2020-10-20 00:25 (화)
“ISMS 인증심사원 능력편차 심해…심사비 현실화도 해결돼야”
상태바
“ISMS 인증심사원 능력편차 심해…심사비 현실화도 해결돼야”
  • 길민권 기자
  • 승인 2017.04.26 09:49
이 기사를 공유합니다

ISMS 인증 이슈 “대학들 인증심사 보이콧, 명분 없다”…”유능한 심사원 부족해”

▲ 이미지 출처. 한국인터넷진흥원
▲ 이미지 출처. 한국인터넷진흥원
기업이 수립, 관리, 운영하는 정보보호 관리체계의 적합성에 대해 인증을 부여하는 정보보호 관리체계 인증제도(이하 ISMS)가 2013년 의무화 과정을 거쳐 2015년 의무대상 확대로 이어지면서 풀어야 할 숙제들이 발생하고 있다. 인증 의무대상 기관의 보이콧 문제와 인증심사원 문제 등이다.

우선 의무대상기관의 보이콧 문제다. 지난해 ISMS 인증 의무대상에 병원 41개 기관과 대학 37개 기관이 지정됐다. 두 기관의 반응은 달랐다. 병원은 의무대상에 포함되면서 큰 저항없이 인증 준비를 하고 있으며 현재 인증완료 병원은 5개, 심사완료 병원 5개다. 다른 31개 병원들도 기관 상황에 맞게 순조롭게 준비작업에 들어간 상태다. 특히 오는 5월 18일 개최되는 ‘의료기관 개인정보보호&정보보안 컨퍼런스’ MPIS 2017에서 다양한 사례가 발표될 예정이다.
(등록: conf.dailysecu.com/conference/mpis/2017.html)

◇”대학 실무자들, ISMS 인증에 대한 막연한 두려움 갖고 있어”

하지만 37개 대학은 인증 의무에 대한 보이콧을 하고 있다. 대학정보처장 협의체인 대학정보화협의회의 주장들은 이렇다.

법 개정 절차부터 잘못됐다고 주장한다. 의견수렴 과정을 거치지 않았다는 것이다. 이에 한국인터넷진흥원(KISA) 측은 교육부에 의견수렴을 요청했고 교육부에서 응답도 있었지만 교육부와 대학간 커뮤니케이션이 많이 이루어지지 않았다고 말한다.

또 대학 측은 대학보다 더 중요한 금융기관이나 에너지 기관 등은 중요한 정보와 많은 개인정보를 보유하고 있음에도 불구하고 의무대상이 안됐는데 왜 대학을 먼저 지정하냐는 불만이다.

이에 KISA 관계자는 “의무대상 확대가 논의될 때 사실 대학은 중요도에서 상위권에 있지 않았다. 이 부분은 인정한다. 하지만 산업별 보안수준을 보면 금융이나 에너지 등은 정보보호 체계를 잘 갖추고 있고 투자도 많이 하고 있다. 하지만 대학은 현재 무방비 상태로 봐야 한다. 학내 홈페이지는 제대로 관리가 안돼 해커들의 놀이터가 되고 있다”고 지적했다.

대학 측은 또 ISMS 인증은 과잉 중복 규제라고 주장한다. ‘정보보호 수준진단’과 ‘개인정보 영향평가’ 등을 받고 있다는 것이다. 이에 KISA 측은 “정보보호 수준진단은 자율점검이고 개인정보영향평가는 일회성으로 ISMS처럼 상시 운영이 아니다. 따라서 과잉규제로 보기 힘들다”는 입장이다.

또 대학은 예산과 인력 및 준비시간 부족을 이유로 들고 있다. 이에 KISA 측은 “1천5백억 이상 수익을 내는 대학들이 1년에 ISMS 인증에 소요되는 예산 2억 투자가 힘들다는 것은 말이 안된다. 어렵다고 해서 감면 정책도 제시했다. 컨설팅까지 무료로 해준다고 했는데도 1개 대학만 지원했다. 의지가 없다고 볼 수밖에 없다”고 반박했다.

특히 대학 실무진의 거부감이 이번 보이콧 사태를 유발했다고 KISA는 지적하고 있다. “대학 정보처 실무진들이 일이 많아 지고 혹시나 인증을 못 받으면 문책도 받아야 하는 등 실무진들의 저항이 크다. 막연한 공포심인 것 같다. ISMS 인증 교육과 설명회도 했는데 여전한 공포감에 사로잡혀 있다. 처음엔 인증범위를 중앙서버나 전산실 정도로 시작하면 큰 부담이 없다고 설득해도 보이콧만 하고 있다”며 “또 대학들이 보안시스템 구입은 어느 정도 돼 있기 때문에 컨설팅 비용 정도만 투자하면 된다. 그렇게 되면 1억 이하로도 충분히 인증을 받을 수 있어 비용도 일반 기업에 비해 부담스러운 수준이 아니다. 실무자들의 막연한 공포감이 문제다”라고 지적했다.

