왜 지금 ISMS-P인가? 전제는 어떤 인증도 모든 해킹을 100% 막을 수 없다는 점
종이 위에서 설계된 구조와 현장에서 돌아가는 현실 사이에 간극 줄이는 노력 필요
[보안뉴스= 유도진 극동대학교 해킹보안학과 교수] 정보보호 및 개인정보보호 관리체계(ISMS-P)는 기업과 기관이 보유한 정보자산과 개인정보를 어느 정도 수준으로 보호하고 있는지, 정부가 정한 기준에 따라 점검하고 인증하는 국가 공인 제도다. 개인정보보호위원회와 과학기술정보통신부가 제도를 공동 관리하고, 한국인터넷진흥원(KISA)이 심사와 인증 실무를 맡는다. 일정 규모 이상의 개인정보를 처리하는 기업 및 기관 등은 관련 법에 따라 ISMS 또는 ISMS-P 인증을 의무적으로 받아야 한다.
[자료: gettyimagesbank]
인증을 준비하는 과정에서 조직은 자산 목록을 정리하고, 접근통제·로그관리·패치관리·개인정보 수집·보관·파기 절차를 정비하게 된다. 그동안 관행에 기대던 부분을 제도화하고, 최소한의 관리체계를 갖추는 효과가 있었다는 평가도 있다.
그런데 ISMS-P 인증을 보유한 조직에서 대형 해킹사고가 잇따르면서, “인증을 받았는데도 왜 막지 못했느냐”, “서류 체크리스트에만 치우친 형식적 인증 아니냐”는 비판이 거세졌다. 정부도 서류 위주 심사에서 현장 검증과 모의해킹을 강화하고, 중대한 사고 발생 시 인증 취소·조건부 인증 등 사후 조치를 도입하는 방안을 검토하고 있다.
제도 자체의 필요성에는 이견이 크지 않다. 문제는 이 제도가 실제 위험을 줄이는 데 어느 정도까지 기여하고 있는지, 그리고 운영 구조가 현장에서 어떻게 작동하고 있는지다.
ISMS-P 제도의 설계와 작동 방식
ISMS-P는 세 가지 축으로 이해할 수 있다. 첫째, 기준이다. 정보보호와 개인정보보호 영역을 합쳐 100개 안팎의 통제 항목을 두고, 조직이 이를 만족하는지 점검한다. 관리자 계정 관리, 로그 보관 기간, 암호화 방식, 개인정보 파기 절차 등이 여기에 포함된다.
둘째, 대상이다. 법령에 따라 일정 매출·이용자 기준을 넘는 민간 사업자와 주요 공공기관이 인증 의무 또는 권고 대상이 된다. 우리가 일상적으로 사용하는 서비스 상당수가 여기에 해당한다.
셋째, 심사 구조다. 제도 운영과 최종 인증 발급은 KISA·금융보안원 같은 인증기관이 맡고, 한국정보통신기술협회(TTA), 한국정보통신진흥협회(KAIT), 개인정보보호협회(OPA), 국가정보원 산업기밀보호센터(NISC) 등 심사기관 소속 심사원들이 현장 심사를 수행한다.
이 구조를 통해 국내에서 일정 수준의 보안관리 체계 표준이 자리 잡은 것은 분명하다. 그러나 최근의 사고와 논쟁은 이 구조가 현재의 위협 환경과 운영 현실을 얼마나 정확히 반영하는지, 그리고 설계된 구조가 현장에서 어떤 인센티브와 관행을 만들어내는지 다시 따져보게 한다.
사고와 인증 사이의 간극
ISMS-P 인증을 보유한 조직에서 발생한 사고는 제도에 대한 신뢰 논쟁을 키웠다. 사고 이후 뒤늦게 해당 기업이 ISMS 또는 ISMS-P 인증을 받았던 곳이라는 사실이 알려지면서 논란이 커진 것이다. 여기서 동시에 붙들어야 할 사실이 있다.
