“보안 인증만 믿다 뚫렸다”…ISMS 실효성 도마 위에

[이데일리 권하영 기자] 올해 잇따른 대규모 해킹 사고를 계기로 13일 국회 과학기술정보방송통신위원회(과방위) 국정감사에선 기업들의 부실 대처뿐 아니라 정보보호 관련 제도 자체도 조명됐다.

침해사고 예방부터 대응, 문제 발생시 처벌까지 전방위적인 법 개정 필요성이 떠오른 가운데, 보안 전문가들은 형식적 규제를 넘어 실질적 보안 역량 강화로 패러다임을 전환해야 한다고 제언한다.

13일 국회 과방위 국정감사 현장 (사진=강민구 기자)

ISMS 인증제도 실효성 논란…여전한 해킹 ‘구멍’

현재 정부와 국회가 추진 중인 법 개정은 크게 △사전예방 △대응·조치 △사후처벌 등 세 가지 측면에서 논의되고 있다.

그중 기업의 정보보호 실태를 점검하고 검증하는 사전 인증제도인 ‘정보보호 관리체계(ISMS)’의 경우, 최근 해킹으로 인한 고객정보 유출 사고가 발생한 SK텔레콤(017670)·KT(030200)와 롯데카드·예스24 등 인증을 받은 기업조차 대규모 정보유출이 발생해 논란이 일고 있다.

KISA에 따르면 2021년부터 올해 8월까지 약 5년간 이 인증(ISMS 806건·ISMS-P 256건)을 취득한 곳은 총 1006곳에 이르지만, 기업 규모와 유형을 고려하지 않은 일괄적이고 제한적인 심사로 인해 실효성 의문이 뒤따른다.

국회 과방위 소속 조인철 의원(더불어민주당)은 이날 과학기술정보통신부 국정감사에서 “민간기업뿐 아니라 과방위 산하기관 해킹 시도가 늘고 있는데도 ISMS 인증 항목에 없는 부분에 대한 대책이 없다”며 “ISMS 실태 점검이 이뤄져야 한다”고 주장했다.

김장겸 의원(국민의힘) 역시 “수백억 원의 비용과 많은 인력이 보안 인증 준비에 소요되는데, 정작 해킹 방지엔 효과가 없다”며 “보안 인증이 사회적 비용으로 전락하지 않도록 심사 방식을 전면 개선해야 한다”고 지적했다.

이에 개인정보보호위원회는 지난달 11일 발표한 ‘개인정보 안전관리 체계 강화 방안’을 통해 현장심사 중심으로 인증체계를 고도화하고, 전반적인 인증 품질 향상을 위한 제도 개선을 추진하겠다고 밝힌 상황이다.

자진신고 없어도 직권 조사…검증위원회 가동

사고 발생 시 신속한 대응을 위해 기업의 자진신고와 무관하게 정부가 직권으로 조사할 수 있도록 권한을 강화하는 방안도 검토되고 있다.

현행 정보통신망법은 정보통신서비스 제공자가 침해사고를 신고해야만 정부와 관계기관이 조치를 취할 수 있도록 한다. 그러나 해킹을 통한 무단 소액결제 사태가 일어난 KT의 경우 서버 침해 사실을 알고도 3일 뒤 KISA에 관련 사실을 신고했으며, 롯데카드도 해킹 사실을 인지한 지 6일 후에나 당국에 자진신고한 것으로 나타났다.

이처럼 기업이 늑장 신고를 할 경우 정부가 조사에 나설 법적 근거가 없다는 한계가 지적되자, 과학기술정보통신부는 망법 개정을 통해 기업 신고가 없어도 정부가 조사할 수 있는 법적 근거 마련을 추진 중이다. 그 일환으로 전문가 검증위원회를 가동해 침해사고를 인지하면 위원회 판단을 거쳐 사실 관계 파악에 나서겠다는 구상이다. 이는 최민희 과방위원장이 대표 발의한 ‘침해사고 조사심의위원회 설치법(정보통신망법 개정안)’과도 유사한 방향이다.

이행강제금 부과로 부실 대응 처벌 강화

이 밖에 기업이 침해사고 조치를 미이행할 경우 징벌적 과징금을 부과하고 정보보호 조치를 강화하게 하는 법 개정도 추진되고 있다.

조인철 의원(더불어민주당)은 정부의 해킹 사고 조사 범위를 일반 사고로 확대하고, 침해사고 조치 미이행 시 이행강제금을 부과하도록 하는 내용의 정보통신망법 개정안을 대표 발의했다. 이와 함께 정보보호최고책임자(CISO)에게 인력·예산 편성 권한을 부여하고 피해 사실을 이용자에게 즉시 통보하도록 하는 조항도 포함됐다.

“체크리스트 넘어 실질적 보안 역량 평가해야”

보안 전문가들은 이 같은 입법 방향에 공감하면서도, 무작정 감시·처벌을 강화하는 방향은 한계가 있는 만큼 이제라도 기업 규모와 서비스 유형을 세분화해 적용 기준을 구체화하는 전방위적 손질이 필요하다고 입을 모은다.

한 보안업체 관계자는 “미국과 유럽연합 등 해외에선 침해의 탐지·대응뿐 아니라 즉각 회복을 위한 ‘사이버 회복탄력성’ 확보 관련 법적 의무가 존재한다”며 “국내 보안 체계는 규제 준수 여부만 확인하는 ‘체크리스트’ 방식이 대부분”이라고 지적했다.

염흥열 순천향대 정보보호학과 명예교수는 “기본적인 원칙은 ‘자율 보안’이지만 통신·금융 등 고영향군에 대해서는 실효성을 높일 제도 개선이 필요하다”며 “고영향군일 경우 ISMS 제도 관련 현장 심사와 샘플링 검사 항목을 대폭 확대하고, 침해사고 발생시 자진신고 없이 정부 조사 권한을 강화하되 과징금이 이중 부과되지 않도록 해야 한다”고 진단했다. 또한 “처벌 강화뿐 아니라 보안 투자 관련 지원과 세제 혜택 등 인센티브도 병행해야 한다”고 봤다.

한편 개보위는 이날 개인정보유출 방지를 위한 TF를 10월 중 구성해 제도개선을 본격 추진한다고 밝혔다. TF는 △유출사고 반복 기업에 대한 과징금 가중 강화와 징벌적 과징금 도입 검토 △대규모 개인정보 처리 분야 정기점검 근거 마련 및 암호화·인증 등 예방적 투자 시 인센티브 부여 △유출 신고·통지 의무 확대와 피해구제 기금 신설 등을 논의할 방침이다.