보안 인증 8년만에 대폭 손질...컨설팅기업들 "특수 온다" 함박웃음

정부 차원의 정보보호 관리체계 인증(ISMS) 및 정보보호 및 개인정보보호 관리체계 인증(ISMS-P) 개편 움직임이 본격화하면서 보안 컨설팅 수요도 늘어날 전망이다.

다양한 IT 자산들이 생겨나고 공격자가 노릴 만한 공격 표면이 확장되면서 지난해 수많은 침해사고가 발생해 적지 않은 한국 기업들이 골머리를 앓았다. 심지어 국내 최고 수준의 보안 인증인 ISMS, ISMS-P를 획득했음에도 해커의 공격에 무방비하게 뚫리는 기업들이 생겨났다.

이에 ISMS 인증 제도의 실효성에 대한 지적이 쏟아졌고, 정부가 이에 대응해 ISMS 인증 제도를 본격적으로 손보기 시작했다.

최초 ISMS는 어떤 모습?…2002년 만들어져 24년여간 명맥 유지

ISMS 인증은 과학기술정보통신부(과기정통부)가 2002년부터 운영해 온 제도다. 현재 운영 기관인 한국인터넷진흥원(KISA)의 전신인 '한국정보보호진흥원'이 ISMS를 운영했다.

KISA 등에 따르면 당시 과기정통부는 초고속 인터넷이 보급되면서 보안 관리의 필요성이 높아졌고, 정보통신망의 안정성과 신뢰성 확보를 위한 인증제도를 시행했다. 최초에는 ISMS 고유항목 22개를 포함해 104개의 인증항목을 심사했다.

ISMS는 만들어진 초반부터 난항을 겪었다. 시행된 지 1년 만에 2003년 대한민국 인터넷망이 DDoS(디도스) 공격으로 마비되는 일명 '1·25 인터넷대란'이 발생했고, 2008년엔 최대 온라인 쇼핑몰이었던 옥션에서 1천만명이 넘는 유출 사고가 터졌다.

이에 당시 ISMS 인증이 기업에 '권고'하는 수준의 자율 인증 체계였던 만큼, 기업의 보안 관리 체계를 단순히 권고하는 수준을 넘어 '의무'로 강제해야 한다는 목소리가 높아졌다.

이후 정보통신서비스제공자 대상으로 시행되던 정보보호안전진단 제도와 2013년 통합·개편됐다. 일정 규모 이상의 상급병원과 종합대학 및 온라인서비스를 제공하는 정보통신사업자에게 인증이 의무화됐다.

한편 ISMS 인증의 출시부터 일부 기업에 의무화되는 기간 동안 방송통신위원회가 주관하는 '개인정보보호 관리체계(PIMS)', 행정안전부가 주관하는 개인정보 보호 인증(PIPL) 등 다양한 정보보호 관련 인증이 생겨났다.

문제는 기업 입장에서 ISMS 인증도 의무로 받아야 하는 상황인데, 항목이 50% 이상 중복되는 PIMS 인증도 획득해야 하는 등 '중복 운영' 논란이 불거졌다는 점이다. 이에 과기정통부, 방송통신위원회, 행정안전부는 ISMS와 PIMS 인증을 통합해야 한다는 데 의견을 모았고, 이중 인증의 부담을 줄이기 위해 통합을 결정해 지난 2017년 말 지금의 ISMS-P 인증이 탄생했다.

ISMS 및 PIMS 인증 통합 개정 고시 관계도. (사진=한국인터넷진흥원)

ISMS(인증 항목 104개)와 PIMS(인증 항목 86개)의 동일․유사한 인증항목을 통폐합했는데, 정보보안 관련 80개 항목과 개인정보보호 관련 22개 항목이 단일화돼 총 102개의 인증 항목으로 구성됐다.

현행 ISMS 인증은 2023년 개정 기준 64개 보호대책 요구사항, 보안 관리체계 수립 및 운영16개, 개인정보 처리단계별 요구사항 21개 등을 충족해야 획득이 가능하다. 당초 ISMS-P 인증 출시 당시 개인정보 처리 단계별 요구사항 영역에서 1개 중복적인 요소가 정리되면서 22개에서 21개로 줄었고, 현재는 총 101개 항목을 평가하고 있다.

현행 인증의 평가 항목을 구체적으로 살펴보면 보안 관리체계 수립 및 운영 항목에서는 ▲경영진 참여 ▲최고정보보호책임자(CISO), 개인정보보호책임자(CPO) 임명 여부 ▲IT 자산 위험 평가 ▲1년에 한 번 이상 관리체계 점검 여부 등을 확인한다.

64개 보호대책 요구사항에는 ▲사용자 식별 등 인증 영역 ▲네트워크 접근 제어 영역 ▲크리덴셜(비밀번호, ID 등)의 암호화 적용 여부 ▲로그 기록 및 관리 ▲모바일 기기 보안 등 인증부터 엔드포인트까지 보안 대책이 마련돼 있는지를 평가한다.

