ISMS-P 인증제도의 실상과 개선 방향

2024년부터 이동통신사, 금융기관을 비롯한 여러 곳에서 대형 보안 사고가 과거 그 어느 때보다 연쇄적으로 발생하고 있다. 이 글을 보러 왔을 정도로 정보보안에 관심이 있는 사람이라면 최근 발생한 해킹으로 인한 보안사고가 어느 기업의 어떤 사고인지를 굳이 언급하지 않아도 되리라 생각된다.

언론은 너무도 가벼운 존재다

최근 연쇄적으로 발생하고 있는 랜섬웨어로 인한 서비스 중단, 해킹으로 인한 개인정보 유출 등 보안사고가 터지면서 언론들이 수 많은 기사들을 쏟아내고 있다. 필자가 ISMS-P 인증제도 분야에 종사하고 있어서 관련 내용이 부각되어 보이는 이유도 있겠지만 그 기사들에 꼭 등장하는 것이 있다. 바로 ISMS-P 인증제도 무용론이다.

하지만 보안사고가 발생할 때마다 언론들이 활자로 내보내는 ISMS-P 인증제도 관련 보도를 필자는 신뢰하지 않는다. 그 이유는 필자가 실제로 경험하고 있는 ISMS-P 인증제도의 현실은 언론의 보도와는 많이 다르기 때문이기도 할 뿐더러 특정 기업 또는 공공기관에서 보안 사고가 발생했을 때 언론들 쏟아내는 비 논리적인 보도 행태를 보면 언론이 제대로 된 정보보안의 개념을 알고 있는지 조차 의심스럽기 때문이다.

만약 보안사고가 발생한 기업 또는 공공기관이 ISMS 또는 ISMS-P 인증 (이하, ISMS-P 인증)을 받은 기업이라면 제목은 매우 높은 확률로 “ISMS-P 인증을 받았음에도 해킹을 당했으니 ISMS-P 인증제도는 효용가치가 없다”는 식으로 보도한다. 반대로 인증을 받지 않은 기업이라면 매우 높은 확률로 “ISMS-P 인증을 받지 않아서 사고가 발생했다“거나 “ISMS-P 인증 의무 대상을 확대해야 한다“고 보도한다. 과연 동일한 보안사고를 두고 기사의 보도 내용이 180도 뒤바뀌는 언론의 보도를 신뢰하는 것이 맞을까?

언론은 매우 가벼운 존재다.

그 가벼운 존재의 가벼운 보도에 매몰되어 조직의 정보보안 관련 주요 정책을 결정해서는 절대 안된다. 그 결정은 조직을 잘못된 길로 인도할 가능성이 매우 높기 때문이다. 깊은 고민과 다양한 의견의 수렴이 필요한 이유다.

ISMS-P 인증제도는 내가 보아왔던 많은 경영, 금융, IT, 의료, 공공 등 여러 분야에서 실시되는 인증제도 중 가장 높은 수준의 실효성과 제도의 성숙도를 갖고 있다고 본다. 하지만 많은 사람들이 정보보안이라 하면 그저 “해킹”과 “취약점”을 떠올리는 수준의 인식을 갖고 있는 교수, 기자, 자칭 전문가들의 삐딱한 주장에 휘둘려 ISMS-P 인증제도에 칼질을 해야한다는 주장에 동조한다. 과연 그런 주장이 맞을까? 지금부터 필자가 경험한 ISMS-P 인증제도에 대해 썰~을 풀어볼까 한다.

ISMS-P 인증제도 무용론의 이유

ISMS-P 인증을 획득한 기업에서 보안사고가 발생하면 항상 등장하는 주장이 바로 ISMS-P 인증제도 무용론이다. 이런 주장이 나오는 이유는 여러가지가 있다.

가장 큰 원인은 ISMS-P 인증에 대한 이해가 부족하기 때문이다.

