“ISMS 인증 강화 움직임”…정부, 정보보호 기준 재정비 예고

정보보호관리체계(Information Security Management System, ISMS) 인증제도의 허점이 드러나면서, 제도 전반에 대한 구조적 개선 요구가 커지고 있다. 배경훈 부총리 겸 과학기술정보통신부 장관은 13일 정부세종청사에서 열린 국정감사에서 "ISMS 인증이 건강검진 수준의 진단 평가"라며 "더 강화된 수준의 인증이 필요하다”고 밝혔다. 최근 해킹 등 보안 침해 사고가 ISMS 인증을 취득한 기업에서도 급증하는 추세에 따라, 정부가 정보보호 기준 재정비에 나선 신호로 해석된다.

ISMS 인증은 기업 및 기관의 정보보호 관리체계를 외부 평가를 통해 인증하는 제도다. 하지만 국회 지적에 따르면, ISMS 인증 기업에서 발생한 침해사고 건수는 2021년 6건에서 2022년 96건으로 16배 늘었고, 2023년 6월까지도 이미 73건이 접수됐다. 특히 인증 취득 기업의 침해 비율은 과거 1%대에서 최근 5~7%까지 늘어, 실효성 논란이 커지고 있다. 현 ISMS 인증은 5~6명 심사위원이 4~5일 내외 심사하는 방식이 일반적이지만, 변화하는 보안 위협에 대한 신속한 대응 및 사후 관리에 한계가 있다는 지적이다.

전문가들은 ISMS 심사업무가 KISA(한국인터넷진흥원) 산하 다수 민간 심사기관을 거치며, 인증 이후 심사 역량이나 사후 감독이 미흡하다는 점도 과제로 꼽았다. 글로벌 주요국의 경우 정기 재심사와 실태 점검, 위반시 인증 취소 등 후속조치를 강화하고 있다. 미국 등은 민간 클라우드·AI 서비스 확산에 맞춘 보안 인증 체계를 발전시켜, 산업별 특화 기준을 도입 중이다.

정부는 변화한 위협환경을 반영한 평가 기준 및 관리시스템, 실제 타당성 검증 등 종합 대책 마련에 착수할 계획이다. 배 부총리는 "ISMS 제도뿐 아니라 평가 및 관리시스템까지 포괄적으로 점검해 대안을 마련하겠다"며 "업계, 인증기관, 평가위원 간 쏠림이나 사후관리 미흡 등 운영 현황을 폭넓게 진단하겠다"고 밝혔다.

업계에서는 보안 인증 제도가 원칙보다 형식에 그칠 경우 정보자산 보호에 심각한 공백이 생길 수 있음을 우려하는 목소리가 커지고 있다. 주요 정보통신 기반시설, 데이터센터, 클라우드 서비스 등 IT산업 현장에 실질적 보안 역량 강화 방안이 뒷받침돼야 한다는 의견도 힘을 얻고 있다.

IT업계와 정책 전문가들은 "이번 ISMS 강화 검토는 국내 정보보호 산업 경쟁력의 분기점이 될 전망"이라며 “기술 변화와 함께 거버넌스·법체계 완비가 동반돼야 제도의 실효성이 담보될 것”이라고 보았다. 산업계는 정보보호 관리체계가 실제 현장에 안착할 수 있을지 주목하고 있다.