올해까지 취득해야 하는 ISMS 인증 의무화 기업, 신청률 50% 미만  예산집행 및 인증준비 미흡 등 이유로 많은 기업 아직 신청 못해
KISA, 의무대상자 리스트 산정기준 불명확하다는 이유로 공개 꺼려 

[보안뉴스 김경애] 정보통신망법에 따라 올해 △ISP(Internet Service Provider) 업체로 통신사나 망서비스 업체 △IDC센터(Internet data center) 운영업체 △정보통신서비스 부문에서 전년도 매출 100억 이상 또는 전년도말 3개월 기준 일평균 이용자 수가 100만 명 이상인 기업은 의무적으로 정보보호관리체계(ISMS: Information Security Management System) 인증을 취득해야 한다.


이를 위반할 경우 1000만원 이하 과태료가 부과된다. 더욱이 ISMS 인증 의무화 기준은 신청이 아닌 취득기준이기 때문에 실제 기업에서 인증을 취득할 수 있는 기간은 불과 6개월도 남지 않은 상황이다. 게다가 서류심사 및 현장심사 등의 인증절차 소요기간까지 뺀다면 적어도 10월 안으로는 인증신청을 해야 하는데, 그렇게 따져보면 남은 기간은 3개월 정도에 불과하다.

이와 관련해 본지 확인결과 의무대상인 200개 이상 기업 중 인증을 신청한 기업은 50% 미만인 것으로 드러났다. 이를 두고 일각에서는 정보보호인식 부족과 더불어 인증의 실효성 미흡을 지적하는 목소리도 나오고 있다.

ISMS 인증심사는 △신청서심사 △현장심사 △ISMS인증획득 절차 순으로 진행된다.

신청서 심사와 관련해 한국인터넷진흥원(이하 KISA) 관계자는 “기업에서 신청서를 내려면 먼저 심사받는 날짜를 정하기 위해 기업과 KISA 간의 일정확인 및 조율이 이뤄진다”며 “서류심사는 신청서를 제대로 작성했는지 등의 심사가 이뤄지고, 심사기간은 통상적으로 1~2주가 소요된다”고 말했다.

그 다음으로는 현장심사 이전에 비공식적으로 사전점검이 진행된다. 이는 현장심사 전 서류심사와 내용이 상이한 건 없는지 미리 검토하는 단계로 현장심사가 원활히 이뤄지도록 현장을 직접 방문해 점검한다.
 
이와 관련 KISA 측은 “실제 현장상황과 서류상의 내용이 다르면 심사절차가 제대로 이뤄질 수 없기 때문에 이를 방지하기 위해 현장심사 전에 점검한다”며 “점검은 일반적으로 1~2주 정도 소요된다”고 설명했다.

현장심사 단계에서 본격적인 심사가 이뤄지며, 결함 등의 문제가 나오면 기업은 통상적으로 30일 안으로 조치를 완료하고 KISA에 통보해야 한다.

이에 따라 KISA는 제대로 조치·이행됐는지 점검한 후 최종점검을 거쳐 인증위원회에 상정하면 기업은 비로소 인증위원회로부터 ISMS 인증을 부여받게 된다. 따라서 기업에서 ISMS 인증을 획득하려면 최소 6주전에는 신청서를 제출해야 한다는 얘기다.

본지 조사결과 KISA가 밝힌 50% 미만의 신청기업 가운데 처음 인증심사를 받는 기업은 약 30% 미만이며, 그 가운데 금융권은 3분의 1은 넘지 않는 것으로 파악됐다. 올 상반기 개인정보 유출사고가 발생한 기업 중에는 KT를 비롯해 3개 통신사와 국민은행 등도 포함돼 있었다.

이처럼 인증 의무화 대상기업이 올해까지 인증을 취득하려면 해당 기업 대다수가 이미 인증신청을 완료했어야 한다. 그럼에도 불구하고 신청 기업이 아직까지 50%미만으로 저조하다는 것은 뭔가 문제가 있다는 것을 의미한다.

저조한 원인에 대해 KISA 측은 “각 기업의 사정을 명확히 파악할 순 없지만 인증신청 준비가 안 된 기업의 경우 예산집행이 이뤄지지 않았거나, 연내 계획에서 제외된 경우도 있다”며 “일부 기업의 경우는 시스템 구축 및 사전운용 기간이 필요한 곳도 있다”고 말했다. 즉 제대로 준비된 기업이 많지 않다는 얘기다. 

그러면서 그는 “기업에서 빠르게는 5~6월에 인증심사를 받기도 하지만 일반적으로 상반기는 인증심사를 준비하고, 하반기에 인증심사를 받는다”며 “이를 토대로 할 경우 인증신청이 하반기에 몰릴 수 있다”고 덧붙였다.

그러나 이는 핑계에 불과하다는 게 대상기업 서비스 이용자들의 공통된 의견이다. 이용자 정보보호를 위해 적극적이었다면 지난해 예산수립시 충분히 반영할 수 있고, 제대로 관리가 되고 있었다면 개인정보 유출사고가 발생하지는 않았을 것이라는 지적이다.

게다가 아직까지 인증신청을 하지 않은 기업이 100여개 이상 남아 있어 하반기에 심사가 몰릴 경우 인증심사원 인력이 부족할 수 있다는 의견도 제기되고 있다. 

이에 대해 KISA 관계자는 “빠른 신청을 위해 기업에게 유선, 이메일, 공문 등의 방법으로 안내하고 있다”며 “하반기인 9~11월에 신청이 몰릴 것에 대비해 한달에 30~50곳을 커버하는 것까지 염두에 두고 있다. 이를 위해 인력과 일정을 조율하는 등 심사원 수급에는 문제가 발생하지 않도록 준비하고 있다”고 말했다.

그러나 하반기 인증신청이 몰릴 경우 한정된 심사원 인력 풀로 인해 제대로 된 심사가 이뤄지지 않을 것이라는 우려도 있다. 심사 품질 향상을 위한 심사원 검증이 미흡해지고, 인증심사 자체가 겉핧기 식에 그칠 것이라는 얘기다.     

한편 ISMS 인증을 의무적으로 취득해야 하는 대상기업이 어디인지 관심이 쏠리고 있다. 그러나 KISA 측은 의무대상자 기업 공개에 조심스러운 입장이다.
 
기업 공개를 꺼리는 이유에 대해 KISA측 관계자는 “정확한 의무대상자 기준 산정에 있어 기업의 인수합병, 인증 대상 제외 등 변동의 여지가 있다”며, “또한 의무대상 기업 전체를 공개했을 경우 인증을 획득하지 못한 기업의 사적정보가 드러날 수 있기 때문”이라고 밝혔다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>