2024-09-09 21:30 (월)
"ISMS·ISMS-P 간편인증, 조직 정보보호 수준 낮아져 공격 간편해지는 인증 되지 않길”
상태바
"ISMS·ISMS-P 간편인증, 조직 정보보호 수준 낮아져 공격 간편해지는 인증 되지 않길”
  • 길민권 기자
  • 승인 2024.07.24 15:06
이 기사를 공유합니다

박나룡 소장 “정보보호 리스크, 조직 규모 보다는 업무 특성에 따라 달라져”

중소기업의 정보보호 인증 부담을 줄여 주기 위해 정부가 마련한 ‘ISMS 및 ISMS-P 간편인증’ 제도가 오늘 7월 24일부터 시행된다. 하지만 당초 목표와는 달리 조직의 정보보호 수준이 낮아져 공격이 간편해지는 인증이 되지 않을까란 우려의 목소리가 나오고 있다. 보안전문가들은 심사 항목과 비용을 줄여 주는 것이 오히려 보안을 약화시킬 것이란 우려와 함께 가장 중요한 부분은, 간편인증의 심사 방식을 어떻게 가져갈지 여부라고 강조하고 있다.

과학기술정보통신부, 개인정보보호위원회 및 한국인터넷진흥원은 중소기업이 ‘정보보호 및 개인정보보호 관리체계’(이하 ‘ISMS 및 ISMS-P’) 인증 취득 시 부담을 완화하기 위해 인증기준, 인증비용 등을 간소화한 ISMS 및 ISMS-P 인증 특례(이하 ‘ISMS 및 ISMS-P 간편인증’) 제도를 7월 24일부터 시행한다고 밝혔다.

정부는 중소기업의 규모 및 특성에 따라 완화된 인증기준과 비용으로 인증을 취득할 수 있도록 특례제도를 도입하는 정보통신망법을 지난 1월 개정하고, 특례제도의 △적용대상, △인증기준, △수수료 등을 규정하기 위한 하위법령을 정비해 이번에 ISMS 및 ISMS-P 간편인증 도입의 제도적 기반을 마련한 것이다.

인증기준은, 기업이 실질적인 정보보호 활동을 할 수 있도록 하는 핵심적인 필수항목은 유지하되, 기업의 부담을 경감하기 위해 중소기업의 수준에서 불필요한 항목은 삭제 또는 완화하여 설계하였다. 기존 인증기준 수 대비 36~40개 항목을 감소한 것이다.

인증심사 수수료도, 인증기준 간소화에 따라 종전 대비 약 40~50% 수준으로 절감된다. 또한 인증 준비에 필요한 보안시스템 구축, 정보보호 조직 구성, 상담 등 기업의 제반 비용도 감소할 것으로 기대하고 있다.

■ “조직 정보보호 수준 낮아져 공격 간편해지는 인증이 되지 않길”

한편 이번 ISMS 및 ISMS-P 간편인증 시행과 관련해 우려를 나타내는 의견들도 있다.

박나룡 보안전략연구소 소장은 “조직의 규모와 보호해야 할 대상의 중요도에 따라 적절한 보안 수준을 갖추는 것이 보안 활동의 기준이라 할 수 있다. 간편인증도 조직의 규모를 기준으로 인증기준을 합리적으로 개선하기 위한 고민의 결과로 보인다”며 “간편인증을 통해 인증기준과 인증비용을 줄여, 대상 기업들의 성장에 도움이 되는 방향으로 개선이 되면 좋겠지만, 간편인증을 통한 수수료 인하(400~700만원 정도)와 인증기준을 줄여주는 것이 기업의 재무적 상황과 인증기준 적용에 따른 부담 간소화에 얼마나 도움이 될지는 의문”이라고 밝혔다.

이어 “인증기준을 그 규모에 따라 달리하기 보다는 심사원의 역량에 따른 판단으로 조직의 규모와 중요도 대비 적절한 판단을 통해 이루어지는 것으로, ISO27000 시리즈도 조직의 매출액에 따라 인증기준을 달리 가져가진 않는다. 정보보호 리스크는 조직의 규모에 따라 달라지기 보다는, 업무의 특성에 따라 달라지는 경우가 많기 때문”이라고 덧붙였다.

그는 가장 중요한 부분은, 간편인증의 심사 방식을 어떻게 가져갈지 여부라고 강조했다.

심사 방식의 객관성과 전문성을 확보하지 못할 경우 기존에 사라진 정보보호 안전진단 제도나 지금은 유명무실해진 준비도 평가 제도(정보보호산업의 진흥에 관한 법률)의 전철을 밟을 가능성도 있다. 제도 시행시 보완해야 할 부분들을 철저히 체크하고 실질적으로 중소기업 보안 강화에 도움이 될 수 있는 방향으로 전략을 수정해 나가야 할 세워야 할 것으로 보인다.

조직의 정보보호 수준이 낮아져 공격이 간편해지는 인증이 되지 않기 위한 고민이 필요해 보인다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★