미래부는 대학과 병원에 인증수수료도 50% 할인 혜택과 더불어 준비기간을 고려해 인증기한도 2017년으로 유예해 주고 있다. 대학 ISMS 구축 컨설팅을 지원하겠다고 공문을 발송했지만 1개 대학만 신청한 상태다. 현재 대학측도 몰리는 상황이라 집단 보이콧에서 대학 스스로 판단하라는 입장으로 돌아서고 있다. 유명 대학 몇 곳에서 인증을 받기 시작하면 다른 대학도 따라올 수밖에 없을 것으로 보인다.

KISA 측은 현재 대학중 10개는 인증을 받을 가능성이 있으며 나머지 준비하고 있지 않은 27개 대학은 과태료 처분을 받게 된다. 의무대상임에도 인증을 받지 않으면 3천만원 이하의 과태료를 내야 한다.

▲ 이미지 출처. 한국인터넷진흥원
▲ 이미지 출처. 한국인터넷진흥원. ISMS 인증 발급 현황
◇ISMS 인증심사원 자격관리 및 심사비 현실화 이루어져야

한편 ISMS 심사원 품질관리가 제대로 안되고 있으며 심사원 자질 편차로 인해 심사 품질의 차이가 심하다는 현장의 목소리가 크다. 또 심사원들의 심사비 현실화가 안되고 있어 능력있는 심사원이 현장에 투입되지 못하고 있다는 현실적인 문제들이 있다.

현재 ISMS 인증심사원으로 활동하고 있는 A씨는 “ISMS 심사원들의 실력 편차가 커 현장에서 불만의 목소리가 높다. 또 인증심사원 등록자가 현재 1천300명에 달하지만 실제 심사에 투입되는 인력은 30% 미만에 불과하다. 실력있는 심사원이지만 직장을 갖고 있는 경우가 많기 때문에 퀄리티 있는 심사원들의 현장 투입이 부족한 상황”이라고 말하고 또 한편 “심사원 입장에서는 심사 배정 문제와 심사비가 현실에 맞지 않아 대책이 필요하다는 입장이다. 어떤 심사원은 자주 배정되고 초보 심사원은 배정이 안되는 경우도 있고 심사비가 하루 20만원~30만원 선인데 이 수준으로는 실력있는 심사원이면 다른 컨설팅일을 하는 것이 더 많은 수익을 낼 수 있어 굳이 인증심사원 활동을 안하려고 한다. 그러면서 능력있는 심사원들이 심사에 참여하지 않고 초보들만 참여하게 돼 심사 품질이 낮아지는 악순환이 되고 있다”고 지적했다.

이에 KISA 측은 “매년 하반기에 ISMS 인증심사가 몰리면서 심사원 수급도 어려운 것이 현실이다. 유능한 심사원들은 대부분 현재 좋은 직장에서 근무를 하고 있는 경우가 많고 그렇다고 초보 심사원만 현장에 내 보낼 수도 없다. 이를 개선하기 위해 심사원 자격 문턱을 높이려고 한다. 경력만 갖고 심사원 자격을 주는 것에서 벗어나 자격 검증을 해서 일정 수준 이상의 심사원만 자격을 줄 것이다. 현재 인증심사 자격검증 시험에서 합격률이 10% 미만이다. 그만큼 실력이 있어야 심사원 자격을 계속 유지할 수 있게 만들어 가고 있다”고 밝히고 “심사원 배정도 논란이 없도록 랜덤하게 배정하고 있다. 또 실력과 경력이 있는 심사원에게는 심사비용을 더 올려주는 방안을 미래부와 협의중이다. 하지만 쉽지 않은 절차들이 있어 심사비 인상 문제는 확답할 수 없다”고 밝혔다.

지난해 의무대상 기관이 인증을 받지 않아 과태료 처분을 받은 곳이 30개 기업이 된다. KISA 관계자는 과태료 처분 기관이 매년 늘어나고 있다고 한다. 대학들이 보이콧으로 인증을 받지 않으면 올해 과태료 처분 기관은 더 늘어날 전망이다. 관계 기관의 보다 적극적인 대처가 필요하며 유능한 인증심사원 확보를 위한 현실적인 대책마련도 필요한 상황이다.

★정보보안 대표 미디어 데일리시큐!★