[기고]사이버 전쟁에 슬기롭게 맞서는 법

인공지능, 메타버스, 디지털 트윈 같은 신기술의 등장으로 사이버 공격 면적이 확대되고, 다양한 유형의 데이터 처리로 데이터 오남용이나 유출 사고 가능성 역시 커지고 있다. 의료, 금융, 교육, 에너지, 가스, 전기, 통신 등 전 산업부문에서 디지털화가 진전되면서 사이버 보안 사고 역시 빈번해지고 있다.

연초 국내 굴지의 이동통신 사업자에서 분산서비스거부 공격이 발생해 여러 차례 인터넷 서비스가 중단되는 사고가 발생했고, 유명 대학병원, 대학, 그리고 초일류 세계적 기업에서도 보안 수준 미흡으로 개인 정보 유출 사고가 발생해 수억에서 수십억원에 이르는 과징금을 부과받았다.

그뿐인가. 기업 정보시스템이 해킹되면 내부 기밀 정보가 유출되기도 하고, 잠긴 정보나 시스템을 풀어주는 대가로 금전을 요구받기도 한다. 오늘날 기업이 비즈니스를 중단없이 제공하려면 공격자로부터 자신의 정보시스템을 지켜야 하는 사이버보안과 복원력 확보가 절실한 것이다.

기업의 정보보호를 위한 최선의 방안은 무엇일까. 바로 위험 평가(risk assessment) 체계를 운영하는 것이다. 정보시스템에서 발생 가능한 모든 위협을 식별하고, 위협으로 발생할 수 있는 위험(risk)을 평가해 위험의 크기를 완화하기 위한 적절한 위험 치료 방법, 즉 적절한 보호조치를 구현하고, 그 결과를 지속적으로 관리해야 한다.

정보보호 관리체계(ISMS-P)인증은 이런 문제의식에서 출발한 제도다. 기업이 정보통신 시스템의 안정성과 신뢰성 확보를 위해 관리적·기술적·물리적 보호조치를 포함한 종합적 정보보호 관리체계를 수립해 운영하고 있는지 심사해 인증해준다.

ISMS-P 인증은 정보보호 측면에서는 정보통신망법, 개인정보보호 측면에서는 개인정보 보호법을 근거로 하고 있으며, 과학기술정보통신부와 개인정보보호위원회의 공동 고시에 법적 근거를 두고 있다. 필자는 인증기관인 한국인터넷진흥원(KISA)이 운영하는 인증위원회에서 2007년부터 위원장으로 활동하고 있다. 인증위원회는 심사기관에 의한 최초 심사 또는 갱신 심사 결과가 인증기준에 부합하는지 판단한다.

ISMS-P 인증 대상은 의무 대상자와 자율 신청자로 구분된다. 의무 대상자로는 전국 규모의 정보통신 서비스를 제공하는 사업자(ISP), 집적정보통신시설(IDC), 상급종합병원, 일정 규모 이상의 정보통신 서비스 제공자 등이 포함되며, 자율 대상자는 자발적으로 관리체계를 구축 및 운영하는 기관을 가리킨다.

ISMS-P 인증을 받으면 다양한 혜택을 받을 수 있다. ISMS 인증을 획득한 기업은 ▲ 과학기술정보통신부로부터 정보보호 전문서비스 기업으로 지정될 때 특정 항목 평가점수가 만점으로 부여되고, 보안관제 전문기업으로 지정 시에는 관련한 특정 항목이 만점으로 인정된다. 또한, ▲ 한국인터넷진흥원에 의해 물품 구매 등의 계약자 선정 평가 시에 가점이 부여되며 ▲ 정보보호 공시기업의 경우 ISMS-P 인증 수수료를 할인(30%)하고 있다.

이제 성년기에 들어선 국내 ISMS-P 인증제도가 더욱 발전하려면 다양한 노력이 필요하다. 먼저, 인증받은 기업에 대한 혜택을 추가로 확대해 인증의 실효성을 높이고, 인증 심사원의 품질을 제고하기 위한 노력이 필요하다. 높은 정보보호 수준을 요구하는 기업의 ISMS-P 인증 심사 수준을 강화하고, 국내외 위협 환경 변화를 감안해 ISMS-P 인증기준도 지속적으로 개선돼야 한다. 인공지능 등 신흥 기술을 이용하는 기업에 적용되는 ISMS-P 인증기준을 추가로 개발해 인증의 효과성을 높이는 것도 필요하다. 또한, 중소기업 및 스타트업에 대한 정보보호 수준을 향상시킬 수 있는 대책을 마련하고, 인증의 글로벌 활용도를 높이기 위해 국가 간 상호 인정을 확대해 나가야 한다.

정보보호는 사이버 공격과 수비 간의 끝이 없는 싸움이다. 정보보호에 왕도는 없지만, 기업의 정보시스템을 지키는 가장 효과적이고 현실적인 방법은 ISMS-P 체계를 운영하는 것이다. 그러려면 기업은 정보보호에 대한 투자를 확대하고 보안 인력과 설비 투자를 늘려야 한다.