하나는, 어떤 인증도 모든 해킹을 100% 막을 수는 없다는 점이다. 해킹조직의 역량, 제로데이(알려지지 않은 취약점), 내부자 침해(실수포함) 같은 요소는 어떤 관리체계도 완벽한 차단이 불가능하다. 다른 하나는, 그렇다고 해서 ‘인증은 의미 없다’고 넘겨버리기에는 제도가 차지하는 비중과 비용이 너무 크다는 점이다. 수많은 조직이 ISMS-P에 맞추기 위해 연간 적지 않은 비용과 인력을 투입하는 만큼, ‘그 노력만큼 위험이 줄어들고 있는가‘하는 질문은 피할 수 없다.
지난 국감에서는 “중대한 사고가 나도 인증이 유지되는 것은 제도의 신뢰를 떨어뜨린다”는 지적이 나왔고, 감독기관은 “사고만으로 곧바로 인증 취소 요건이 충족되는 것은 아니지만, 사고 이후 어떤 형태의 재점검과 피드백을 할 것인지 논의가 필요하다”는 입장을 밝혔다. 이 지점이 많은 사람들이 체감하는 사고와 인증 사이의 간극이 집중되는 부분이다.
현장의 구조...심사 프로세스가 만드는 선택
제도 설계만으로는 왜 이런 간극이 생기는지 충분히 드러나지 않는다. 이를 이해하려면 실제 심사 실무에서 어떤 선택들이 이루어지는지를 함께 볼 필요가 있다.
ISMS-P 심사에 여러 해 참여해 온 심사원 A씨는 현장 구조를 이렇게 설명한다. KISA가 ISMS 포털에 공고를 올리면 심사에 참여할 심사원들이 지원하고, KISA가 관련 규정에 따라 한 팀을 구성한다. 심사기관 소속 심사원들은 팀장과 팀원으로 나뉘어 며칠간 현장을 방문해 담당자 인터뷰, 정책 및 내규 확인, 시스템과 로그 점검 등을 진행한다.
심사가 끝나갈 무렵, 팀장은 팀원들이 적어 낸 지적사항을 취합해 ‘결함’과 ‘권고’를 구분하고, 기업과 조율을 거쳐 기업이 어느 정도까지 조치할 수 있을지를 감안하면서 최종 보고서를 정리한다. 이후 인증위원회에 나가 결과를 설명하는 역할도 팀장의 몫이다. A씨는 “결함이 많을수록 기업과의 조율, 이행 확인, 위원회 설명 등 팀장에게 돌아오는 부담이 커질 수밖에 없다”고 말했다.
그는 “중요한 문제는 절대로 빼서는 안 되지만, 애매한 것까지 모두 결함으로 올리면 실무 부담과 일정 압박이 매우 커진다”며 “그래서 일부 지적사항은 문서상 결함이 아닌 권고 수준으로 처리하거나, 구두로 전달하는 방식으로 정리할 수밖에 없는 경우가 있다”고 전한다.
인증위원회 운영에 대해서도 A씨는 “여러 기관 안건을 한 번에 다루다 보니, 한 조직의 심사 결과를 충분히 토론할 수 있는 시간이 넉넉하지 않다”며 “위원회에서는 심사팀이 이미 조율해 온 결함이나 권고 내역을 크게 바꾸지 않는 선에서 인증 여부를 결정하는 분위기”라고 설명했다.
이 같은 설명은 A씨의 경험과 인식에 기반한 것이지만, ‘결함이 많을수록 부담이 커지는 구조’와 ‘위원회 심의 시간이 촉박한 구조’가 심사 팀장과 심사원의 선택에 어떤 영향을 줄 수 있는지에 대해 고민하게 만들기 충분한 대목이다.
심사원 배정과 평가...보이지 않는 신뢰의 기반
심사원 제도는 ISMS-P의 신뢰를 지탱하는 또 다른 축이다. ISMS-P 심사원들은 각 심사기관에 소속돼 있고, KISA 포털 공고를 보고 심사 참여를 신청한다. 어떤 심사원이 어떤 기업을 심사하는지는 KISA가 팀을 구성하는 과정에서 결정된다.
