전문가들이 본 ISMS-P 개편안 “심사 강화가 해답일까?”
인력·예산 없는 심사 강화는 또 다른 ‘형식’에 그칠 수 있어
규제 비용 아닌 ‘서비스 품질’로 인식 전환, 민간 자율 점검 생태계 조성해야
쿠팡을 비롯해 국내 주요 기업에서 대형 해킹 사고가 잇따르자 정부가 ‘정보보호 및 개인정보보호 관리체계(ISMS-P)’ 인증 제도의 전면 개편 카드를 꺼내 들었다. “국가 인증까지 받았는데 왜 뚫리느냐”는 제도 무용론에 대응해 의무 대상을 늘리고 기술 심사를 도입하는 등 규제를 강화하겠다는 것이 골자다.
하지만 정보보안·법제 전문가들은 정부의 ‘제도 강화’ 드라이브에 대해 우려 섞인 시선을 보내고 있다. 제도가 허술해서가 아니라, 제도를 뒷받침할 ‘자본’과 ‘인력(전문가)’이라는 보안 생태계 기반이 부실한 것이 문제의 핵심이라는 지적이다.
전문가들은 “기초 체력(예산·인력)은 그대로인데 시험 난이도(규제, 심사 기준)만 높인다고 해서 보안 수준이 올라가지는 않는다”며 “규제 강화보다 ‘보안 생태계’ 조성을 위한 투자가 선행돼야 한다”고 입을 모은다.
예산과 인력 없는 강화?… ‘형식적 심사’ 반복될 것
전문가들이 지적하는 이번 개편안의 가장 큰 우려 사항은 ‘현실성’이다. 곽진 아주대학교 정보보호학과 교수는 “현장 중심 점검을 강화하겠다는 정부의 방향성은 맞다”면서도 “문제는 그걸 실제로 해낼 심사 인력과 예산”이라고 꼬집었다. 그는 “제한된 심사 인력으로 모든 인증을 더 깊게, 더 자주 보겠다고 하면 결국 물리적 한계에 부딪혀 또다시 ‘서류 위주의 형식적 심사’로 회귀할 위험이 크다”고 우려했다.
현장에서 인증을 준비하는 실무자들의 우려도 구체적이다. ISMS-P 인증을 받고 있는 한 보안업체 관계자는 “기술심사가 도입되는 만큼 관리 부분과 기술 항목에 별도의 전문 심사원을 배정하고, 심사 기간을 확대해 심층적인 검토가 이뤄지도록 제도를 보완해야 한다”며 단순 항목 추가가 아닌 구조적 지원을 요구했다.
심사의 질을 좌우하는 것은 결국 ‘누가’ 심사하느냐다. 한 보안 전문가는 “최근에 발생한 기업 사고 조사에서도 예산 문제로 민간 최고 전문가의 투입이 제한적인 경우들이 있는 것으로 알고 있다”며 “인증도 마찬가지다. 산업계에 뛰어난 화이트해커와 컨설턴트가 많지만, 현재의심사 인력과 예산 구조로는 이들의 고도화된 역량을 공적 인증 체계로 끌어들이기 어렵다”고 우려했다. 예산 확충 없는 심사 강화는 ‘무늬만 강화’에 그칠 공산이 크다는 것이다.
인증은 ‘기초 가이드’…‘상시 자율 점검’으로 패러다임 바꿔야
또한 전문가들은 ‘ISMS-P 인증 만능론’에서 벗어나 기업 스스로 움직이게 만드는 ‘자율 보안 생태계’로의 전환을 주문했다. 곽진 교수는 “국회나 일부 업계에서 오해하고 있는 부분이 있다. 인증만 받으면 사고가 나면 안된다고 잘못 인식하는 것이다. ISMS-P는 해킹을 막아주는 ‘보증서’가 아니라, 최소한의 보안 토대를 갖추게 만드는 제도”라며 “사고가 났다고 제도 탓만 하는 방식으로는 아무것도 나아지지 않는다”고 강조했다.