ISMS-P 인증은 “정보보안 활동을 체계적으로 수행하고 있는가?”를 보증하는 것이지 “보안사고가 발생하지 않을 것임”을 보증하는 것이 아니다. 이는 사람으로 치자면 건강을 유지하기 위해 “정기적으로 건강검진을 받고 있는가?” 또는 “건강을 유지하기 위해 식단관리를 잘 하고 있는가?”를 확인하는 것과 같다. 건강검진을 받고 있고 식단관리를 잘하고 있다고 해서 병에 걸리지 않는 것은 아닌 것 처럼 정보보안 활동을 아무리 체계적으로 하고 있어도 작정하고 덤비는 해커 또는 내부자에 의한 보안사고는 언제든 발생할 수 있다. 다만 체계적인 정보보안 활동은 그러한 보안사고의 가능성을 대폭 낮추는 효과가 있다. 이것이 바로 관리체계의 핵심인 위험관리 활동과 그 위험관리 활동에서 도출된 보호대책을 체계적으로 적용하고 운영했을 때 볼 수 있는 효과다. 이러한 이해가 부족하기 때문에 보안사고가 발생하면 “효과도 없는 ISMS-P 인증제도는 필요가 없다”고 주장하는 것이다.

최근 발생한 모 신용카드사의 웹서버 해킹사고를 예로 들어본다.

이 카드사의 보안사고는 수년 전 발견된 상용 WAS 응용프로그램의 취약점을 악용한 해킹으로 알려져 있다. 해커가 그 취약점을 발견하고 공격을 시도했으며 그로 인해 DB까지 접속하여 개인정보가 유출된 사고로 보인다. 하지만 시간 상으로도 인력적으로도 5일정도 진행되는 ISMS-P 인증심사에서 해당 신용카드사의 수백대가 넘는 서버에서 실행중인 WAS를 포함하는 다양한 응용프로그램에 대해 하나하나 모든 소프트웨어의 버전을 확인하고 취약점이 있는지 확인하는 것은 불가능하다.

ISMS-P 인증심사에서는 심사를 받는 기업이 인증 범위 내 WAS를 포함하는 정보자산을 주기적으로 식별하고 식별된 정보자산의 취약점 점검을 진행하고 있는지, 점검 결과 취약점이 얼마나 발견되었는지 발견된 취약점에 대한 조치를 진행하고 그 결과를 정보보호책임자 및 정보보호위원회에 보고하는 업무체계를 갖추고 잘 수행하고 있는지를 확인한다. 즉 하나하나 서버에 접속해 취약점 점검을 하지 않은 서버를 반드시 찾아내고야 말겠다는 식의 압수수색 처럼 심사를 진행할 수는 없다.

그리고 이러한 점검을 수행하는 인증기준이 무려 101개나 된다. 단, 5일 동안 말이다.

만약 최근 해킹을 당한 많은 기업들이 ISMS-P 인증 심사를 받지 않아 그나마 억지로라도 운영하고 있는 정보보호 관리체계 운영에 소홀했다면 더 큰 피해가 발생했거나 사고를 당하고도 인식조차 하지 못하고 있을 가능성이 높다고 생각된다. 실제로 개인정보가 유출되었음에도 사고를 인식조차 하지 못하거나 사고를 인지했다 하더라도 명확한 증거를 찾지 못해 숨기고 넘어가는 조직이 얼마나 되는지 알만한 사람들은 다 알고 있다.

심지어 정보보안 업계에 종사한다는 사람들 조차 “취약점 조치”만으로 충분하다거나 “화이트해커에 의한 모의해킹”이 꼭 필요하다거나 특정 보안솔루션만 도입하면 된다는 식의 잘못된 정보보안 인식을 갖고 있는 경우가 많다. 분명하게 말하지만 이런 주장은 다른 것이 아니라 “틀린” 것이다.

두 번째 원인은 하기 싫고 어렵고 돈이 드니 그냥 싫은 것이다.

ISMS-P 인증은 IDC, 기간통신망 사업자, 상급종합병원 등과 영리를 목적으로 정보통신망(쉽게 인터넷)을 통해 정보통신서비스를 제공하는 일부 기업에게는 법적인 “의무”다. ISMS-P 인증을 획득하지 않으면 과태료가 부과되는 달갑지 않은 규제다.

