2003년 1월 25일, 토요일 아침은 잊지 못할 기억으로 남아있다.
보안업체에서 기술 엔지니어를 담당하며 주말 당직을 책임지고 있던 날이었는데, 아침에 갑자기 울린 경고음으로 하루를 시작하면서 가장 최악의 주말을 보낸 기억이다.
그날이 바로 바이러스 하나가 전국의 인터넷을 12시간 이상 마비시키고, 인터넷 강국이라는 이미지를 크게 실추시켰던 악몽 같은 1.25 대란이었다.
아침 경고음으로 시작한 하루는 종일 뉴스에서 바이러스 얘기와 백신 업데이트 얘기로 채워졌고, 포털 사이트에 별도 백신 업데이트를 받을 수 있는 페이지를 만들어 놓고 전국민이 업데이트가 어느정도 이루어진 후에야 잠잠해질 수 있었다.
이를 계기로 실추된 인터넷 강국의 모습을 되찾기 위한 제도적 노력이 논의되기 시작했고, 그 중에 하나가 정보보호 안전진단 제도였다.
정보보호안전진단 제도는 2004년 7월부터 연간 매출액 100억원 이상이거나, 일 평균 이용자 수가 100만 명이 넘는 ISP, IDC, 인터넷쇼핑몰, 포털 등에 대해 1년에 한 번씩 의무적으로 정보보호 전문업체로부터 안전진단을 받도록 하는 제도다.
그 당시 정보보호 관리체계인증(ISMS) 제도가 운영 중에 있었지만, 의무 사항이 아니다 보니 자율적으로 인증 받은 기업이 거의 없어, 별도의 안전진단 제도를 만들어서 점검을 받도록 한 것이다.
시행 초기인 2005년 시점에 약 150여 개의 ISP, IDC, 쇼핑 및 포털 등 전자거래업체 들이 안전진단을 수행하면서 안정화 되는 듯 보였지만, 물리적, 관리적, 기술적 보안 수준에 대한 실질적인 진단보다는 서류심사(체크리스트) 위주로 진행되다 보니 실효성에 의문이 생기기 시작했다.
특히, 정보보호컨설팅 전문업체(8곳)를 통해 대상 사업자들의 안전진단 이행 여부를 점검하도록 하다보니 진단의 독립성에 커다란 허점이 생기게 되었다.
컨설팅 업체에서 정보보호 컨설팅을 수주하면서 컨설팅 인력이 안전진단 수검까지 함께 진행 하다보니, 독립적인 점검을 통해 객관적으로 문제점을 찾아 개선할 수 있기를 바란 제도의 취지를 이룰 수 없는 구조가 되었다.
수검을 받아야 하는 대상업체들도 안전진단을 ‘법적 의무사항’으로만 인식하고, 형식적으로 받다 보니 기한 만료 시점에 수검이 밀리는 상황이 반복되곤 했다.
수검이 밀리면서 8개 ‘정보보호컨설팅 전문업체’로는 대상업체를 소화하기 힘들고, 독과점 이슈를 개선한다는 명목으로 정보보호 인력 15명 이상, 보안컨설팅 매출 1,000만원 이상인 기업들도 안전진단을 수행할 수 있도록 시행규칙을 개정하게 된다.
이는, 안전진단의 관리적, 기술적, 물리적 요구사항을 이해하고 독립적인 관점에서 객관적으로 점검할 수 있는지 여부와 상관없이, 진단 업체 수만 늘리면서 검증되지 않은 수행기관들이 늘어나게 되었고, 가격경쟁으로 인한 질적 저하가 심해지면서 결과적으로 제도의 취지가 훼손되고 이로 인해 실제 개인정보 유출 사고 등이 끊임없이 발생하게 된다.
제도의 대상이었던 수검 업체에게 실질적인 도움이 되지 못했고, 형식적인 수검이 계속되면서 2012년에 안전진단 제도는 폐지되고 ISMS 인증을 의무화하는 방향으로 변화하게 된다.
지금까지 안전진단과 ISMS 두 체제를 모두 경험해 본 바에 의하면, 현장의 실질적 개선을 위해 가장 중요한 부분은 조직의 정보보호 체계를 수립하고, 지속적인 개선이 이루어지도록 유도하는 것이 현실적이라는 것이다.
또한, 지속적 개선이 이루어지기 위한 조건 중에 가장 중요한 부분은 전문성과 신뢰를 바탕으로 독립적인 심사가 수행되도록 제도를 운영해야 한다는 점이다.
독립적인 심사를 수행하기 위해서는 심사기관이 대상 조직의 이해관계에서 자유로울 수 있는 환경이 만들어져야 하고, 무엇보다 심사원의 선발과 운영, 관리가 가장 중요하다.
정부가 전 국민의 디지털 교육 기회 확대와 역량 강화를 지원하고, 2022년부터 2026년까지 총 100만 디지털 인재 양성을 목표로 ‘디지털 인재양성 종합방안’을 마련한다고 한다.
이미 정보보호 분야의 전문가 집단으로 양성된 인증 심사원에 대한 적극적인 관리를 통해 이탈을 방지하고, 역량을 키워나갈 수 있는 방안들을 함께 마련할 필요가 있다.
특히, 정보보호 인력은 관련 법률을 만들어 제도적으로 양성하고 관리해 나간다면 미래 사회에 다양한 분야에서 큰 경쟁력이 될 수 있다.
현재의 ISMS-P 체계는 정보보호안전진단 제도와 PIPL, PIMS 등 유사 제도를 통‧폐합하면서 국가 정보보호의 근간을 형성하고 있다.
또한, ISO 표준에 기반하여 가장 글로벌 환경에 부합한 구조와, 이를 발전시켜 국내 환경에 맞는 체계로 발전해 오면서 전 세계 어디에 내놔도 손색없는 운영 방식과 인증 기준을 가지고 있다.
건강검진을 받았다고 해서 건강이 곧바로 좋아지거나 미래의 죽음으로부터 벗어날 수 없지만, 자신의 상태를 좀 더 정확하게 알 수 있고, 부족한 부분을 보강할수 있는 기회가 주어진다.
인증도 마찬가지로 인증서를 받았다고 해서 해킹을 당하지 않는다거나 개인정보 유출이 없는 완벽한 상태를 보장하진 못하지만, 일정 수준의 보안 체계를 갖춰 스스로 방어할 수 있는 준비가 되어 있고, 문제가 발생했을 때 회복탄력성(resilience)을 확보하여 지속가능한 조직을 만들어 가는 기회로 삼을 수 있다.
안전진단 제도의 실패를 교훈 삼아, ISMS-P 제도에서는 인증 심사원에 대한 체계적인 관리와 인증기관, 심사기관에 대한 독립성과 객관성을 확보하는 등 제도 개선이 지속되어야 한다.
[글. 박나룡 보안전략연구소 소장 / isssi@daum.net]
★정보보안 대표 미디어 데일리시큐!★