윤인수 카이스트(KAIST) 전기및전자공학부 교수는 모의해킹, 취약점 점검 도입 등 기술 심사 도입에 대해 “전 세계 어디에도 ‘이 인증만 받으면 해킹 안 당한다’는 제도는 없다”며 “특히 모의침투 같은 기술 심사를 인증에 넣는 것은 좋지만, 한 번의 테스트로 거대한 서비스 전체를 ‘안전하다’고 도장 찍을 수는 없다”고 말했다.
이어 “기초 보안 체계를 인증하는 제도에 모의해킹을 도입하는 게 보안성 강화에 실질적으로 어떤 도움이 될지 의문이 드는 게 사실”이라고 덧붙였다.
이상직 변호사(인터넷법제포럼 회장)는 “장비를 바꾸고 서비스를 업그레이드하는 과정에서 취약점은 언제든 생긴다”며 “중요한 건 인증 심사 때가 아니라, 인증 이후 ‘상시 자율점검’이 제대로 돌아가느냐”라고 설명했다. 그는 “사고 발생 시, 인증만 받아 놓고 방치한 기업과 인증 후에도 꾸준히 자체 점검한 기업의 제재 수위를 달리해 기업들이 자발적으로 움직이도록 유도해야 한다”고 제언했다.

보안은 비용 아닌 ‘서비스 품질’…생태계 단위 재설계 시급
결국 전문가들은 ISMS-P 개편의 성공 열쇠는 ‘규제’가 아닌 ‘투자’에 있다고 반문한다. 보안 비용을 억지로 내야 하는 ‘규제 비용’이 아니라, 서비스의 신뢰를 담보하는 ‘품질 투자’로 인식하는 생태계를 만들어야 한다는 것이다.
이와 관련해 투자를 강화하되 기업 규모별로 접근을 달리해야 한다는 목소리도 나온다. 염흥렬 순천향대 정보보호학과 교수는 “중소기업과 스타트업은 현실적으로 보안 투자가 어려운 만큼 과징금 감경 조치 등을 통해 관리체계 문화를 확산시켜야 한다”고 말했다. 반면 “국민 생활에 파급력이 큰 고위험 기업은 강력한 기준을 적용하되, 의무 대상이 아닌 정보까지 추가 암호화하는 등 선제적 조치를 할 경우 인센티브를 제공해 투자를 유도해야 한다”고 제언했다.
투자와 함께 생태계 차원의 방어 전략도 필요하다. 이상직 변호사는 “A기업이 뚫렸을 때 B, C기업으로 확산되지 않도록 신고·탐지·보상이 유기적으로 작동하는 방어 생태계를 짜야 한다”고 조언했다. 염흥렬 교수 또한 “과징금을 국고로 환수하는 데 그치지 말고, 이를 기금으로 조성해 피해자 보호와 보안 인력 양성, 연구개발에 재투자하는 선순환 구조를 만들어야 한다”고 덧붙였다.
정부 “내년 고시 개정서 제도 방향 구체화”
정부는 이 같은 현장의 우려를 반영해 구체적인 기준을 다듬어가겠다는 입장이다. 김선미 한국인터넷진흥원(KISA) 보안인증단장은 이번 개편안에 대해 “지금 발표된 내용은 큰 틀의 방향”이라며 “기업과 심사기관 의견을 수렴해 내년 고시 개정에서 구체적인 기준을 확정할 것”이라고 설명했다. 특히 인증 신청 시 관리체계 명세서뿐 아니라 인증범위 자산 현황을 함께 제출하도록 하고, 코어 시스템 중심의 현장 실증 심사를 확대해 내실을 다지겠다고 밝혔다.
전문가들은 정부의 이러한 계획이 현장에서 실효성을 거두려면 앞서 지적한 ‘예산’과 ‘인력 생태계’의 한계를 넘어서야 한다고 입을 모은다. 고도화된 민간 보안 역량이 공적 시스템 내에서 합당한 대우를 받고 일할 수 있도록 투자를 확대하고, 기업이 인증 이후에도 자율적으로 보안을 강화할 확실한 유인책을 마련해야 정부의 제도 강화가 공허한 메아리가 되지 않을 수 있기 때문이다.
글. 바이라인네트워크
<곽중희 기자> god8889@byline.network