그리고 어렵다고 표현했지만 인증심사를 대비해 정보보호 관리체계의 운영을 잘 하고 있다면 그다지 어려울 것이 없는 것이 ISMS-P 인증 획득이다. (증거는 아래 내용 참고) 그럼에도 불구하고 ISMS-P 인증회획득이 어렵다고 말하는 이유는 단지 인증 획득을 위해 정보보호 관리체계를 형식적으로 구축하고 제대로 운영하지 않고 있어 심사를 받게 되면 많은 결함이 발견될 것을 신청기관에서도 이미 잘 알고 있다. 그로 인해 심사 중 발견되는 결함을 비합리적, 비논리적인 반론과 주장을 통해 결함에서 제외하기 위해 극단적인 방어를 하다 보니 ISMS-P 인증 획득이 어려운 것이다.

이렇게 하기는 싫고 하자니 시간과 비용이 투자되어야 하는 (개인)정보보호 관리체계 구축을 (개인)정보보호에 관심이 없는 그 어떤 기업이 좋아하겠는가?

영리를 목적으로, 쉽게 말해 돈을 벌기 위해 이용자의 개인정보를 대량으로 처리하는 기업은 정보보안에 비용을 투자하고 싶지 않아하는 경우가 대부분이다. 당연히 ISMS-P 인증제도를 부정적으로 바라볼 수 밖에 없으며 부정적인 측면을 부각시켜 주변인들과 언론사 기자들에게 토로하는 것이다. 그 불만이 바로 “ISMS-P 인증제도는 비용과 시간이 너무 많이 드는 과도한 규제”라는 핑계인 것이다.

세 번째 원인으로는 고의적인 부정적 여론 조성이 있다.

이는 뒤에 후술할 “심사원의 자질 문제”가 이슈가 되어 심사원 선발 시 필기시험이 추가되면서 ISMS-P 인증심사원 자격 취득의 길이 실질적으로 막힌 경쟁 국제 민간 보안인증 제도를 영위하는 이들이 ISMS-P 인증제도를 없애고 자신들의 인증으로 대체하고 싶다는 열망에서 시작된 것으로 보인다. 이들은 여러 보안 관련 커뮤니티와 일부 IT, 정보보안 관련 인터넷 신문 등에 ISMS-P 인증제도가 과도한 규제이며 심사원들의 자질 또한 문제가 많다고 약속한 듯 부정적인 여론을 조성하는 경우가 있다. 특히 이런 여론전은 보안사고가 발생하면 극에 달하며 정보보안 관련 지식과 정보가 부족한 일부 언론의 기자들이 그대로 기사로 받아쓰는 것으로 보인다. ISMS-P 인증제도가 무용하다는 주장은 경쟁(?) 국제 민간 보안인증도 마찬가지로 무용하다는 것이 아닐까?

ISMS-P 인증제도가 없었다면 ?

ISMS-P 인증제도가 없었다면 과연 우리나라의 정보보안 관련 실태는 어떻게 변해왔을까?

일단 우리나라 정보보안 관련 산업은 궤멸되어 있을 가능성이 매우 높다. ISMS-P 인증제도는 정보통신망의 정보보안 수준을 높인 결정적인 수단 중 하나일 뿐만 아니라 국내 정보보안 산업 성장의 원동력 중 하나였기 때문이다.

만약 ISMS-P 인증제도가 없었다면 안랩, 인포섹 등 보안솔루션 및 정보보안 전문 기업들이 과연 지금의 규모로 성장했을지 의심스러울 뿐만 아니라 방화벽, IPS, 웹방화벽, 서버 및 DB보안관련 솔루션, 암호와 관련 제품들은 물론 다양한 응용프로그램 보안관련 제품들도 시장에 뿌리를 내리기 어려웠을 것이다. 우리나라는 공공부문을 포함하더라도 정보보안 시장의 규모가 작은데다 기업들은 정보보안에 투자하지 않았을 것이기 때문에 국산 정보보안제품을 개발해 판매하는 것은 현실적으로 어려울 것이기 때문이다. 따라서 일부 해외 보안제품들이 시장을 장악하는 상황이 발생했을 것이 자명하다. 그나마 ISMS-P 인증을 획득하기 위해 민간과 금융부문의 기업들이 정보보안에 투자를 단행함으로써 국내 정보보안솔루션 기업들이 명맥을 유지할 수 있는 시장이 만들어진 것이 엄연한 현실이다.

