Home > 전체기사
끝나지 않은 정보보호 인증 통합 논란, 누가 울고 웃나
  |  입력 : 2018-01-20 12:50
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
기업, 인증 통합 좋지만 보안사고 나면 인증 취득 기업이 사고냈다고 비판 받아
글로벌 표준화 추세에 역주행 지적도...심사원은 비용이나 처우 등에서 불만 커져


[보안뉴스 김경애 기자] ISMS와 PIMS 인증 통합을 두고 논란이 쉽사리 가라앉지 않고 있다. 국제표준화 흐름과 반대로 가고 있다는 의견과 인증심사 범위, 심사원 비용 문제 등 의견들이 지속적으로 제기되고 있다.

[이미지=iclickart]


사실 인증 통합 논란은 어제 오늘만의 일은 아니다. 정부기관 간에 업무 영역 다툼에서 비롯됐다는 지적이 끊임없이 제기돼 왔다. 불과 몇 년 전만 해도 ISMS 인증은 당시 미래창조과학부(현 과기정통부), PIMS는 방송통신위원회, PIPL은 당시 안전행정부(현 행정안전부)에서 운영됐다. 이러다 보니 심사기준, 심사항목 등에 대한 중복 문제가 끊임없이 지적됐으며, 국정감사에서도 단골소재가 계속 도마 위에 올랐다.

기업, 통합 좋지만 혜택 없는 ISMS 의무화는 ‘별로’
이러한 측면에서 기업의 경우 인증이 통합된다는 소식을 반기는 분위기다. 인증 취득을 준비중이던 기업은 통합될 때까지 기다리겠다는 입장을 보이며, 인증 통합에 찬성하는 입장을 나타냈다.

기업의 한 CISO는 “기업 입장에서는 ISMS와 PIMS의 통제항목 심사기준을 보면 많은 부분이 유사해 도대체 왜 별도로 인증을 받아야 하는지 모르겠단 생각이 들었다”며 “심사일정도 마찬가지다. 경영진 입장에서는 인증심사 준비부터 심사기간까지 상당 기간동안 업무에 차질이 생긴다. 어차피 인증 심사를 받을 거라면 ISMS와 PIMS 인증을 같은 일정으로 스케줄을 조정해 받는 게 효율적이다. 실제 많은 기업이 ISMS 인증 심사를 받을 때 PIMS 인증 취득까지 고려할 경우 심사 날짜를 동일하게 하는 게 대다수”라고 밝혔다.

뿐만 아니라 인증 심사를 받을 때마다 발생하는 비용과 인증 준비에 따른 각종 소요 비용도 기업 입장에서 부담스럽기 때문에 이번 인증 통합 소식은 비용 경감 측면에서도 환영한다는 입장을 피력했다.

또 다른 기업은 인증 의무화에 따른 부담을 얘기했다. PIMS의 경우 의무 인증이 아니기 때문에 기업에서 부담이 덜한 반면, ISMS는 의무대상 기업이 많아 상당히 부담이 될 수밖에 없다는 것. 더욱이 PIMS의 경우 보안사고가 발생할 경우 감경조치 등의 혜택이 있는 반면, 의무대상 인증인 ISMS는 기업에게 제공되는 혜택이 전혀 없다며 아쉬움을 내비쳤다.

인증심사원, 처우와 시스템 등에 있어 ‘불만’
ISMS와 PIMS 인증심사원들의 임금 등 처우문제도 도마 위에 올랐다. 현재 인증심사원의 경우 심사 책정 비용이 30만원 정도로 알려졌는데, 이와 관련해서 인증심사원의 처우가 부족한다는 비판이 나온다. 게다가 상당수 인증심사원들은 국제표준 인증심사원 자격을 함께 보유하고 있는 전문가들이지만, 현재 심사원들의 처우는 감리원 수준보다 훨씬 떨어지는 게 현실이라고 지적했다.

