정부가 운영하는 국내 대표 정보보호 인증 제도가 실효성 논란에 휩싸였다. SK텔레콤·KT·롯데카드 등 인증 기업들이 무력하게 해킹당한 데 이어 최근 데이터센터 재난 대응에서 공백을 보인 국가정보자원관리원도 불과 한달 전 관련 운영 역량으로 이 인증을 받은 것으로 확인되면서다. 잇따르는 정보기술(IT) 분야 대형사고를 실질적으로 예방하려면 정부의 관리 체계부터 근본적으로 개편해야 한다는 지적이 나온다.
9일 이해민 조국혁신당 의원실과 한국인터넷진흥원(KISA)에 따르면 국정자원은 지난달 3일 대전·대구·광주 등 센터 3곳의 ‘운영’ 역량으로 KISA로부터 ‘정보보호 관리체계(ISMS)’ 인증을 받았다. ISMS는 기관·기업의 정보보호 조치가 적합함을 정부가 인증해주는 제도다. 심사항목 80개를 점검하는데 이 중에는 ‘재해·재난 대비 안전조치’와 ‘재해복구 시험 및 개선’ 등 재해 복구 관련 2개 항목과 ‘백업 및 복구 관리’ 1개 항목이 포함돼 있다.
재해·재난 대비 안전조치 항목에서는 심사받는 기관·기업이 재해 유형별로 피해 규모와 영향을 제대로 분석하고 복구 목표 시간과 시점을 정의하고 있는지, 재해복구 계획을 수립하고 이행하고 있는지를 점검받는다. 재해복구 시험 및 개선은 재해복구 시험 계획의 수립·이행과 대내외 변화를 반영한 정기적 검토·보완 조치가 인증 기준에 부합하는지, 마찬가지로 백업 및 복구 관리도 백업 대상·주기·방법·보관장소·보관기간·소산 등 복구 절차의 수립·이행과 정기적 복구 테스트 실시 등이 적정한지 살펴보는 항목이다. 국정자원이 ISMS 인증을 받았다는 것은 이 같은 재해복구·백업 대책도 심사기준을 충족했다는 의미다.
이는 인증 직후인 지난달 26일 대전센터 화재 사고에서 드러난 국정자원의 재난 대응력과는 괴리가 있다. 국정자원은 예산 문제로 클라우드 이중화를 하지 않아 피해를 키웠고 배터리는 교체 권고 기한을 넘겨 노후화한 데다 서버와 한공간에 있어 화재에 취약한 상태였다. 709개 시스템에 달하는 피해 규모 파악에도 시일이 걸렸다. 공무원 19만 명의 업무용 자료를 저장해둔 ‘G드라이브’는 백업 없이 전소돼 내부 데이터가 모두 소실됐다.
ISMS의 실효성 논란은 이번이 처음이 아니다. 카카오는 2013년부터 ISMS 인증을 받았지만 2022년 국정자원과 유사한 데이터센터 사고로 대국민 서비스 장애를 일으켰다. 올해 들어 SK텔레콤·KT·롯데카드 등 대규모 해킹 사고를 겪은 기업들 역시 앞서 이 인증으로 정보보호 역량을 인정받은 상태였다. 특히 정보통신망사업자(ISP)는 인증 의무 대상인데도 정작 KT 해킹에 쓰였던 초소형 기지국(펨토셀) 같은 주요 통신장비 관리는 심사 대상에 포함돼 있지도 않다. 심사 방식도 현장 조사보다는 서류 검토 위주라서 실태 파악에는 한계가 있다는 게 업계 전언이다.
이 의원은 “국정자원 화재 복구 과정에서 재난·재해 대비가 미흡했다는 사실이 확인됐는데도 이 같은 수준을 적정하다고 판정해준 ISMS 인증 제도를 어디까지 신뢰할 수 있을지 심각한 의문이 든다”며 “정부는 형식적으로 인증 건수를 늘리는 데 급급할 것이 아니라 실제 보안 수준을 담보할 수 있는 근본적 개선책을 시급히 마련해야 한다”고 지적했다. 업계 관계자도 “ISMS 인증이 정부사업 참여 시 필수조건이 되는 식으로 널리 쓰이다보니 (정부가) 남발하는 경향이 없지 않다”며 “형식적 제도라는 지적에서 벗어나려면 평가 기준을 강화하는 등 개편 방안이 검토돼야 한다”고 말했다.
한편 이 의원실에 따르면 ISMS와 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증은 2019년부터 누적 1223건 이뤄졌다. 이 중 절반 이상인 655건은 SK텔레콤이 회장사, KT가 부회장사로 있는 한국정보통신진흥협회(KAIT)와 개인정보보호협회(OPA)의 심사를 거쳤다. 해킹 피해 당사자들이 주도하는 단체인 만큼 일각에서는 심사 공신력에 대한 의문도 나온다. 심사 업무는 과학기술정보통신부가 지정·관리하는 4개 기관과 KISA·금융보안원(FSJ) 등 6곳이 수행하고 있다.
< 저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지 >
sookim@sedaily.com