A씨는 “어떤 기준으로 누구를 어떤 현장에 배정하는지, 심사원 입장에서는 잘 알기 어렵다”고 말했다. 특정 심사원이 특정 업종이나 조직을 반복해서 심사하는 관행이 있는 것 아니냐는 의문이 나오는 이유다.
문서상으로는 심사원 평가 제도가 있다. 심사팀장이 심사원을, 심사원이 팀장을, 심사원끼리 서로를 평가하는 구조다. 제도 설명상으로는 이러한 평가를 바탕으로 심사 참여 기회나 인센티브를 조정한다고 되어 있다. 그러나 A씨는 “평가가 실제로 어떻게 쓰이는지, 부실 심사를 한 경우 어떤 불이익이 있는지 심사원들이 체감하기 어렵다”며 “평가가 품질 관리 수단이라기보다 누가 더 자주 심사에 배정되는지를 좌우하는 내부 지표처럼 느껴지는 부분이 있다”고 토로했다.
그의 주장은 ‘누가 어떤 기준으로 누구를 심사하는지’, ‘부실 심사에 대한 책임이 어떻게 관리되는지’에 대해 보다 투명한 설명과 논의가 필요하다는 문제 제기로 볼 수 있다.
구조와 책임을 함께 보는 시각
A씨를 비롯한 심사원들의 경험은 ISMS-P 제도가 종이 위에서 설계된 구조와 현장에서 돌아가는 현실 사이에 간극이 있음을 보여준다. 동시에 일부 전문가는 “개별 심사원의 경험을 곧바로 제도 전체의 문제로 일반화해서는 안 된다”고 지적한다. 두 시각은 함께 성립한다.
현장 증언은 제도가 실제로 어떤 방식으로 작동하는지 보여주는 중요한 단서이지만, 하나의 경험을 전체 진실로 삼을 수는 없다. 그렇다고 해서 이런 목소리를 “개인의 불만” 정도로 치부하고 넘어가면 제도를 고칠 기회도 함께 사라진다.
그래서 필요한 것은 구조와 책임을 함께 보는 시각이다. 심사팀과 인증위원회에 어떤 인센티브와 제약이 걸려 있는지, 심사원 배정과 평가가 어떤 신호를 주고 있는지, 사고 이후 어떻게 다시 점검하고 기준을 고쳐 나갈 것인지 등을 차분히 짚어보는 작업이 선행되어야 한다. 그래야만 제도에 대한 비판과 옹호가 ‘감정 싸움’이 아닌 ‘구조를 어떻게 바꿀 것인가’라는 논의로 올라설 수 있다.
진정한 의미의 인증을 위해서는
▲유도진 극동대학교 해킹보안학과 교수 [자료: 유도진 교수]
ISMS-P는 현재 국내 현실에서 필요한 제도다. 많은 조직이 이 제도를 계기로 처음 보안관리 체계를 잡았고, 지금도 그 틀 안에서 여러 개선 노력이 이뤄지고 있다. 그렇기에 더더욱 중요한 것은 이 제도가 실제 위험을 얼마나 줄이고 있는지, 어디서 한계를 보이고 있는지 진중하게 점검하는 일이다.
심사 프로세스와 심사원 제도가 만들어 내는 인센티브, 인증 이후에도 이어지는 사고와 정부의 대응을 함께 놓고 보면 우리에게 남는 과제는 분명해진다. 인증 그 자체를 목표로 삼는 구조에서, 인증을 ‘실제 해킹을 탐지하고 차단할 수 있는 수단’으로 재설계하는 것이다.
그 과정에서 필요한 것은 데이터와 구조, 현장의 경험을 열어놓고 함께 설계 방향을 논의할 수 있는 장이다. ISMS-P가 ‘인증을 받았으니 안심하라’는 말이 아니라 ‘우리는 이 정도 수준까지 대비하고 있다’는 약속이 되려면, 지금과 같은 논의가 피할 수 없는 숙제가 되어야 한다.