그리고 우리나라는 해커들의 놀이터가 되었을 가능성도 배제할 수 없다.

많은 사람들이 인지하지 못하는 것이지만 우리나라의 정보통신망 및 IT서비스의 수준은 세계 최고 수준이다. 기간 인터넷 망은 물론이고 생명체로 친다면 모세혈관에 해당하는 해외에서는 찾아보기 어려운 수준의 유선 ADSL, 광랜과 이동통신망인 LTE, 5G로 구성된 촘촘한 종말단의 정보통신망을 기반으로 전국민에게 제공되는 정보통신서비스는 해커들에게는 천국과도 같다. 이런 상황에서 정보보안에 대한 인적, 물적 투자가 현재의 수준이라도 되지 않았다면 보안 사고는 하루가 멀다고 발생하고 있을 것이 자명하다.

ISMS-P 인증제도의 진짜 문제점

그렇다고 해서 ISMS-P 인증제도가 전혀 문제가 없다는 것은 아니다. 지금부터 필자의 ISMS-P 인증심사의 경험을 바탕으로 느낀 진짜 문제점에 대해 풀어본다.

ISMS-P 인증 획득은 너무 쉽다.

ISMS-P 인증 획득이 너무 어렵다는 주장이 많은데..실상은 그렇지 않다. 대기업의 ISMS-P 인증획득 가능성은 100%라고 해도 되며 중소기업이라도 1~2개월의 ISMS-P 인증 컨설팅 한번 받고 조직의 규모를 고려하여 방화벽을 비롯한 최소한의 보안시스템을 구비한 다음 위험관리를 포함하는 기본적인 정보보호 관리체계를 구축하여 ISMS-P 인증을 신청하면 99%의 확률로 ISMS-P 인증을 획득할 수 있다. 이는 인증심사를 받은 기업 대비 인증 획득 기업의 비율을 보면 명확해진다. 필자도 셀 수 없을 만큼 많은 ISMS-P 인증심사에 참여했지만 인증을 획득하지 못한 기업이 있다는 이야기는 들어보지 못했다.

이는 후술할 문제들이 그 원인이 되기도 하며 ISMS-P 인증심사 제도의 가장 심각한 문제다. 인증 획득과 유지가 너무도 쉽기 때문에 ISMS-P 인증을 획득한 지 2~3년 차 쯤 되는 대부분의 기업은 ISMS-P 인증심사를 그저 연례행사 쯤으로 치부하는 경우가 많다.

결함을 결함이라 하지 못한다.

심사원 입장에서는 정말 말도 안되는 것이고 “이게 무슨 소리지?”라고 의아하게 생각할 만한 논제다. 하지만 실제로 누가 봐도 명백한 보안상의 치명적인 문제점이 발견돼도 결함으로 지적해 최종 결함보고서를 작성할 수 없는 경우가 많다.

이게 무슨소리냐? 할 수도 있지만 실제 상황이 그렇다. 필자가 어느 금융기관의 ISMS-P 인증 심사 때 법적 망분리 요건을 준수하지 않고 있는 사실을 발견하여 지적하자 해당 담당자가 흥분하며 “금융감독원 망분리 점검에서도 문제를 지적 받지 않았는데 무슨 소리냐?”는 억지 주장에 결국 인터넷 접속 인증기준의 결함으로 도출하지 못했고 다른 정보통신서비스 제공자의 심사에서는 방화벽에서 DB서버의 접근을 외부 기업에게 무제한으로 허용하고 있음에도 보안시스템 운영 상의 결함으로 도출하지 못할 뻔한 경우도 있다. 이런 문제가 발생하는 이유는 다음과 같다.

