의무화가 한몫 차지...기업들의 자발적 참여는 여전히 부족

[보안뉴스 김경애] 정보보호관리체계(ISMS: Information Security Management System) 인증 의무화로 인해 ISMS 인증 취득은 늘어가는 추세지만, 기업의 정보보호에 대한 관심과 자발적인 참여는 여전히 부족한 것으로 나타났다.

ISMS 의무화로 인증 취득 급증

ISMS 인증 의무화는 정보통신망법에 따라 △ISP(Internet Service Provider) 업체로 통신사나 망서비스 업체 △IDC센터(Internet data center) 운영업체 △정보통신서비스 부문에서 전년도 매출 100억 이상 또는 전년도말 3개월 기준 일평균 이용자 수가 100만 명 이상인 기업은 매년 의무적으로  ISMS 인증을 취득해야 하는 조항을 의미한다. 이를 위반할 경우 1000만 원 이하 과태료가 부과된다.

한국인터넷진흥원에 따르면 연도별 인증서 발급 현황(취소기업 제외)은 2002년 1건, 2003년 3건, 2004년 1건, 2005년 3건, 2006년 0건, 2007년 5건, 2008년 8건, 2009년 12건, 2010년 8건, 2011년 8건, 2012년 15건, 2013년 121건, 2014년 185건이다. 지난해 의무대상 기업은 200개 이상으로, 이로 인해 2013년과 2014년에 신규 취득이 급증한 것을 확인할 수 있다.

올해도 예년보다 증가 추세

그렇다면 올해는 어떨까? 올해 상반기 신규로 ISMS 인증을 취득한 기업은 16개이며, 올해 상반기 심사를 받은 기업은 148개이다. 또한, 8월 19일부터 9월 둘째 주까지 심사예정 기업은 60여 곳으로 알려졌다. 하반기에 신규로 취득하는 기업과 갱신심사를 받는 기업까지 포함한다면 ISMS 인증 획득 기업은 예년보다 증가할 것으로 보인다.

이와 관련 한국인터넷진흥원 지상호 팀장은 “인증서를 발급받기까지 시일이 오래 걸려 1월에 심사를 진행해도 5~6월에 인증서가 발급돼 상반기에는 실적이 없는 걸로 보이지만, 실질적으로는 증가추세를 보이고 있다”며 “지난해의 경우 인증갱신 등을 포함해 377개였다면, 올해는 심사접수 기업과 심사예정 기업, 갱신심사 기업 등까지 모두 합한다면 430건 정도로 전체적으로 늘고 있는 상황”이라고 말했다. 또한, 심사 자체도 하반기에 몰리는 경향이 있다는 점을 고려하면 올해도 증가 추세가 이어질 것으로 보인다.

특히, 기업들의 매출액 증가로 의무대상으로 포함되지 않았던 기업이 올해 새롭게 포함된 점이 인증 취득 증가에 큰 몫을 차지하고 있다는 것. 

기업의 자발적 참여는 아직 저조

하지만 ISMS 의무대상이 아닌 기업들의 자발적인 관심은 아직까지는 미흡한 실정이다. 이는 기업들이 아직 ISMS 인증을 의무제도로 인식하기 때문인 것으로 풀이된다. 이 때문에 의무대상 적용 여부에 따라 인증 취득을 준비하는 기업들에게 자발적인 참여를 기대하기란 아직 쉽지 않다는 게 전문가들의 공통적인 의견이다. 

이와 관련 지 팀장은 “기업 입장에서는 의무적 조치로 인식하기 때문에 운영하는 측면에서도 그 부분에 포커스를 맞추고 있다. 이에 의무대상을 점차 늘리는 방향으로 추진하고 있다”고 말했다.

이렇듯 기업 입장에서는 ISMS를 의무조치로 인식하거나, 너무 어렵게 생각하는 경향이 있다. 이로 인해 외부 컨설팅을 받지 않고도 자체 준비만으로 인증을 취득할수 있도록 인증체계 구조 자체를 개선할 필요성이 있다는 의견도 제기된다.

자율적 참여 유도하는 전략적 접근 필요

이와 관련 쿠팡 인증감사팀 김창오 팀장은 자발적인 참여가 저조한 이유에 대해 다양한 아이디어와 적극적인 홍보로 인증 취득을 유도해야 하는데, 이에 대한 노력이 부족하다는 점을 지적했다.

현재 자발적인 참여를 유도하기 위한 ISMS 홍보예산은 책정되지 않은 것으로 알려졌다. 문제는 또 있다. 홍보를 적극적으로 진행한다고 해도 하반기에 심사가 몰리는 특성을 고려한다면 이를 소화하는데 한계가 있다는 점이다. 

심사가 정체되는 부분은  심사원 인력 부족과도 관련이 있다. 이에 심사원 양성을 위한 자격시험 제도가 도입되긴 했지만, 아직까지는 시간이 필요한 상황이다. 

무엇보다 기업 입장에서는 인증 취득을 위한 투자비용 대비 효과 측면에서 아직 만족스러운 결과를 얻지 못하고 있다는 인식이 강하다.  

이와 관련 김창오 팀장은 “표면적으로 드러난 컨설팅 비용만해도 적게는 4천~8천만원 정도 들고, 실제 ISMS를 업무 프로세스를 녹이려면 수많은 간접비용이 들어간다”며 “몇억에서 몇십억 정도를 투자해야 하는 것이다. 하지만 기업 입장에서는 투자대비 효과에 대해 만족하지 못하기 때문에 기업의 자발적인 참여를 유도할 수 있는 보다 실질적인 혜택이 필요하다”고 말했다. 기업의 자율적인 참여를 유도할 수 있도록 보다 전략적인 접근이 요구된다는 얘기다.

또한, ISMS 인증은 정보보호 준비도 평가와 달리 모든 기업마다 동일한 조건이 요구되는데, 회사규모나 업종 등에 따라 좀더 다양한 선택이 가능하도록 체계를 개선할 필요성도 제기된다. 이를테면 통제항목을 필수와 선택사항으로 구분해 적용하거나 인증 취득을 준비하는 기업이 어느 정도 수긍할 수 있도록 통제항목에 대한 구조적인 정비가 필요하다는 지적이다.  
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>