21개 개인정보 처리 단계별 요구사항에서는 개인정보 수집·파기·제3자 제공 등과 관련해 적법성을 따진다. 대표적으로 ▲개인정보 수집 시 동의 확보 여부 ▲개인정보의 기술적·관리적 보호조치 ▲개인정보 제3자 제공 동의 확보 여부 ▲회원 탈퇴 시 정보 즉시 삭제 여부 등이다.

ISMS 인증 획득 의무화 기업 확대…심사 방식도 까다로워져

ISMS 인증 제도는 다시 한 번 변화의 기로에 놓였다. 이번에는 ISMS 인증을 받은 기업들까지도 해킹 공격에 무력화됐던 만큼 손질에 들어간 것이다.

정부 차원의 정보보호 관리체계 인증(ISMS) 및 정보보호 및 개인정보보호 관리체계 인증(ISMS-P) 개요. (사진=한국인터넷진흥원)

개인정보보호위원회(개보위), 과기정통부는 지난해 말 ISMS, ISMS-P 인증 기업의 해킹·대규모 개인정보 유출사고가 반복 발생함에 따라, 대책회의를 지난해 12월6일 개최하고 인증 실효성 강화를 위한 제도의 전면적 개편 방안을 추진한다고 밝힌 바 있다.

구체적인 내용을 살펴보면 ▲공공·민간 주요 개인정보처리시스템(주요 공공시스템, 통신사, 대규모 플랫폼 등)에 대한 인증 획득 의무화 ▲통신사, 대규모 플랫폼 사업자 등 국민 파급력이 큰 기업에 대해 강화된 인증기준을 마련해 적용 ▲심사방식 전면 강화 ▲분야별 인증위원회 운영 및 심사원 대상 AI 등 신기술 교육을 통한 인증 전문성 향상 ▲사후관리 대폭 강화 등이 골자다.

현장 심사 중심으로 전환하고 중대한 결함이 발생할 경우 인증을 취소하는 등 실효성을 제고하는 한편, 모의해킹 훈련과 화이트해커를 활용한 상시 취약점 점검 체계도 구축할 방침이다. 심사 방식 역시 까다로워진다. 예비 심사 단계에서 핵심 항목을 충족하지 못하면 본심사에 진입할 수 없도록 조치한다.

ISMS 인증 개편안 중 심사방식 강화 주요 내용. (사진=개인정보보호위원회)

개편안 발표 이후 지난해 12월17일 개보위는 ISMS-P 인증 의무화 대상 확대 등의 내용을 담은 '개인정보 보호법' 개정안을 국회 정무위원회 전체회의에 제출했고, 현재 통과된 상태다.

향후 과기정통부와 개보위는 합동 제도개선 태스크포스(TF)를 통해 개선 방안을 최종 확정하고, 올해 1분기 중 관련 고시를 개정해 단계적 시행에 나설 방침이다.

정부 ISMS '손질'에 보안 컨설팅 업체 수요 '맑음'

ISMS, ISMS-P 인증 획득을 위해 의무 기업이나 자율적으로 인증을 획득하려는 조직에서는 보안 컨설팅 업체와의 계약을 통해 빠르고 효율적으로 인증 획득을 목표로 하고 있다.

한국정보보호산업협회(KISIA)가 발표한 2025년 국내 정보보호산업 실태조사에 따르면 2024년 기준 정보보안 관련 기업(876개) 중 22.7%(약 199개 기업)가 보안 컨설팅 사업을 영위하고 있는 것으로 나타났다.

이 중에서도 보안 컨설팅 등 정보보호 서비스의 전문 역량을 인정받은 일부 기업이 따로 분류된다. 정보보호산업법 등 관련 법에 근거한 주요정보통신기반시설에 대한 취약점 분석∙평가 업무 및 보호대책 수립업무를 지원하는 과기정통부 지정 '정보보호 전문서비스 기업'이다.

한국인터넷진흥원(KISA)이 지난해 10월 발표한 정보보호 전문서비스 기업 지정 현황에 따르면 현재 총 29개 기업이 여기에 해당한다.

구체적으로 ▲시큐아이 ▲싸이버원 ▲안랩 ▲A3시큐리티 ▲SK쉴더스 ▲소만사 ▲CAS ▲윈스테크넷 ▲이글루코퍼레이션 ▲시큐어원 ▲한전KDN ▲파수 ▲파이오링크 ▲신한DS ▲한국통신인터넷기술 ▲F1시큐리티 ▲KCA ▲한국정보기술단 ▲씨드젠 ▲한시큐리티 ▲모비딕 ▲시큐리티허브 ▲L&J테크 ▲핀시큐리티 ▲티앤디소프트 ▲라온시큐어 ▲이노시큐리티 ▲롯데이노베이트 ▲수산아이앤티 등이다.