심사 마지막 날, 발견한 문제점을 결함보고서에 담아야 하는데 결함보고서에는 심사를 받는 신청기관 책임자의 서명을 받아야 한다. 하지만 이런 저런 비논리적인 억지스런 사유를 대며 “이게 왜 결함입니까?” 라고 우기며 서명을 하지 않으면 결함보고서 작성을 완료할 방법이 없다. 심지어 ISMS-P 인증 기준은 모호하다며 무시하고 “이게 개인정보보호법 위반도 아닌데 왜 결함이냐? 법적 근거를 가져오라”고 심사팀에게 요구하는 적반하장도 다반사다. 대기업에서는 변호사가 나와서 반박을 하는데 가만히 들어보면 개인정보보호법은 물론 IT 관련 지식이 부족한데 말도 안되는 주장을 하는 경우도 많다.

또한 발견된 결함의 조치 기한은 100일 뿐인데 실제로 100일 동안에는 예산 및 인력확보 문제로 100일 내 조치가 어려운 경우도 있고 아예 조치가 불가능하다고 배째라~식으로 나오는 경우도 종종 있다. 그러면 아예 결함에서 제외해주는 상황이 생기기도 한다. (그 이유는 뒤에서)

ISMS-P 인증을 획득하기 위해 준수해야 하는 것들은 법적인 요구사항에 더해 추가적으로 많은 인증기준을 준수해야 하는 것임에도 법적 의무 사항만 지키면 되는 것 아니냐는 억지를 부리는 것이다.

게다가 심사를 중간에 중단하고 철수하기도 너무 어렵다. 인증심사는 일반적으로 4~5일 간 진행되는데 이틀 쯤 진행해보면 “이 조직은 ISMS-P 인증을 획득하기에는 정보보안의 수준이 낮다는 판단이 설 때가 종종 있다. 하지만 방법이 없다. 그러한 판단은 정보보호 정책, 지침, 매뉴얼 및 실제 활동에 대한 증적과 그에 기반한 인터뷰를 심사원들이 진행하고 그 과정에서 작은 결함들이 모여 ISMS-P 인증을 부여하기에는 전반적인 정보보안의 수준이 낮다고 판단하게 되는데 철수의 사유에는 “중대한 결함”이 발견된 경우 밖에 없기 때문이다. 만약 “중대한 결함”이 아님에도 철수를 하게 된다면 심사팀장이 혼자 그 사유를 입증해야 하는데 이는 너무 힘든 과정을 거쳐야 하기 때문이다.

정보보안 담당자들의 정보보안 인식 수준 미달

많은 사람들이 인증심사원의 자질 부족을 큰 문제점이라고 아직도 이야기를 한다. 이러한 문제점은 일정 부분 인정한다. 이는 과거에 빠른 제도의 안착을 위해 심사원 자격을 충분한 자격 검증 없이 부여했기에 IT 및 보안 관련 지식이 부족한 사람들에게 심사원 자격이 부여되면서 발생할 수 밖에 없는 문제였다. 하지만 10여 년 전부터 시행된 필기검정을 거쳐 자격을 취득한 심사원들에게는 해당되지 않는 문제다. 필자도 필기검정을 거친 신세대 심사원이지만 필기시험을 통과한 심사원들의 수준은 IT업계 최고 수준의 경험과 실력을 갖추고 있는 경우가 많다. 따라서 이 문제는 이미 많은 개선이 이루어졌고 현재 시행되고 있는 심사원 평가를 통해 빠른 시간내에 거의 완벽에 가깝게 개선될 문제다. 현재도 필기 검정의 합격율은 5% 이하일 정도로 시험의 난이도도 높다.

