[김국배기자] 정부가 기업의 보안수준 인증 제도를 확대하기로 하면서 정보보호 관리체계(ISMS) 인증에 대한 실효성 논란이 이어지고 있다.획일적인 기준 탓에 제도적 효과가 떨어질 수 있다는 우려에서다.
미래창조과학부(이하 미래부)는 지난 18일 대통령업무보고를 통해 '기업 보안수준 인증제도를 확대하겠다'는 입장을 밝히고 2012년 기준 150개였던 정보보호 관리체계 인증을 오는 2017년까지 500개까지 늘린다는 방침이다. 최근 '3·20 사이버테러'에서 드러나듯 공공기관에 비해 낮은 민간 기업의 보안 수준을 제고시키겠다는 취지에서다.
ISMS 인증은 정보통신망법이 개정되면서 지난 2월 18일부터 의무화됐다.전년도 연간 매출액이 100억원을 넘거나 3개월 간 하루 평균 이용자 수가 100만명 이상인 기업은 의무적으로 ISMS 인증을 받아야 한다.
◆ '체형은 제각각 옷은 한 벌'
정보보호 인증제도의 실효성을 두고 의문이 제기되는 가장 큰 이유는 모든 산업에 일괄적인 잣대를 적용한다는 점이다.
'연간 매출액 100억원' 조항이 가장 많이 지적되는 부분이다.중소기업의 입장에서 볼 때 이같은 기준은 비용 부담으로 다가올 수 있다는 이유에서다.기업 규모와 산업군 별로 촘촘한 잣대가 필요하다는 목소리가 높다.
만일 이 기준을 모두에게 일괄 적용하는 것은 각 산업의 특성과 기능에 따른 매출 격차를 반영하지 않은 채 단편적인 지표에 불과할 것으로 업계는 지적하고 있다.매출액과 이용자 수 이외에도 강화된 기준이 필요하다는 것이다.
이경호 고려대학교 정보보호대학원 교수는 "각 산업의 상황과 입장이 다른 만큼 그에 맞는 옷을 줘야 하는데 지금은 옷이 딱 한 벌인 셈"이라며 "ISMS 제도의 틀 자체는 나쁘지 않으나 이를 이행하는 수준을 높일 필요가 있다"고 주장했다.
그는 "현재의 신용평가도 중소기업이 부담하는 비용은 수십만원에 불과하다"며 "ISMS인증에 있어서도 중소기업은 점검 범위가 적으니 등급화를 통해 시간과 비용을 줄일 수 있다"고 덧붙였다.
보안업계에 따르면 기업들이 인증을 받기 위해 들여야 하는 비용은 천차만별이다. 각 기업의 보안수준에 따라 보안컨설팅과 그에 따른 보안 솔루션 도입 비용이 결정되기 때문이다. 여기에 인증비용도 더해진다. 상대적으로 보안 수준이 열악할 수 있는 중소기업에게는 부담이 커질 수밖에 없는 이유다.
실제로 업계에서는 벌써부터 ISMS인증을 두고 높은 비용의 견적서를 내려는 보안컨설팅 업체과 낮은 가격을 원하는 중소기업 간의 '눈치싸움'이 벌어지고 있다.
이에 대해 미래부 관계자는 "중소기업의 경우 비용이 가장 큰 문제인 것은 맞다"면서 "ISMS 법령을 시행하면서 인터넷데이터센터(IDC) 재판매 사업자 등 영세한 사업자들은 일부 제외시키거나 인증 수수료를 면제해 주는 등 간접적인 지원을 했다"고 설명했다.
이 관계자는 "이제 막 시행된 ISMS 제도의 연착륙이 우선"이라며 "올해 현재 권고제도인 정보보호관리체계 등급제 시행을 위한 고시를 마련하고 3곳 정도를 선정해 시범사업을 진행할 계획"이라고 밝혔다.
획일화를 넘어 ISMS 인증 자체의 한계에 대한 회의적 시각도 여전히 존재한다.
인증 획득이 곧 모든 보안 위협을 제거했다는 의미는 아니고 이에 따라 더 높은 수준의 정보보호 평가제도가 필요하다는 지적에서다.
이경호 교수는 "현행 인증의 기준선이 중소기업에겐 높을 수 있으나 대기업에겐 너무 얕아 인증을 받아 놓고도 해킹 공격에 뚫린다"며 "등급화 등을 통해 효과를 극대화할 수 있는 방향으로 정책의 초점을 맞출 필요가 있다"고 조언했다.
◆커지는 중소기업 보안 위협
중소기업의 보안 수준은 갈 길이 멀지만 위협은 날로 커지는 실정이다. 최근에는 중소기업을 대상으로 직접적 해킹공격 뿐 아니라 대기업 등 다른 목표물을 공격하기 위한 우회로로까지 악용되고 있다.
지난 17일 시만텍코리아가 발표한 2012년 주요 사이버 범죄 및 보안 위협 동향을 분석한 '제18호 인터넷 보안위협 보고서'에 따르면 증가하는 표적공격의 절반이 종업원 수 2천 500명 이하의 중견중소기업을 목표로 한 것이었다.
특히 종업원 수 250명 미만의 소기업을 노린 표적공격이 2011년 18%에서 작년 31%로 크게 높아졌다. 이는 소기업이 공격에 취약하고 중요한 지적재산을 가지고 있어 대기업을 공격하기 위한 발판으로 활용할 수 있기 때문이라는 게 회사 측의 분석이다.
공격자가 소기업에 잠입해 직원의 개인정보, 이메일 계정 등을 파악한 후 이를 통해 실제 공격목표인 대기업을 겨냥한 정교한 이메일 공격전략을 개발하는 식이다. 시만텍코리아 윤광택 이사는 "중소기업을 우회해 공격하는 것이 가장 큰 트렌드가 되고 있다"고 말했다.
윤광택 이사는 또 "2012년에는 전년과 비교해 R&D 및 영업 직원에 대한 공격이 크게 증가했다"며 "공격자가 기업에 잠입하기 위해 공격 그물을 더욱 넓게 펼쳐 임원진이 아닌 하위직까지 겨냥해 공격 위험이 커지고 있다"고 경고했다.
김국배기자 vermeer@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기