[글_ 유도진 극동대학교 해킹보안학과 교수]
종이 위에서 설계된 구조와 현장에서 돌아가는 현실 사이에 간극 줄이는 노력 필요
[보안뉴스= 유도진 극동대학교 해킹보안학과 교수] 정보보호 및 개인정보보호 관리체계(ISMS-P)는 기업과 기관이 보유한 정보자산과 개인정보를 어느 정도 수준으로 보호하고 있는지, 정부가 정한 기준에 따라 점검하고 인증하는 국가 공인 제도다. 개인정보보호위원회와 과학기술정보통신부가 제도를 공동 관리하고, 한국인터넷진흥원(KISA)이 심사와 인증 실무를 맡는다. 일정 규모 이상의 개인정보를 처리하는 기업 및 기관 등은 관련 법에 따라 ISMS 또는 ISMS-P 인증을 의무적으로 받아야 한다.
[자료: gettyimagesbank]
인증을 준비하는 과정에서 조직은 자산 목록을 정리하고, 접근통제·로그관리·패치관리·개인정보 수집·보관·파기 절차를 정비하게 된다. 그동안 관행에 기대던 부분을 제도화하고, 최소한의 관리체계를 갖추는 효과가 있었다는 평가도 있다.
그런데 ISMS-P 인증을 보유한 조직에서 대형 해킹사고가 잇따르면서, “인증을 받았는데도 왜 막지 못했느냐”, “서류 체크리스트에만 치우친 형식적 인증 아니냐”는 비판이 거세졌다. 정부도 서류 위주 심사에서 현장 검증과 모의해킹을 강화하고, 중대한 사고 발생 시 인증 취소·조건부 인증 등 사후 조치를 도입하는 방안을 검토하고 있다.
제도 자체의 필요성에는 이견이 크지 않다. 문제는 이 제도가 실제 위험을 줄이는 데 어느 정도까지 기여하고 있는지, 그리고 운영 구조가 현장에서 어떻게 작동하고 있는지다.
ISMS-P 제도의 설계와 작동 방식
ISMS-P는 세 가지 축으로 이해할 수 있다. 첫째, 기준이다. 정보보호와 개인정보보호 영역을 합쳐 100개 안팎의 통제 항목을 두고, 조직이 이를 만족하는지 점검한다. 관리자 계정 관리, 로그 보관 기간, 암호화 방식, 개인정보 파기 절차 등이 여기에 포함된다.
둘째, 대상이다. 법령에 따라 일정 매출·이용자 기준을 넘는 민간 사업자와 주요 공공기관이 인증 의무 또는 권고 대상이 된다. 우리가 일상적으로 사용하는 서비스 상당수가 여기에 해당한다.
셋째, 심사 구조다. 제도 운영과 최종 인증 발급은 KISA·금융보안원 같은 인증기관이 맡고, 한국정보통신기술협회(TTA), 한국정보통신진흥협회(KAIT), 개인정보보호협회(OPA), 국가정보원 산업기밀보호센터(NISC) 등 심사기관 소속 심사원들이 현장 심사를 수행한다.
이 구조를 통해 국내에서 일정 수준의 보안관리 체계 표준이 자리 잡은 것은 분명하다. 그러나 최근의 사고와 논쟁은 이 구조가 현재의 위협 환경과 운영 현실을 얼마나 정확히 반영하는지, 그리고 설계된 구조가 현장에서 어떤 인센티브와 관행을 만들어내는지 다시 따져보게 한다.
사고와 인증 사이의 간극
ISMS-P 인증을 보유한 조직에서 발생한 사고는 제도에 대한 신뢰 논쟁을 키웠다. 사고 이후 뒤늦게 해당 기업이 ISMS 또는 ISMS-P 인증을 받았던 곳이라는 사실이 알려지면서 논란이 커진 것이다. 여기서 동시에 붙들어야 할 사실이 있다.