반면 ISMS-P 인증 심사를 받는 신청기관의 CISO를 비롯한 경영진과 정보보안 담당자들의 정보보안 관련 소양 부족은 감춰져 있는 것이 현실이다. “결함을 결함이라 하지 못한다”에서 언급했던 사례가 결코 드문 사례가 아닐 만큼 필자는 심사원의 자질 부족 문제보다도 공공기관, 기업의 정보보안 직무를 수행하는 책임자와 담당자 그리고 경영진의 소양 부족이 더 큰 문제라고 여겨진다.

그렇기 때문에 “결함을 결함이라 하지 못하는” 사례가 반복되는 악순환이 계속되고 있다는 생각을 하지 않을 수 없다.

ISMS-P 인증제도의 개선 방향

ISMS-P 인증제도는 우리나라 정보통신망의 보안 수준을 높이고 정보보안 산업을 지탱하는데 크게 기여하고 있다는 사실은 부인할 수 없다. 그러나 제도 운영의 측면에서 개선해야 할 점도 많은 것이 사실이다. 그 중에서도 필자가 반드시 개선되어야 한다고 생각하는 몇 가지를 언급하고자 한다.

법적 의무의 개선

정보통신망법에서 특정 조건에 해당되는 기업은 반드시 ISMS-P 인증 받도록 의무화하고 있다. 그러나 이것은 현실적으로 ISMS-P 인증의 남발로 이어지고 있다. ISMS-P 인증을 받으려면 적지 않은 정보보호 예산과 인력이 투입되어야 한다. 하지만 중소기업에게는 큰 부담이 된다. 때문에 ISMS-P 인증 획득에 실패하더라도 과태료나 과징금을 부과하지 않는 것은 어떨까 싶다. 즉 ISMS-P 인증심사를 의무적으로 받도록 하여 보안상의 문제점을 명확하게 인식하도록 도와주는 수단으로 삼는 것이다. 기업 자체적으로 개선할 수 있는 것은 개선하고 당장 개선하지 못하는 문제점들에 대해서는 대표이사 또는 CISO 명의의 개선 계획을 제시하면 과태료나 과징금을 면제해주는 제도가 필요하다고 생각된다.

그래야만 결함을 조치해야 하는 100일 내 조치할 수 없는 보안상의 문제점들을 결함으로 지적하지 못하는 악순환을 탈출할 수 있다고 생각된다.

혹자는 ISMS-P 인증을 받는 의무가 폐지되어야 한다고 주장하지만 현장에서 경험한 기업과 공공기관의 정보보안에 대한 인식 수준을 고려한다면 이는 말도 안되는 주장이다. 의무제가 폐지된다면 상상만해도 끔찍한 상황이 발생할 가능성이 매우 높다.

ISMS-P 인증 심사팀의 권한 강화

현재 ISMS-P 인증심사팀의 권한은 너무 약하다. 앞의 사례에서 언급했지만 결함에 대해 심사팀 자체적인 판단이 아닌 신청기관의 “동의”를 받아야 하는 구조는 “결함을 결함이라 할 수 없는” 상황을 가져온다. 때문에 심사팀 전체가 결함으로 동의하면 신청기관의 동의 없이도 결함으로 도출해 결함보고서를 작성하고 보완을 요구할 수 있는 체계가 필요하다.

또한 “중결함”만 인증 부여를 거부할 수 있는 조건으로 되어 있으나 심사 중 발견되는 결함사항이 조치 기한인 100일 내 조치가 불가능한 수준이거나 너무 많다면 심사팀 전체가 동의할 경우 인증을 수여하지 않도록 인증기관이나 인증위원회에 건의할 수 있는 체계 또한 필요하다. 이러한 경우 앞에서 언급했듯 ISMS-P 인증 의무 대상기업이라 하더라도 일단 인증심사를 받았으므로 개선계획을 제출한다면 과태료 또는 과징금의 대상으로 삼지 않은 것 또한 고려할 필요가 있다.

그리하여 종합적으로 ISMS-P 인증을 획득한 기업은 높은 수준의 정보보호 관리체계를 운영하고 있다는 것을 실질적으로 인증 받을 수 있도록 해야 한다.

#ISMS-P #ISMS #ISMS-P인증제도 #ISMS-P인증심사원