• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

의무화된 ISMS, 기준과 실효성 두고 ‘논란’ 2013.04.02

방송사 및 주요기관은 매출액, 이용자수만을 기준으로 삼지 말아야  


[보안뉴스 김경애] 3.20 전산망 사이버테러로 피해를 입은 방송국과 금융권의 허술한 보안관리 문제가 제기되면서 정보보호관리체계 인증제도인 ISMS의 도입 확대 필요성과 실효성 문제가 다시금 회자되고 있다. 

    

지난 2월 18일부터 시행된 개정 정보통신망법에 따라 정보통신망서비스 제공자들은 올해 말까지 ISMS 인증을 획득해야 한다. ISMS(Information Security Management System)는 정보통신망의 안전성 확보를 위한 기술적·물리적 보호조치 등을 포함한 종합적인 정보보호관리체계 인증제도다.


인증 의무 대상자는 ‘전기통신사업법’ 제6조 제1항에 따라 허가 받은 자로 대통령령이 정하는 정보통신서비스 제공자로서 정보통신서비스 부문 전년도 매출액이 100억원 이상인 자전년도 말 기준 3개월간의 일일평균 이용자 수가 100만명 이상인 자직접정보통신시설사업자로서 연 매출액이 100억원이상 일평균 이용자 수가 100만명 이상인 자전국적으로 정보통신망 서비스를 제공하는 자를 기준으로 한다.


특히, 이번 개정안에는 경영진 책임 강화, 최고정보보호책임자(CISO) 지정 등 조직 구성 강화, 외주개발 보안과 스마트워크 보안, 망분리 등의 통제항목이 새롭게 포함됐다. ISMS 인증은 방송통신위원회가 결정하고, 인증 업무 전반은 한국인터넷진흥원 등 4개의 인증기관에서 수행하며 인증서 발급은 한국인터넷진흥원에서 이뤄진다.

 

ISMS 인증의 유효기간은 3년이고, 인증받은 기관은 매년 1회 이상의 사후관리 심사를 통해 인증기준 이행 여부를 지속적으로 확인해야 한다. 또한, 정보보호 관리등급을 받은 경우 그 유효기간은 1년으로 지정됐다.


이번 3.20 사태의 피해기관 중 하나인 농협은 지난 2003년 인터넷뱅킹 분야, 2012년 금고시스템 개발·운영 분야에 관한 ISMS 인증을 획득한 것으로 알려졌다. 농협 IT본부 관계자는 “ISMS 인증 갱신심사를 지난해 받았기 때문에 올해는 사후 심사를 남겨놓고 있고, 이와 별개로 지난 2007년 정보보호경영시스템 국제인증인 ISO27001 갱신 심사도 올해 받을 예정”이라고 말했다.


그러면서 그는 “ISMS 인증 의무화는 농협 쇼핑몰과 포털만 해당되기 때문에 사실 금융권은 ISMS 인증 의무화 대상에 해당되지 않는다”면서도 “금융권은 별도로 정보보호 관련 법률에 따라 금융위원회에 보고해야 하는 의무가 있어 각 은행마다 국제 또는 국내 인증 획득현황을 보고하고 있다”고 설명했다.  이에 따라 농협은 인터넷뱅킹의 안전성을 위해 ISMS 인증과 국제인증인 ISO27001에 대해 금융위에 보고하고 있다고 덧붙였다. 

또한, 신한은행은 ISMS 인증은 획득하지 않았지만, 지난 2006년 국제표준화기구(ISO)가 제정하는 ISO27001 인증을 획득한 것으로 전해졌다.

그러나 지난 20일 전산망 마비 사태와 관련해 주요 언론사 및 금융권중 농협만이 ISMS 인증을 받은 것만으로 드러나 우려의 목소리가 커지고 있다. 게다가 ISMS의 실효성을 놓고도 논란이 적지 않다.


이와 관련해 한 제보자는 “ISMS가 의무화됐지만 언론사를 비롯해 금융권 등의 인증 획득은 미미한 수준”이라며, “방송사의 경우 인터넷 회원수는 적더라도 정보전달의 파급력은 포탈 사이트보다 더욱 크기 때문에 ISMS 대상자 기준을 매출과 접속자수가 아닌 좀더 현실적인 잣대로 정해야 한다”고 밝혔다. 더불어 방송사의 경우 전산인력에 비례한 정보보안인력의 확충이 필요하고, 계약직에서 정규직으로 전환하는 등 처우개선이 필요하다고 덧붙였다. 


또 다른 제보자 김 모씨는 “2003년 ISMS 인증을 받은 농협은 이미 여러 차례 해킹 을 당했고, 신한은행은 ISO27001 인증을 획득했음에도 불구하고 해킹 당했다”며, “인증기준을 좀더 강화해야 하고, 등급제도 운영해야 한다”고 지적했다.


이에 대해 ISMS 인증을 주관하고 있는 한국인터넷진흥원 측은 이러한 우려의 목소리에 명확한 입장을 내놓지 못하는 등 소극적인 입장을 보이고 있다.  

올해 말까지 인증받아야 하는 ISMS 제도. 그러나 3.20 전산망 마비 사태와 같은 해킹사건으로 기업 정보보호에 대한 불안감은 ISMS 제도의 실효성 논란이 더해져 쉽사리 가라앉지 않고 있다. 이에 ISMS 제도가 매출액 및 이용자수 등의 단편적인 지표보다는 각 기업의 특성 및 기능에 따른 실질적인 평가기준으로 개선되어야 할 것으로 보인다.  

[김경애 기자(boan3@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>