하나는, 어떤 인증도 모든 해킹을 100% 막을 수는 없다는 점이다. 해킹조직의 역량, 제로데이(알려지지 않은 취약점), 내부자 침해(실수포함) 같은 요소는 어떤 관리체계도 완벽한 차단이 불가능하다. 다른 하나는, 그렇다고 해서 ‘인증은 의미 없다’고 넘겨버리기에는 제도가 차지하는 비중과 비용이 너무 크다는 점이다. 수많은 조직이 ISMS-P에 맞추기 위해 연간 적지 않은 비용과 인력을 투입하는 만큼, ‘그 노력만큼 위험이 줄어들고 있는가‘하는 질문은 피할 수 없다.
지난 국감에서는 “중대한 사고가 나도 인증이 유지되는 것은 제도의 신뢰를 떨어뜨린다”는 지적이 나왔고, 감독기관은 “사고만으로 곧바로 인증 취소 요건이 충족되는 것은 아니지만, 사고 이후 어떤 형태의 재점검과 피드백을 할 것인지 논의가 필요하다”는 입장을 밝혔다. 이 지점이 많은 사람들이 체감하는 사고와 인증 사이의 간극이 집중되는 부분이다.
현장의 구조...심사 프로세스가 만드는 선택
제도 설계만으로는 왜 이런 간극이 생기는지 충분히 드러나지 않는다. 이를 이해하려면 실제 심사 실무에서 어떤 선택들이 이루어지는지를 함께 볼 필요가 있다.
ISMS-P 심사에 여러 해 참여해 온 심사원 A씨는 현장 구조를 이렇게 설명한다. KISA가 ISMS 포털에 공고를 올리면 심사에 참여할 심사원들이 지원하고, KISA가 관련 규정에 따라 한 팀을 구성한다. 심사기관 소속 심사원들은 팀장과 팀원으로 나뉘어 며칠간 현장을 방문해 담당자 인터뷰, 정책 및 내규 확인, 시스템과 로그 점검 등을 진행한다.
심사가 끝나갈 무렵, 팀장은 팀원들이 적어 낸 지적사항을 취합해 ‘결함’과 ‘권고’를 구분하고, 기업과 조율을 거쳐 기업이 어느 정도까지 조치할 수 있을지를 감안하면서 최종 보고서를 정리한다. 이후 인증위원회에 나가 결과를 설명하는 역할도 팀장의 몫이다. A씨는 “결함이 많을수록 기업과의 조율, 이행 확인, 위원회 설명 등 팀장에게 돌아오는 부담이 커질 수밖에 없다”고 말했다.
그는 “중요한 문제는 절대로 빼서는 안 되지만, 애매한 것까지 모두 결함으로 올리면 실무 부담과 일정 압박이 매우 커진다”며 “그래서 일부 지적사항은 문서상 결함이 아닌 권고 수준으로 처리하거나, 구두로 전달하는 방식으로 정리할 수밖에 없는 경우가 있다”고 전한다.
인증위원회 운영에 대해서도 A씨는 “여러 기관 안건을 한 번에 다루다 보니, 한 조직의 심사 결과를 충분히 토론할 수 있는 시간이 넉넉하지 않다”며 “위원회에서는 심사팀이 이미 조율해 온 결함이나 권고 내역을 크게 바꾸지 않는 선에서 인증 여부를 결정하는 분위기”라고 설명했다.
이 같은 설명은 A씨의 경험과 인식에 기반한 것이지만, ‘결함이 많을수록 부담이 커지는 구조’와 ‘위원회 심의 시간이 촉박한 구조’가 심사 팀장과 심사원의 선택에 어떤 영향을 줄 수 있는지에 대해 고민하게 만들기 충분한 대목이다.
심사원 배정과 평가...보이지 않는 신뢰의 기반
심사원 제도는 ISMS-P의 신뢰를 지탱하는 또 다른 축이다. ISMS-P 심사원들은 각 심사기관에 소속돼 있고, KISA 포털 공고를 보고 심사 참여를 신청한다. 어떤 심사원이 어떤 기업을 심사하는지는 KISA가 팀을 구성하는 과정에서 결정된다.