이와 관련 한 심사원은 “인증 심사가 3~10월에 집중돼 있어 이때 심사원 인력이 가장 많이 필요하다”며 “한 기업을 심사하는데 소요되는 기간은 적게는 3일에서 길게는 10일 정도로 월 2차례 정도 투입된다. 심사원들은 인증기관에서의 선발 여부와 인증 대상 기업의 제한으로 인해 심사만으로 생계를 꾸리기는 어렵다. 상황이 이렇다 보니 전문 심사원의 경우 감리원과 국제표준 인증 심사를 함께 하는 경우가 많은데, ISMS 심사는 책정 비용이 하루 30만원인 반면, 감리원은 이보다 훨씬 나은 수준”이라며 아쉬움을 나타냈다.

하지만 정부 입장은 인증 심사 일수를 줄일 수는 없다고 말한다. 한 정부 관계자는 “인증은 인증기관에 있어 가장 어려운 것 중 하나”라며 “인증 받은 업체가 해킹사고가 발생하면 인증기관 입장에서도 인증제도의 신뢰성에 문제가 생기기 때문이다. 그런 측면에서 기업의 보안성 평가를 지금보다 짧은 시간에 끝내도록 할 경우 위험 부담이 더 커질 수 있다”는 입장을 밝혔다. 또한, 전업으로 종사하는 심사원이 아닌 경우 기술적·물리적·관리적 보안 분야까지 인증 업무를 담당하는데 있어 전문성이 떨어질 가능성이 높다고 우려했다.

그러나 인증심사원들은 정부에서 심사원들과 별다른 소통 없이 일방통행식으로 정책을 밀어붙였다고 불만을 피력했다. 한 심사원은 “인증 통합으로 인해 기존에 양성된 심사원은 낙동강 오리알 신세가 됐다”며 “심사원을 일회성 인력으로만 생각하고, 정해진 정책에 무조건 따라오라는 갑질식 정책 추진에는 분명 문제가 있다”며 불편한 심기를 드러냈다.

물론 반대 입장에서는 인증심사원의 자질과 역량 문제가 제기되기도 했다. 이는 심사원 역시 전문적 지식 확보와 충분한 심사 역량을 갖추는 게 선행돼야 한다는 점을 의미하는 것이다.

인증 통합, 장기적 차원에서 글로벌 표준화 추세 반영해야
마지막으로 인증 통합과 관련해 글로벌 표준과 국내 인증이 그 흐름을 같이 해야 한다는 의견도 제기됐다. 이는 통합 인증에 개인정보보호 20개 항목이 추가된 것만으로는 국제 흐름에도 뒤떨어진다는 지적이다.

한 정보보호 전문가는 “개인정보에 특화된 통제를 빠짐없이 포함해야 한다”며 “GDPR로 인해 글로벌 PIMS 인증이 나타날 가능성이 크므로 장기적인 차원에서 글로벌 비즈니스와 개인정보보호 분야 국제적 환경을 고려해야 한다”고 강조했다.

기업의 CISO는 “인증은 내부적으로 정보보호를 잘하고 있다는 것을 경영진에게 어필하기 위해 취득한 것”이라며 “하지만 보안사고가 발생하면 정확한 사실을 숨기고 인증을 취득한 게 아니냐는 식의 의구심과 비판을 받기 일쑤”라고 말했다. 이는 인증에 대한 신뢰성이 그리 높지 않다는 것을 대변하는 셈이다. 즉, 신뢰도가 낮은 여러 인증을 취득하는 것보다 단 1개를 받더라도 국제표준과 같이 신뢰성 높은 인증을 취득하는 게 낫다고 생각하는 경우가 많다는 얘기다.

이에 대한 인증심사원들의 불만도 높다. 한 심사원은 “현재 국제표준 흐름은 개인정보보호 영역을 따로 구분하면서 보다 전문화되고 있는데, 우리나라는 오히려 인증 통합으로 역주행하고 있다”고 지적했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 6
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2020년 경자년에 국내 주요 보안기업들과 보안관련 기관들이 공통적으로 꼽은 7가지 보안위협 가운데 가장 주목되는 분야는?
랜섬웨어
공급망 공격
클라우드
악성메일
IoT
다크웹
AI
기타(댓글로)