“ISMS도 현장심사 중심으로”…정부, 정보보호 실효성 제고 본격화

최근 연이어 발생한 해킹 사고를 계기로 정부가 정보보호 인증과 관리체계의 전면 개선에 나선다. 과학기술정보통신부와 관계부처가 내놓은 ‘정보보호 종합대책’은 단순 서류 심사에 머물던 기존 정보보호 관리체계(ISMS) 인증을 현장 심사 중심으로 전환하고, 인증 후 사후관리와 결함 책임까지 대폭 강화하는 것이 핵심이다. 업계는 대규모 IT 시스템 실효성 감독이 본격화되면 보안 경쟁의 전환점이 될 수 있다고 본다.

범부처 합동으로 마련된 이번 대책에 따라 ISMS, ISMS-P 등을 비롯한 각종 보안 인증은 체크리스트 위주 점검 방식에서 현장을 직접 방문해 실제 운영 실태를 파악하는 구조로 재편된다. 앞으로 인증을 받은 후에도 중대한 결함이 발견되면 즉시 인증서가 회수되고, 상시로 모의해킹 훈련 및 화이트 해커를 투입한 취약점 점검 체계가 운영된다. 정부는 필요한 경우 해외 주요 인증기관의 시스템 도입까지 검토해 전반적인 관리체계의 신뢰도와 효율성을 높인다는 계획이다.

기존 정보보호 인증은 제출된 서류만을 바탕으로 형식적으로 이뤄지는 경우가 많아, 실제 침해 사고 발생 가능성과 대응능력을 충분히 평가하지 못한다는 지적이 반복돼 왔다. 정부는 ISMS 인증 심사 기준을 CISO(최고정보보호책임자)의 실질적 권한 행사 여부 등으로 세분화하고, 각 기관별로 상이했던 심사 방식도 통일시켜 인증 자체의 실효성을 크게 높이겠다고 설명했다. 예컨대 CISO가 실제 시스템 투자와 점검 권한을 보유했는지, 단순히 존재만으로 평가하지 않고 구체적 역할과 역량까지 상시 확인한다는 방침이다.

인증제도 개선과 더불어 정부는 국민 생활과 직접 연결된 공공·금융·통신 등 국내 주요 IT 시스템 1600여곳을 대상으로 긴급 보안 취약점 점검에 돌입한다. 공공기관 주요 기반시설 288개, 중앙·지방 행정기관 152개, 금융기관 261개, 그리고 주요 IT 플랫폼·통신·기타 ISMS 인증 기업 949개가 1차 점검 대상이다. 각 기관은 CISO 등 책임자 주도로 자체 점검을 완료하고, 정부가 별도의 사후 검증 절차를 통해 실제 진위와 보안 실효성을 거듭 확인하는 구조다. 직접 점검이 어려운 기관에는 모의 훈련, 화이트해커 방식이 적용된다.

이번 종합 점검은 과태료 부과나 처벌을 목적에 두지 않는다. 산업계의 취약점 빠른 파악과 즉각적 사고 예방에 초점을 맞춘 긴급 조치 성격이 강하다. 실제로 점검 결과 결함이 발견되면 신속히 보완하도록 즉시 안내하며, 구조적 개선이 필요하다면 정부 차원의 추가 예산이나 지원도 검토될 전망이다.

한편, 정부는 정보통신기반시설 등 공공 부문의 즉시 조치를 위해 예산 규정 내 가용 자원을 먼저 투입하고, 추가적인 투자가 필요할 경우 내년도 예산(2024년 3366억원, 전년 대비 8.1% 증액 목표)에서 우선 지원한다는 방침이다. 과기정통부 등 관계부처는 이번 단기 대책과 별개로 12월 중장기 정보보호 로드맵도 발표할 계획이다.

글로벌 시장에서는 이미 NIST(미국), ISO(국제표준화기구) 등 국제기구에서 실질 위주 관리체계 인증과 상시 점검 강화에 나서고 있다. 국내에서도 이번 대책이 보안 감독의 실효성을 끌어올릴 수 있을지 주목된다.

전문가들은 심사·인증에서 현장 운영 실태 확인과 사후 점검 체계 강화가 지속될 경우, 정보보호 산업 전반의 신뢰도가 한층 높아질 수 있다고 본다. 산업계는 이번 대책이 실제 시장에 안착할 수 있을지 주시하고 있다.