국내에 정보보호 관리체계(ISMS) 인증제도가 도입된 지도 어언 20년이 지났다. 사람으로 치면 성년에 이른 셈이다. 정보보호 분야에 종사하는 사람이라면 모르는 사람이 없겠지만, 일반 국민에게는 낯선 용어일 수도 있다. ISMS 인증은 인터넷 상에서 내외부자의 권한 없는 접근이나 해킹에서 정보자산을 안전하게 보호하기 위해 정보보호 관리체계의 안전성과 신뢰성을 기술적·관리적으로 검증하는 제도다. 우리가 자동차를 안전하게 이용하기 위해 정기적으로 안전점검을 받는 것과 같다.
전기통신사업자·병원·대학을 포함해 정보처리시스템에 대한 의존도가 높은 기업(연간 정보통신 매출액 100억원 이상 또는 일일 이용자 수 100만명 이상)은 ISMS 인증이 의무화돼 있다. 하지만 최근에는 인증 의무가 없는 기업들의 자발적인 인증 신청이 급증하고 있다. 2020년부터 연간 신청 기업이 300개를 넘어섰고, 인증을 계속 유지하는 기업도 꾸준해 연간 1100개 이상이 유지되고 있다. ISMS 인증 효과와 장점이 기업 실무자들에게 인정받은 결과로 보인다.
ISMS 인증에 대한 정부의 지원 확대도 기업의 자발적 인증 신청을 늘게 하는 이유가 된 것으로 보인다. ISMS 인증을 받으면 국가기관 등과 계약 체결 시 우대, 각종 보안점검의무 면제, 지정·인허가 시 가점 부여, 과징금 감면, 상장기업 환경·사회·투명경영(ESG) 평가항목 일부 대체 등 다양한 혜택을 누릴 수 있다.
법원 판결에서도 ISMS 인증이 손해배상이나 과실 판단에 영향을 미치기 때문에 정보기술(IT)업계에서는 거래 상대방을 선정할 때 ISMS 인증 기업과 거래를 선호하고 있다. 정보 유출 사고에 대한 책임이 강화되면서 ISMS 인증을 받지 못한 기업은 점차 설 자리가 줄고 있는 것이다.
그럼에도 비용과 시간이 든다는 이유로 ISMS 인증에 소극적인 기업이 적잖다. 그러나 우리가 정기적으로 건강검진을 받으면 적은 비용으로 큰 병을 예방할 수 있듯 ISMS 인증도 적은 비용으로 큰 보안사고를 예방할 수 있다. 해커는 보안이 취약한 기업을 공격 대상으로 삼기 때문에 기업 규모가 작다고 해서 공격의 대상에서 벗어날 수 있는 것은 아니다. 또한 해킹은 그 피해가 해당 기업에 그치지 않고 다른 기업으로 전파·전가되고, 전파력이 강한 전염병과 같이 순식간에 정보통신망 전체에 위협을 가져오거나 국가 전체를 혼란에 빠트릴 수도 있다.
그런 의미에서 정보처리시스템을 도입·운영하고 있는 기업들은 기본적으로 ISMS 인증을 받아야 한다. 그것이 기업의 최소한의 사회적 책임이고, 고객 신뢰에 대한 보답이며, 정보보호 기본이자 시작이라고 할 수 있다. 기업은 정보자산을 보호하기 위해 최소한 상대방 기업과 거래를 시작하기 전에 ISMS 인증을 받은 기업인지를 확인해야 한다. 소비자도 물품을 구매하거나 서비스를 이용할 때 ISMS 인증마크를 확인함으로써 자신의 개인정보를 더 안전하게 보호할 수 있다.
ISMS 인증제도는 지난 20여 년간 진화를 거듭해 왔다. 정보통신 기술 변화와 서비스 다양화에 따라 인증기준을 구체화함으로써 인증 실효성을 높이는 한편, 중첩된 정보보호 인증 제도를 통폐합해 인증비 부담을 줄였다. ISMS와 ISMS-P 선택신청, ISO 같은 인증의 부분 면제신청 등으로 기업 선택 범위도 확대했다. 근래에는 ISMS 인증을 의료·교육·통신 등 분야로 세분화해야 한다는 논의도 있다. 인증의 양적 성장과 함께 질적 도약을 위해서는 인증 기준 세분화가 필요하지만, 세분화 논의가 인증 제도의 분산으로 이어져서는 안 될 것이다. 제도 중복 운영은 비용 확대와 혼란만 초래할 뿐이다.
기업의 부담 완화를 주장하는 목소리도 없지 않다. 중소기업 참여 확대를 위해 ISMS 인증 문턱을 낮추는 것은 고민해야 할 과제다. 비용·기술 등을 지원하거나, 경량화된 ISMS 인증을 신설하는 방안도 고려할 수 있다. 다만 경량화된 ISMS라고 해서 인증 수준 자체를 낮추는 것이어서는 안 된다. 중소기업의 정보처리시스템 환경에 맞는 관리체계 개발을 통한 부담 완화 방안이어야 할 것이다.
지금은 기업 부담 완화를 위해 ISMS 인증 후 1년마다 받아야 하는 사후심사가 최초 인증 항목 대비 60% 수준에서만 점검이 이뤄지고 있다, 그러나 이는 하루가 멀다 않고 새로운 해킹 기법이 난무하는 시기, 현실에 맞지 않는 제도다. 소 잃고 외양간 고치느니 좀 부담이 되더라도 사후심사에서도 전체적인 점검이 이뤄져야 한다. 보안은 생활화해야 하는 것이지, 이를 부담으로만 생각해서는 안 된다.
우리 기업을 향한 북한 해킹이 갈수록 노골화되고 있는 이때, 정보보호에 대한 기업과 이용자들 경각심이 더욱 필요한 시기다.