윤석열 정부에서 지난해 4월 ‘불필요 불합리한 부담 경감’을 명분으로 정보보호관리체계 (ISMS) 제도 간소화 정책을 추진하면서 ISMS가 형식적 인증으로 전락했다는 비판이 제기됐다.
국회 과학기술정보방송통신위원회 조인철 의원(더불어민주당)이 과학기술정보통신부로부터 제출받은 자료에 따르면, 윤석열 정부가 제도를 완화하던 당시 문재인 정부 대비 민간기업 해킹 3배, 중소기업 피해 3배, ISMS 인증기업 피해 16배 폭증했다.
보안 강화가 절실했던 시기에 윤석열 정부는 오히려 ‘기업 부담 완화’를 내세워 사후심사 과정에서 현장심사를 최소화하는 등의 ‘간편인증제’를 도입했다. 그러나 간편인증제 도입 이후 상황은 오히려 악화됐다. 2025년 상반기 기준 민간기업 전체 침해사고와 중소기업 피해 건수는 이미 전년도 대비 50% 를 넘어섰고, ISMS 인증기업의 침해사고 비율도 75% 를 상회한 것으로 나타났다.
즉, 정부의 간소화 조치 이후 해킹 피해가 오히려 가속화된 셈이다. 이에 윤석열 정부가 내세운 ‘기업 부담 완화’ 기조가 결과적으로 국가 보안 리스크를 확대시킨 정책적 실패로 귀결됐다는 비판도 제기되고 있다.
현행 ISMS 제도는 SK텔레콤 해킹 , KT 소액결제 사태 등을 대규모 보안사고를 겪으며 구조적 한계를 드러났다. 기업의 규모나 산업별 위험도를 고려하지 않고, 모든 인증대상에 동일한 기준을 적용하고 있는 것이 대표적 문제다. SK 텔레콤과 같은 대형 통신사부터 중소 온라인 쇼핑몰까지 똑같은 항목으로 심사를 받는 구조로 산업별 보안위험을 반영하지 못해 제도의 실효성이 떨어진다는 지적이 지속적으로 제기돼 왔다. 조인철 의원은 이에 정보통신망법 개정안을 발의해 실질적인 제도 개편을 추진하고 있다.
인증기관과 심사기관에 대한 관리 · 감독 부실 문제도 심각하다. 조인철 의원실이 과기정통부로부터 제출받은 자료에 따르면, 대형 해킹사건 모두 ISMS 인증을 취득한 상태에서 발생했음에도 인증기관(KISA)이나 심사기관이 제재를 받거나 패널티를 부과받은 사례는 단 한 건도 없었다. 해킹이 발생해도 인증기관 또는 심사기관은 법적 책임을 지지 않는 무책임 구조로 운영되고 있는 것이다.
사후 검증 절차가 없다는 점도 문제로 지적된다. 침해사고가 발생하더라도 인증기관이나 심사기관이 해당 기업의 보안체계를 재점검하거나 심사단계에서 간과된 항목이 있는지 분석하는 절차조차 존재하지 않는다.
관련기사
- 신종감염병 대응한다더니 병상‧인력 확보 ‘미미’2025.10.13
- 투석 사무장병원 불법행태 증가…5년간 환수대상액 1623억원2025.10.13
- 어르신 예방접종 지원, 지역 간 최대 14배 차이2025.10.13
- 건보공단서 대부업체에 직장가입자 수백명 정보 유출돼2025.10.13
조 의원은 “ISMS 제도를 총괄적으로 감독해야 할 과기정통부의 무책임과 제도의 실질적 운영을 책임지는 KISA의 소극적 대응이 제도 부실의 본질”이라며 “보안은 기술이 아니라 국민 안전의 문제다 . 형식적 인증을 넘어서 실질적 보안체계를 구축해야 한다”고 강조했다.
이어, “고위험 산업군에 대한 차등화된 인증 체계 도입, 인증기관과 심사기관에 대한 관리 감독 기능 강화, 심사기관의 전문성 및 책임성 제고 등 근본적 제도개편을 통해 ‘ISMS’ 를 국민이 신뢰할 수 있는 보안 인증체계로 바로 세우겠다”고 밝혔다.
