“‘ISMS-P 인증이 방패?’…해킹 사고 속 실효성 논란”

ISMS-P 인증을 획득한 기업들이 연달아 해킹 사고와 개인정보 유출을 겪으면서 국내 정보보안 인증 제도의 실효성 논란이 거세지고 있다. 최근 롯데카드를 비롯한 주요 기업들이 보유한 ISMS-P(정보보호 및 개인정보보호 관리체계) 인증에도 불구하고 대규모 고객 정보가 유출되는 사태가 연이어 발생했다. 업계는 인증이 실제 보안 역량을 담보하지 못하는 구조적 한계에 직면했다는 해석을 내놓고 있다. 전문가들은 이번 사안을 “확실한 관리체계와 보안 문화 부재에 따른 정보보호 신뢰성의 분수령”으로 보고 새로운 제도·문화적 대책이 필요하다고 지적한다.

ISMS(정보보호 관리체계)와 ISMS-P 인증은 기업이나 기관이 보유한 개인정보 및 주요 정보자산의 보호 수준을 체계적으로 평가하는 국내 대표 보안 인증이다. ISMS는 총 80개 항목의 관리체계 수립·운영 및 보호대책 요구사항 기준을 바탕으로, 보안의 기밀성·무결성·가용성을 충족하는지를 심사한다. 여기에 개인정보보호법상 21개 항목이 추가된 ISMS-P는 총 101개 기준을 적용한다. 공공기관엔 의무인증 대상으로, 대규모 민간 기업도 인증 획득을 통해 각종 인센티브 혜택을 받고 있다.

하지만 보안 전문가들은 이러한 인증 절차가 형식적 요건 충족에만 머물고, 실제 해킹 방지와 지속적 투자로 이어지지 못하는 구조적 한계를 지적한다. 인증 획득 후 보안 시스템 실질 운영이나 관리자 역량 강화에는 소홀한 사례가 빈번하다. 최근 롯데카드 해킹 피해의 경우, ISMS-P 인증 상태에서도 평문 데이터 저장, 장기 미패치 서버 등 취약점이 방치된 사실이 드러났다. 업계는 현행 인증이 ‘성적표’ 역할로 그칠 뿐, 기업의 실질적인 정보보호 투자를 유도하기엔 역부족이라고 진단한다.

이 같은 허점은 정보보호가 단순 규제 준수나 비용 항목에 그쳐, 최고경영자(CEO) 주도의 전략적 리스크 관리로 승화되지 못한 데서 비롯됐다는 비판도 나온다. 기업 내 보안 전담 인력 부족, 조직 내 정보보호 담당자 권한 미흡 등 인프라 문제도 지속되고 있다. 실제 국내 상장기업의 70%가 정보보호 조직 인원이 5인 미만이라는 통계는 ‘인증 취득만으로는 실전 위기 대응력을 담보하기 어렵다’는 우려를 반영한다.

글로벌 시장에서는 미국, 유럽연합 등도 보안 인증제도 고도화와 함께 실제 사고 발생 시 징벌적 책임 강화를 확대하는 추세다. 이에 비해 국내의 경우 인증을 면피 수단으로 악용하거나 반복되는 보안 사고에도 책임 구조가 불분명하다는 비판이 커지고 있다. 업계 일각에서는 정보보호 강화 기업에 대한 조달 우대, 세제 혜택 등 실질적 인센티브 확대와, 사고 발생 기업에 대한 과징금 및 민형사상 책임 명확화가 필요하다고 목소리를 높인다.

전문가들은 “ISMS-P 같은 인증은 보안 문화와 투명성 확보의 ‘출발선’일 뿐 결과를 담보하지 않는다”며 “정보보호를 비용이 아닌, 지속 가능 경영 전략 및 브랜드 신뢰 제고의 핵심 가치로 인식하는 환경 조성이 관건”이라고 강조했다. 산업계는 ‘인증의 실효성’ 논쟁 속에서 기술투자와 조직 거버넌스 혁신이 실제 정보보호력 확보로 이어질지 주목하고 있다.