2019-09-19 11:52 (목)
[The Dark Side Of ISMS 연재를 시작하며] ISMS인증 받고도 개인정보 유출사고 계속되는 이유
상태바
[The Dark Side Of ISMS 연재를 시작하며] ISMS인증 받고도 개인정보 유출사고 계속되는 이유
  • 길민권 기자
  • 승인 2019.02.26 15:21
이 기사를 공유합니다

"ISMS 인증을 취득했다는 것은 시작에 불과하다"

refugees-1020266_640.jpg
정보보호 컨설팅 전문기업 이지시큐 정경섭 대표는 앞으로 5회에 걸쳐 ISMS와 관련된 현실적인 이야기들을 데일리시큐 독자 그리고 국내 정보보호 실무자들과 공유하기 위해 아래 순서로 연재를 시작한다. ISMS 인증을 받았거나 준비하는 공공기관과 기업 보안담당자들에게 도움이 되길 바란다. -편집자 주-

[연재순서]
-The Dark Side Of ISMS 연재를 시작하며
-The Dark Side Of ISMS(1)-ITO의 딜레마
-The Dark Side Of ISMS(2)-ISMS인증의무대상도 조정이 필요하다
-The Dark Side Of ISMS(3)-정보보호 공시제도를 들어보셨습니까?
-The Dark Side Of ISMS(4)-ISMS인증 과태료는 어디로?
-The Dark Side Of ISMS(5)-하나가 될 수 없는 운명.ISMS와 -P

최근 개인정보 유출 사고가 공개되면서 청와대 국민청원에까지 오르며 회원들의 원망을 받은 기업이 있었다. 반면 같은 유출 사고를 겪으면서도 조용히 유출사실을 홈페이지 게시하며 의무 게시기간이 끝나기만을 기다리는 기업도 있다. 두 기업의 공통점은 지난 수년간 ISMS(정보보호관리체계) 인증을 받아 꾸준히 잘 유지해 왔다는 점이다.

일반인의 상식으로 국내 최고 권위의 정보보호 인증인 ISMS를 수년간 유지한 기업 및 기관이라면 보안의 ‘안전범위’에 들어가 있을 것인데, 이렇게도 허무하게 개인정보 침해사고 발생하는 사실이 납득하기 어려워진다. 게다가 올해도 ISMS인증 대신 과태료를 선택한 용감한 기업 및 기관들은 얼마나 “위험”하고 취약한 보안 환경에 있을지 상상하기조차 싫어지게 될 것이다.

왜, ISMS인증을 받고도 개인정보 유출사고가 발생하는 이유는 무엇일까? 여기에 대한 명확한 답은 한 두 가지로 콕 집을 수 있는 단순한 것이 아니다. 그래서 필자는 앞으로 여러 번에 걸쳐 이 질문에 대한 다양한 원인을 찾아보고 대안을 함께 고민해보고자 한다.

큰 틀에서 첫 번째 이유를 생각해보면, ‘면허증과 운전실력은 별개’이기 때문이다.

당연한 말처럼 들리겠지만 우리는 ISMS가 정보보호 활동을 총체적으로 검증받는 하나의 ‘법규’라는 것을 환기해야 한다. ISMS는 기업 및 기관의 정보보호 활동이 인증 기준을 충족하는지를 따지는 하나의 절차이며 ‘완전하거나 높은 보안 수준’을 보증하는 것이 아니다. 첫 심사를 어떠한 수준으로 통과하더라도 ISMS 인증의 가치는 처음부터 미흡한 기관이나 처음부터 우수한 기관이나 같다.

초보 운전의 운전면허나 카레이서의 운전면허나 가치는 같다는 이야기다. 진짜 실력은 운전대를 잡아야 알 수 있다. 코너와 장애물이 나타났을 때 순발력, 법규를 정확히 이해하고 대응하는 능력, 위험을 예상하고 사전적으로 차단하는 방어 운전 능력은 면허를 따면 함께 주어지는 마법 같은 보너스가 아니다.

ISMS 인증은 그저 면허증과 같다고 이해하면 된다. 기업 및 기관이 ISMS 인증을 취득했다는 것은 ‘나는 이제 정보보호를(운전을) 할 마음의 준비가 되었다는 의미이고, 수년간 유지해오고 있다는 것은 정보보호 성숙도가(운전실력이) 계속 향상되고 있다는 반증이다.

단, 의무가 아닌 자발적인 정보보호 활동이 되었을 때 그러하다. (이는 필자가 앞서 게시했던 ‘SKY캐슬’ 기사를 참조하면 된다.) 수십 수백만 건의 개인정보를 보유하며 영리활동을 하면서도 ISMS를 고의적으로 회피하는 것은 마치 운전 면허도 취득하지 않고 고객을 태우고 영업하는 버스와 같다.

지금은 자타공인 베스트 드라이버인 여러분들은 초보운전 시절을 기억하고 있는가? 그동안 우리의 운전 실력을 향상시킨 원천은 무엇이었나를 생각해보면 질문의 답에 대한 실마리가 나오게 된다. 우리는 매일 운전했고 위태로운 상황을 잘 모면해왔으며 경험을 통해 순간을 예상하고 심지어 네비게이션의 인공 지능을 뛰어넘는 경로별 교통상황 예측까지 가능해졌다. 정보보호는 그런 것이다. 매일 주기적 반복적으로 해야 하고 그 자체로 생활이어야 하고 때로는 즐거워야 한다. 스스로 어느 순간 고수가 되어있어야 한다. 일년에 한 두 번 여행할 때나 운전하는 것은 운전실력 향상에 도움이 안 된다.

ISMS 인증을 취득했다는 것은 시작에 불과하다. 그럼에도 불구하고 과감한 용단과 투자를 통해 또는 대세를 따라 어렵사리 ISMS인증을 취득한 기업 및 기관들은 인증을 취득한 것이 보안을 완벽하게 구축한 것처럼 마케팅 하기 때문에 이용자들의 기대에 따른 실망과 배신은 더욱 큰 비수가 되어 돌아온다. 처음부터 오해를 심어주면 안된다. ISMS 인증이 곧 보안을 잘하고 있다라는 증명이라도 되는 것으로 오해하게 하지 말자. 처음에는 컨설팅의 도움을 많이 받아 취득한 인증이니까, 도로연수 선생님의 집중적인 코치로 딴 면허증을 들고 나는 운전을 잘한다라고 말해선 안 되는 것처럼.

운전 기술을 완전하게 구사할 수 없거나 누구도 피할 수 없는 예상하지 못한 상황일 때 누구나 사고를 당하거나 낼 수 있고, 그렇기때문에 개인정보 유출사고를 당한 기업 및 기관이라 할지라도 필요 이상의 지탄을 받아서는 안된다. 그들도 악의적인 공격 위협에 대한 피해자이기 때문이다. 특히 ISMS인증을 취득하고 유지해왔던 것이라면. 여러가지 현실적인 이유로 위험을 예상하고도 피하지 못했을 수도 있고, 예상치 못한 위험에 노출되었을 수도 있기 때문이다.

다만 그들이 ISMS 인증을 위한 마지못한 정보보호를 했는지, 자발적이고 능동적인 정보보호를 하면서 ISMS를 유지했는지는 살펴보아야 하겠지만. 원래 운전을 잘하는 사람은 언제든 원할 때 면허증을 딸 수 있다.

앞으로 정보보안 실무자들과 함께 고민할 ISMS의 현실적인 이야기들을 공유해 보고자 한다. [글. 정경섭 이지시큐 대표]

★정보보안 대표 미디어 데일리시큐!★