“ISMS 인증기관, 미인증기관보다 보안 수준 월등히 높아”
상태바
“ISMS 인증기관, 미인증기관보다 보안 수준 월등히 높아”
  • 김선애 기자
  • 승인 2017.04.24 09:06
  • 댓글 0
이 기사를 공유합니다

KISA ‘정보보호 실태조사’ 결과, 인증기관-미인증 기관 보안 수준 50% 차이 나

정보보호 관리체계(ISMS) 인증의 실효성에 대한 비판이 제기되고 있지만, 실제 ISMS 인증을 획득한 기관과 그렇지 않은 기관의 보안 수준에 큰 차이가 있는 것으로 나타났다. 한국인터넷진흥원(KISA)의 ‘2016년 정보보호 실태조사 분석’에서 인증을 받은 기관 중 사내 정보보호 정책을 보유한 곳은 91.8%였으나 미인증기관은 41.8%로 50%p에 이르는 차이가 있었던 것으로 나타났다.

정보보호 담당 인력 보유 여부를 묻는 질문에도 인증기관은 94.5%, 미인증 기관은 44.4%였으며, 정보보호 예산 편성에 있어서도 인증기관은 98.6%, 미인증 기관은 57.2%로 41.4%p의 차이가 있었다.

▲인증기관과 미인증 기관의 정보보호 수준 비교(자료: KISA ‘2016년 정보보호 실태조사 분석’)

ISMS 인증은 인터넷 서비스 공급 기업(ISP), IDC, 그리고 연매출 또는 세입이 1500억원 이상이거나 저오통신서비스 매출액 100억 또는 일일 평균 이용자 수 100만명 이상인 사업자에 대해 의무적으로 적용되는 규제이다.

지난해 새롭게 의무대상으로 포함된 대학이 다른 산업과의 형평성에 문제제기를 하며 집단 보이콧에 나섰으며, ISMS 인증을 획득한 인터파크에서 대규모 개인정보 유출 사고가 발생하면서 규제의 실효성에 대한 부정적인 인식이 있었다.

또한 ISMS 인증 심사원 자격, 하반기에 인증이 몰리는 문제, 사후 심사 시 조작된 증적자료를 가려낼 수 있는지 등의 문제도 현실적인 한계로 지적되어왔다.

KISA는 제도개선을 통해 해결할 수 있는 부분에 대해서는 지속적으로 개선하겠다고 밝혔다. 인증 신청 시기가 하반기에 몰리는 문제는 인증 취득 일자를 변경하거나 상반기 인증 심사시 수수료를 감면하는 등의 인센티브를 줄 예정이다. 증적자료를 위조하거나 인증 후 제대로 운영관리가 안됐다는 사실이 발견되면 인증을 취소하는 등 사후 관리 부분도 강화할 계획이다.

“대학, 학문 자율성 보장 위해 보안 강화해야”

대학의 ISMS 인증 보이콧 문제는 올해 해결의 실마리가 마련될 것으로 전망된다. ISMS 인증 거부를 주도해 온 대학정보화협의회 회장이 바뀌고 비난 여론이 강해지자 협의회 차원의 반대를 철회하고 개별 대학이 자유롭게 결정하도록 했다.

아직은 ISMS 인증에 적극적으로 나서는 대학이 없지만, 몇 곳의 대학이 선도적으로 나서면 따라나설 것으로 KISA와 미래부는 기대하고 있다.

지상호 KISA 보안인증지원단장은 “대학은 규제로 인해 학문의 자율성이 침해된다고 주장하지만, 보안 침해사고로 중요한 연구자료가 유출된다면 어렵게 진행한 연구가 무용지물이 될 것이다. 학문의 자율성을 보장하기 위해 보안은 반드시 전제돼야 한다”고 지적했다.

그는 이어 “중요한 연구자료와 민감한 학생·교직원 등의 개인정보를 다량으로 갖고 있는 대학이 보안에 가장 취약하며, ‘해커들의 놀이터’가 되고 있다는 것은 이미 공공연하게 알려진 사실이다. 대학이 보안에 대한 투자를 미뤄서는 안된다”고 말했다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.