 있다는 점을 시사한다. 여전히 별 체계가 없고 기본 정보보호 활동도 하지 않는 거래소가 널려 있는 것으로 알려진 현 상황에선, ISMS 인증을 받은 거래소의 경우 어느 정도 노력을 기울였음을 인정해야 한다.

다만 ISMS 인증은 그 자체로 사이버보안 보증수표가 아니라는 점을 간과해서는 안 된다. ISMS 인증 심사는 문서나 디지털 기록으로 검증 가능한 보안 정책 및 절차를 일정기간 들여다보는 행위다. 어떤 조직이 이런 인증을 획득한 사실과, 해당 조직의 상시 해킹 대응 및 사고 예방 능력 사이엔 인과관계가 적다.

따라서 이런 가정도 성립한다. ISMS 인증을 받지 않았지만 고도로 훌륭한 사이버보안 역량을 발휘하는 조직이 존재할 수 있다. 반대로 ISMS 인증을 받았지만 실제 사이버보안 역량은 내부 필요와 외부 기대에 미치지 못해 사고를 당하는 조직도 존재할 수 있다.

국내서 ISMS 인증을 바라보는 시각은 이런 가능성을 배제한다. 해킹 사고 발생시 각계가 그 배경을 논하는 과정에 ISMS같은 인증의 유무를 심각한 요인으로 다루려는 분위기다. 과거부터 정부가 ISMS 인증 법정의무대상을 설정하고 꾸준히 그 범위를 키워 온 점도 여기에 일조했다.

이러니 사고 후면 대개 'ISMS 인증을 받은 곳이 왜 해킹을 당하냐'거나 '그러니 실효성이 없는 제도 아니냐'는 비판이 인다. 인터파크가 2016년 5월 해킹으로 개인정보유출을 당했을 때도 그랬다. 인터파크는 2013년 받은 ISMS 인증을 유지하고 있었다. 유사사례는 부지기수다.

오로지 ISMS 인증 여부만 강조하면 현실에선 본말이 전도될 수 있다. 보안 역량을 갖춰야 할 조직에서 그저 인증 자체를 정보보호 활동의 최종 목표로 삼거나, 보안 사고가 발생했을 때 인증 획득 사실을 내세워 면피를 시도하게끔 만들 수 있다는 얘기다.

관련기사

조직이 ISMS 인증을 받았다고 갑자기 해킹에 강해질 리 없다. 인증 획득 사실은 그 기준에서 요구하는 '기본적인 정보보호 활동'을 하고 있는지만 남에게 확인을 받았었다는 정도의 의미로 받아들여져야 한다.

이것이 실제 침해사고 대응이나 보안 관제 업무를 맡고 있는 이들의 견해다.