A씨는 “어떤 기준으로 누구를 어떤 현장에 배정하는지, 심사원 입장에서는 잘 알기 어렵다”고 말했다. 특정 심사원이 특정 업종이나 조직을 반복해서 심사하는 관행이 있는 것 아니냐는 의문이 나오는 이유다.
문서상으로는 심사원 평가 제도가 있다. 심사팀장이 심사원을, 심사원이 팀장을, 심사원끼리 서로를 평가하는 구조다. 제도 설명상으로는 이러한 평가를 바탕으로 심사 참여 기회나 인센티브를 조정한다고 되어 있다. 그러나 A씨는 “평가가 실제로 어떻게 쓰이는지, 부실 심사를 한 경우 어떤 불이익이 있는지 심사원들이 체감하기 어렵다”며 “평가가 품질 관리 수단이라기보다 누가 더 자주 심사에 배정되는지를 좌우하는 내부 지표처럼 느껴지는 부분이 있다”고 토로했다.
그의 주장은 ‘누가 어떤 기준으로 누구를 심사하는지’, ‘부실 심사에 대한 책임이 어떻게 관리되는지’에 대해 보다 투명한 설명과 논의가 필요하다는 문제 제기로 볼 수 있다.
구조와 책임을 함께 보는 시각
A씨를 비롯한 심사원들의 경험은 ISMS-P 제도가 종이 위에서 설계된 구조와 현장에서 돌아가는 현실 사이에 간극이 있음을 보여준다. 동시에 일부 전문가는 “개별 심사원의 경험을 곧바로 제도 전체의 문제로 일반화해서는 안 된다”고 지적한다. 두 시각은 함께 성립한다.
현장 증언은 제도가 실제로 어떤 방식으로 작동하는지 보여주는 중요한 단서이지만, 하나의 경험을 전체 진실로 삼을 수는 없다. 그렇다고 해서 이런 목소리를 “개인의 불만” 정도로 치부하고 넘어가면 제도를 고칠 기회도 함께 사라진다.
그래서 필요한 것은 구조와 책임을 함께 보는 시각이다. 심사팀과 인증위원회에 어떤 인센티브와 제약이 걸려 있는지, 심사원 배정과 평가가 어떤 신호를 주고 있는지, 사고 이후 어떻게 다시 점검하고 기준을 고쳐 나갈 것인지 등을 차분히 짚어보는 작업이 선행되어야 한다. 그래야만 제도에 대한 비판과 옹호가 ‘감정 싸움’이 아닌 ‘구조를 어떻게 바꿀 것인가’라는 논의로 올라설 수 있다.
진정한 의미의 인증을 위해서는
▲유도진 극동대학교 해킹보안학과 교수 [자료: 유도진 교수]
ISMS-P는 현재 국내 현실에서 필요한 제도다. 많은 조직이 이 제도를 계기로 처음 보안관리 체계를 잡았고, 지금도 그 틀 안에서 여러 개선 노력이 이뤄지고 있다. 그렇기에 더더욱 중요한 것은 이 제도가 실제 위험을 얼마나 줄이고 있는지, 어디서 한계를 보이고 있는지 진중하게 점검하는 일이다.
심사 프로세스와 심사원 제도가 만들어 내는 인센티브, 인증 이후에도 이어지는 사고와 정부의 대응을 함께 놓고 보면 우리에게 남는 과제는 분명해진다. 인증 그 자체를 목표로 삼는 구조에서, 인증을 ‘실제 해킹을 탐지하고 차단할 수 있는 수단’으로 재설계하는 것이다.
그 과정에서 필요한 것은 데이터와 구조, 현장의 경험을 열어놓고 함께 설계 방향을 논의할 수 있는 장이다. ISMS-P가 ‘인증을 받았으니 안심하라’는 말이 아니라 ‘우리는 이 정도 수준까지 대비하고 있다’는 약속이 되려면, 지금과 같은 논의가 피할 수 없는 숙제가 되어야 한다.
[글_ 유도진 극동대학교 해킹보안학과 교수]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.png)
.png)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
