인증 의무화 전 11년간 총 151건, 의무화된 작년 한해만 126건 발급
[보안뉴스= 김정완 에이쓰리시큐리티 팀장] 다나와, 줌인터넷, 에누리닷컴, 제일모직, 아르바이트천국, 이스트소프트, 한국투자증권, 천삼백케이, 국가평생교육진흥원, 이랜드리테일, 삼성웰스토리, 삼성증권, 케이티렌탈, 한국암웨이, 열심히커뮤니케이션, 우리은행, 포스코, 롯데마트.

 


성격이 전혀 다른 이들 기업·기관들의 공통점은 무엇일까? 위에 언급한 기업들의 공통점은 모두 정보보호 관리체계인 ISMS 인증을 획득했다는 점이다.


우리나라 정보보호 관리체계인 ISMS(Information Security Management System) 인증 제도는 2013년 2월 18일부터 의무화된 상황이다. 올해도 의무화 조치에 따라 의무대상 기업·기관들은 ISMS 인증을 취득해야 하는데, 그 시간이 이제 불과 20여일도 남질 않은 상황이다. 이에 필자는 ISMS 인증 의무대상 기업·기관들은 어디인지, 또 현재까지 ISMS 인증 획득현황 등은 어떠한지 살펴봤다.

ISMS 인증 의무화에 따른 눈에 띄는 변화 가운데 하나는 의무대상 기업·기관들의 인증 획득 건수라고 할 수 있다. 앞서 언급된 기업·기관들 역시 인증 의무대상 기업·기관들이기에 최근인 올해 10월, 11월에 인증을 획득했다.

ISMS 인증은 2002년 에이쓰리시큐리티에서 국내 최초로 ISMS 인증을 획득한 것을 시작으로(참고로 에이쓰리시큐리티는 국내 ISMS 인증제도 시작과 함께 국내 최초로 2011년 12월 20일, ISMS 인증을 획득한 이래 현재까지 인증을 유지하고 있다) 2003년 6건, 2004년 18건, 2005년 9건 등이었다. 매년 ISMS 인증서 발급현황이 크게 증가하지 않았던 게 사실이다. 인증 의무화 전인 최근 3년 동안에도 2012년 25건, 2011년 27건, 2010년 22건이 전부였으니 말이다.
 
그러다 ISMS 인증 의무화가 본격적으로 시행된 2013년 한해만 총 126건의 인증서가 발급돼 이전 11년 동안 발급된 총 151건(2002년~2012년)과 비교하면 참으로 괄목할만한 수준으로 증가했다. 한국인터넷진흥원에 따르면 올해 11월 30일 기준으로 발급된 ISMS 인증서만도 88건에 이르고 있다.

그런 만큼 기업 조직에서 각종 위협으로부터 주요 정보자산을 보호하기 위해 수립·관리·운영하는 종합적인 정보보호관리체계의 적합성에 대한 인증을 부여하고 있는 ISMS 인증은 대상 기업·기관들에게 있어서는 중요한 화두가 될 수밖에 없기 때문이다.

현재 정보통신망법 제47조제2항에 따라 정하고 있는 인증 대상자 범위는 다음과 같다.
1. 「전기통신사업법」 제6조제1항에 따른 허가를 받은 자로서 대통령령으로 정하는 바에 따라 정보통신망서비스를 제공하는 자
2. 집적정보통신시설 사업자
3. 연간 매출액 또는 이용자 수 등이 대통령령으로 정하는 기준에 해당하는 자
여기서 정보통신망법 제47조제2항제1호인 정보통신망서비스를 제공하는 자란 ‘기간통신사업자’를 말하는데, 2014년 2월말 기준으로 미래창조과학부로부터 기간통신사업자로 허가를 받아 운영 중인 회사는 총 186개(복수의 역무를 제공 중인 사업자를 1개 사업자로 하면 109개)다(출처: IT리포트(http://itreport.co.kr/472). 이중 ISMS 인증 획득 기업은 2014년 11월말 기준으로 14개 정도에 머물고 있는 것으로 파악된다.

기간통신사업자(ISP: Internet Service Provider)는 다음의 ISMS 인증 획득 사업자명을 보면 쉽게 이해할 수 있을 것으로 보인다. 기간통신사업자로 ISMS 인증을 획득한 기업은 케이티, 에스케이텔레콤, 케이티파워텔, 세종텔레콤, 온세텔레콤, 엘지유플러스, 드림라인, 에스케이브로드밴드, 삼성에스디에스, 씨제이헬로비전, 씨앤앰, 현대에이치씨엔, 서경방송, 한국케이블텔레콤 등이다(순서는 기간통신사업자 허가번호순).

다음으로 집적정보통신시설 사업자란, 쉽게 데이터센터(IDC: Internet Data Center)를 생각하면 된다. 참고로 ‘집적정보 통신시설 보호지침’에서는 ‘집적정보통신시설’을 ‘정보통신망법 제2조제2호에 따른 정보통신서비스를 제공하는 고객의 위탁을 받아 컴퓨터장치 등 전자정부법 제2조제13호에 따른 정보시스템을 구성하는 장비를 일정한 공간에 집중하여 관리하는 시설’로 정의하고 있다.

해당 사업자가 어느 정도가 되는지는 모르겠으나, ISMS 인증 의무대상 기업은 대략 60여개 전후로 예측된다. 현재 KISA ISMS 인증서 발급목록에 따르면, ‘IDC’ 인증범위로 ISMS를 획득한 기업은 26개다. 다만, 이중에는 케이티에서 ‘청주 KT IDC’를 비롯해 원주, 전주, 대전 등 12개를 획득해 한 기업이 중복된 경우가 있고, 이 역시 현재는 유효기간이 지나 실제 IDC 인증범위로 유효한 인증획득 기업은 12개 정도인 것으로 파악된다.

마지막 인증 대상자 범위는 정보통신망법 제47조제2항제2호에서 규정하고 있는 연간 매출액 또는 이용자수 등이 대통령령으로 정하는 기준에 해당하는 사업자다.

정보통신망법 시행령 제49조에서 정하고 있는 인증 대상자 범위는 정보통신망서비스를 제공하는 자이며,
1. 정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억원 이상인 자
2. 전년도 말 기준 직전 3개월간의 일일평균 이용자 수가 100만명 이상인 자
로 규정하고 있다.

아마도 대부분의 ISMS 인증대상 기업·기관이 여기에 포함될 테지만 그 정확한 수치를 파악하기란 쉽지 않다.




KISA 측은 의무대상자 기업 공개에 조심스러운 입장이다. 기업 공개를 꺼리는 이유에 대해 KISA 측 관계자는 “정확한 의무대상자 기준 산정에 있어 기업의 인수합병, 인증 대상 제외 등 변동의 여지가 있다”며, “또한 의무대상 기업 전체를 공개했을 경우 인증을 획득하지 못한 기업의 사적정보가 드러날 수 있기 때문”이라고 밝힌 바 있다(출처: 보안뉴스 기사, ‘ISMS 인증 의무대상 기업, 신청 절반도 안돼’]


한편, ISMS 인증 제도 의무화로 해당 의무대상 기업은 올해를 넘기기 이전에 의무적으로 ISMS 인증을 취득해야 하는 상황이다. 이를 위반한 기업들에게는 1,000만원 이하의 과태료가 부과된다.
[글_김정완 에이쓰리시큐리티 팀장(jwan1001@a3sc.co.kr)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>