[발언대]의·식·주·IT의 시대, ISMS-P 인증이 필요한 이유

인류가 탄생한 이래로 사이버 세상이 활성화된 지 이제 갓 30여 년의 시간이 흘렀다. 그 짧은 시간 동안 네트워크로 연결된 정보통신 환경은 우리의 삶에 없어서는 안 될 존재가 되었고, 인터넷을 통한 활동은 인간의 삶 자체를 바꿔놓고 있다. 인간 생활의 3대 요소인 의식주와 더불어 IT를 추가해도 어색하지 않은 세상이 된 것이다. 지금껏 인류가 경험하지 못한 환경에서 새로운 시대를 만들어 가기 위해서는 그에 맞는 새로운 질서가 필요하고, 사이버 세상도 예외가 아니다.

우리가 사용하는 스마트폰이나 PC에 설치된 다양한 웹과 앱(어플리케이션)을 통해 SNS로 소통하고 쇼핑을 하고, 공적인 서류를 출력하는 ‘사소한’ 일상생활에 ‘사소하지 않은’ 위협이 존재할 수 있다. 최근에는 국가 안보적인 관점에서도 해킹을 통한 공격과 방어가 상시로 발생하고, 외교와 경제, 통상 문제까지 다양한 관점에서 이슈들을 만들어 내는 상황이다.

ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 제도는 이러한 사이버 세상의 위협에 대응할 수 있는 가장 기본적이면서 효과적인 수단이다. 사이버 세상의 모든 정보보호 이슈를 국가가 대신해줄 수 없는 환경에서 물고기 잡는 법을 조직에 심어줘서 스스로 개선해 나갈 수 있는 환경을 조성해 준다는 관점에서 최선의 방안이다.

인증 체계는 ISO 국제 표준의 형태를 이어받아 독립성과 객관성, 전문성을 확보할 수 있는 구조로 만들어져 있고, 정보보호에서 필요한 요소들을 대부분 포함하고 있다. 인증 기준은 관리체계 수립 및 운영, 보호 대책 요구사항, 개인정보 처리 단계별 요구사항으로 관리적, 기술적, 물리적 부분과 개인정보보호에 대책 요구사항을 포함한다.

현재는 정보통신망에 대한 의존도가 높고 개인정보 등 다량의 민감정보를 다루는 기관들을 포함하여 연간 매출액 또는 세입 등이 1500억 원 이상인 자 중 일정 요건에 해당하거나, 정보통 신망 서비스제공자(ISP), 집적정보통신 시설(IDC)사업자, 정보통신 서비스 제공자 중 매출액, 이용자 수 등 일정 기준에 해당하는 기업들은 ISMS 인증을 의무적으로 받고 있다. 이에 대한 심사는 국내 최고의 정보보호 전문가로 구성된 인증심사팀이 대상 조직에 직접 방문하여, 실제 이행 여부를 확인하고 적절한 수준으로 관리되고 있는 경우에 인증서를 발급하고 있다.

다만, 인증받았다고 해킹사고나 개인정보 유출 사고가 발생하지 않는다는 것을 보장하지는 않는다. 인증 시점에는 적절하게 운영되고 있었지만, 그 이후 서비스나 조직 환경의 변경에 따라 적절한 조치가 이루어지지 않거나, 제한된 기간과 한정된 심사원이 모든 부분을 속속들이 확인할 수 없다는 한계도 있기 때문이다. 그런데도, 일정 수준의 보안 체계를 갖춰 스스로 방어할 수 있는 준비가 되어 있고, 문제가 발생했을 때 회복탄력성(resilience)을 확보하여 지속가능한 조직이나 서비스를 만들어 가는 기회로 삼을 수 있다.

이용자 관점에서는, 인증받지 않은 불안한 서비스보다 상대적으로 신뢰할 수 있는 서비스를 이용할 수 있다는 점에서 인증받은 기업을 이용하는 것이 도움이 될 수 있다. 국가적인 측면에서, 복잡하게 연결된 네트워크와 인터넷에서 발생할 수 있는 문제들로부터 국민의 사이버 안전을 확보하고 국가 간 사이버 영토전쟁 속에서 적절한 보안 수준을 확보할 수 있는 가장 효과적인 제도라고 할 수 있다. 특히, 민간 분야보다 더 중요한 정보를 관리하는 국가·공공 기관에 대한 ISMS-P 인증을 의무화하고, 인증심사 품질과 제도의 지속가능성을 높이기 위한 다양한 방안들을 마련하여 시행할 필요가 있다.

박나룡 보안전략연구소 소장