“ISMS 인증 현장 신뢰도 논란”…국정자원, 화재 전 인증 통과에 의문

정보보호관리체계(ISMS) 인증제도가 공공 IT 서비스 안전망으로서의 실질적 역할에 대한 근본적 의문에 직면하고 있다. 최근 국가정보자원관리원(국정자원)에서 대규모 화재로 행정 서비스가 마비되는 사태가 발생한 가운데, 국정자원이 불과 한 달 전 자체적으로 ISMS 인증을 획득한 사실이 드러났다. 해당 인증에는 재해복구와 백업 관리 등 핵심 보안 절차가 포함돼 있었던 점에서, 산업 내에서는 인증제 실효성과 심사 체계의 신뢰성에 강한 문제의식이 제기된다. 전문가들은 이번 사안을 ‘공공 IT 보호 체계 전환점’으로 평가한다.

국회 과학기술정보방송통신위원회 소속 이해민 의원이 10일 공개한 자료에 따르면, 국정자원은 올해 9월3일 대전·대구·광주 지역 운영부문, 개인정보처리시스템 부문 등에서 ISMS 인증을 취득했다. ISMS는 정보통신망법에 따라 보안 정책, 재해복구, 백업·복구관리 등 총 80개 항목을 심사하는 국가 공인 제도다. 일반적으로는 민간 부문을 위한 인증이지만, 국정자원은 자율적으로 신청했다.

인증 절차에는 재난 대비와 재해복구 기능 검증이 명확히 포함된다. △재해 재난 대비 안전조치 △재해복구 시험과 개선 △백업 및 복구관리 등은 실질적 운영에 적용돼야 하지만, 최근 화재로 인한 국정자원 G드라이브 업무 자료 소실 등에서 백업 체계 부재와 복구 실패가 명확히 드러났다. 특히 이번 사고에서 인증 심사 항목이 실질적으로 작동하지 않았다는 점이 부각되면서, 기존 ISMS 인증이 실제 사고 대응 체계의 ‘실질적 보증’ 역할을 했는지에 대한 우려가 커진다.

실제 ISMS 인증이 국내에서는 형식적으로 통과되는 사례가 잇따르고 있다. 지난 KT, 롯데카드 정보유출 사고 등에서도 제도적 인증은 갖췄지만, 사고 직후 정보 보호·재해 복구가 제대로 작동하지 않은 전례가 반복됐다. 글로벌 보안 인증 체계와 비교해, 심사 실효성을 높이는 데이터 기반 시험, 분산 백업 실제 운용 검증 등 “내실 있는 프로세스 혁신이 뒤따라야 한다”는 지적도 제기된다.

ISMS 인증 관련 정책은 최근 정보보호 확대 흐름과 맞물려 점점 확대되고 있으나, 주요 정부기관의 실질적 대응 역량과 체계적 재해복구 설계 여부에 대한 신뢰 확보가 당면 과제로 떠올랐다. 정부는 인증 확대 성과에 집중하는 대신, 현장 점검과 비상상황 대응력 강화로 제도 실효성의 근본적 개선책을 마련해야 한다는 목소리가 높다.

이해민 의원은 “실제 이원화나 백업 체계가 부실한 상황에서도 ‘적정’ 판정을 받은 현 ISMS 인증 심사체계의 신뢰성에 깊은 의문이 남는다”며 “실제 사고 때 재해복구로 이어질 수 있는 실질적 보안 수준 확보 대책이 시급하다”고 강조했다. 업계는 이번 사태가 인증제 혁신에 결정적 계기가 될 수 있을지 주목하고 있다.