실시간 뉴스



정보보호인증 받은 기업, 보안 이상무?


인증 획득은 관리의 시작, 지속적인 보호체계 유지·강화 필요

[아이뉴스24 성지은기자] 정보보호 인증을 받으면 기업 보안이 안전해질까. 숙박 예약 앱 '여기어때'에서 발생한 해킹사고로 고객정보가 대량 유출된 뒤, 정보보호 관리의 필요성이 제기되고 관련 인증에 대한 관심도 높아지고 있다.

일각에서는 여기어때를 서비스하는 위드이노베이션이 정보보호관리체계(ISMS) 인증 또는 개인정보보호관리체계(PIMS) 인증을 취득했을 경우, 유출 사고가 발생하지 않았을 것이란 의견도 내고 있다.

그러나 정보보호 관련 인증을 취득하는 것은 정보보호의 시작일 뿐이다. 인증을 획득한 뒤 지속적인 관리를 통해 일정 보호 수준을 유지하고, 신규 위협에 대해 신속하게 대응할 수 있도록 수준을 강화하는 게 중요하다고 업계 전문가들은 지적한다.

◆정보보호 관련 인증 획득으로 안전 확신 어려워

ISMS 인증은 기업(조직)의 정보보호 시스템이 체계적으로 관리·운영되고 있는지 평가해 인증을 부여하는 제도다. 정보통신망법에 따라 정보보호 관련 관리절차, 운영체계 등 104개 기준에 따른 심사를 통과해야 ISMS 인증을 받을 수 있다.

PIMS 인증은 기업이 개인정보보호 활동을 수행하는 데 필요한 보호조치 체계를 구축했는지 점검하고 일정 수준 이상을 갖춘 기업에 인증을 부여하는 제도다. 개인정보의 생성·저장·이용· 파기 등 개인정보 생명 주기 전반을 관리한다는 점에서 ISMS 인증과 구분된다.

여기어때를 서비스하는 위드이노베이션의 경우, 지난해 개인정보보호협회에서 운영하는 정보보호 인증마크 'e프라이버시' 인증만 획득했다.

이 때문에 일부에서는 평가 기준이 더 엄격한 정부의 ISMS 인증 또는 PIMS 인증을 획득했을 경우, 유출 사고가 발생하지 않았을 것이란 의견도 제시한다.

그러나 이에 대해 개인정보보호협회 관계자는 "위드이노베이션의 경우 지난해 e프라이버시 신규 인증을 취득하고 갱신하지 않아 올해 1월 1일 자로 인증의 효력을 잃은 상태였다"며 "e프라이버시 인증 항목은 ISMS 인증이나 PIMS 인증 항목과 크게 다르지 않고 범위가 인터넷 웹사이트로 한정돼 있을 뿐"이라고 주장했다.

ISMS 인증을 받았지만 보안 사고가 발생한 사례도 있다. 지난해 인터파크가 해킹을 당해 1천만명 이상의 고객정보가 유출됐는데, 인터파크는 지난 2013년 ISMS 인증을 받고 계속해 인증을 유지하는 상태였다.

보안 업계에 따르면, 언론에 공개되지 않았으나 인터파크 외에 ISMS 인증을 받은 기업과 조직에서도 보안 사고가 있던 것으로 알려졌다.

◆정보보호 인증 무용론 … "지속적 관리 필요"

이에 따라 일각에서는 '인증 무용론'까지 주장한다. 인증을 받아도 보안사고가 발생해 인증 획득에 따른 효과가 없고, 인증 자체도 문제가 있지 않냐고 의구심을 보이는 것.

그러나 이에 대해 지상호 한국인터넷진흥원(KISA) 보안인증지원단장은 "인증을 받은 뒤 정보가 유출됐다 하더라도 무조건 해당 기업(조직)이나 인증기관에 책임을 묻기는 어렵다"며 "알려지지 않은 신규 취약점을 이용한 공격은 미리 대처하기 어렵고 이 경우 불가항력적이라고 볼 수 있다"고 설명했다.

또 "인증은 침해사고를 최소화하는 것이며 100% 안전을 보장하는 게 아니다"며 "인증을 받은 곳은 정보보호 수준이 구조적으로 강화되고 다양한 효과를 얻기 때문에 인증 무용론을 논하기 어렵다"고 말했다.

실제 KISA의 '2016년 ISMS 인식조사' 결과, ISMS 인증을 받은 기업의 경우 ▲내부직원 인식확대 ▲침해사고 위험 감소 ▲정보보호에 대한 경영진의 이해 증진 등 효과를 거뒀다. 인식이 개선돼 정보보호 투자에 긍정적으로 변하고 침해사고에 적극적으로 대응하게 된 것.

지상호 단장은 "ISMS 인증을 받은 다음 느슨하게 보안을 유지하든가 규정을 어겨 사고가 발생하는 경우가 많은데, 이러한 문제점을 보완하는 방안을 고민하고 있다"며 "동일한 문제가 반복적으로 발생하거나 주요 이슈에 대해 1년 동안 제대로 운영하지 않았다는 증거가 발견될 경우 인증을 취소하는 제도 개선 방안 등을 논의하고 있다"고 말했다.

성지은기자 buildcastle@inews24.com






alert

댓글 쓰기 제목 정보보호인증 받은 기업, 보안 이상무?

댓글-

첫 번째 댓글을 작성해 보세요.

로딩중
포토뉴스