2013년 2월부터 정보보호안전진단제도가 폐지되고, 정보보호관리체계(ISMS) 인증제도가 의무화되며 ISP, IDC, 대형 쇼핑몰 등 많은 기업 및 기관들이 의무대상이 되고 있다. 이를 통해 다양한 인증 부문이 추가되고 정보보호관리 등급제를 통한 자율 규제와 동기부여가 강화된다. 또 이를 바탕으로 지속적인 보안 강화가 이루어질 것으로 예상된다는 언론 보도가 나오고 있다.
 
하지만 실제로 ISMS 인증 기업이 보안이 우수하다는 등식이 성립할까? 기업 내의 보안 정책과 인원 확보 및 활동에 대해서는 자율적일 수밖에 없지만, 외부에 노출되는 메일, 웹서비스 등에도 동일할까? 예를 들어 수년전부터 국내에서 자주 발생하고 있는 기업의 메일 서버가 스팸서버로 악용되는 사례와 웹사이트 해킹으로 인해 개인정보 유출, 악성코드 유포 행위 등에 대해 인증기업 또는 인증을 받고자 하는 기업에서 제대로 대처하고 있는지 의문이다.
 
SK텔레콤은 지난 12월 28일, 이동통신 서비스 인프라, 클라우드 서비스 2개 부분에서 심사를 통과해 이동통신업체로는 최초로 ISMS 인증서를 발급받았다. 5월에는 개인정보보호 관리체계(PIMS)를 취득, 8월에는 BSI로부터 ISO-20071 인증도 받은 바 있다.
 
하지만 지난 12월 29일 SK텔레콤의 캠페인 사이트인 SKTCampaign.com이 해킹을 당해 악성코드를 유포하는 경유지로 이용된 것으로 파악되었다. 이 사이트는 사회공헌 및 이벤트를 진행하기 위해 만들어진 사이트로 페이스북 ‘좋아요’만 63만여회에 달하는 큰 사이트다. 물론 인증 분야가 다르기는 하지만, 웹사이트는 거의 대부분 이용되는 핵심 분야이다.
 
한편 대형 쇼핑몰중 하나인 신세계몰의 경우를 보면, 2010년 12월말 ISMS 인증을 취득하였으며 유효기간은 2013년 말까지 3년간이다. 인증받기 이전인 2012년 3월, 해킹으로 인해 약 390여만명의 개인정보 유출 사고가 발생한 바가 있다. 또한 2012년 8월 5일쯤 쇼핑몰 내의 특정 페이지에서 악성코드를 유포하는 링크가 포함되어 있었으며, 현재까지도 그 링크가 존재하고 있다. 물론, 악성코드를 유포하는 행위는 차단되어 있지만, 이는 공격자의 의도이지 쇼핑몰의 보안이 뛰어난 것은 아니다.
 
<링크: mall.shinsegae.com/item/item/iframeItemDetailInfo.do?item>
 
신세계몰의 웹소스를 외부에서 분석해 본 결과, 쇼핑몰 내에서 특정 페이지에만 악성코드 관련 링크가 삽입된 것으로 보아 쇼핑몰 컨텐츠 부분에 대한 변조가 발생한 것으로 보인다. 개인정보 유출과는 약간 거리가 있을 수 있지만, 쇼핑몰을 방문하는 사용자 입장에서는 쇼핑몰에 방문하는 것만으로도 악성코드에 감염될 수 있기 때문에 웹사이트의 보안이 취약하다는 뜻이 될 수 있다.
 
2013년 1월 17일, 방통위가 고시한 “정보보호 관리체계 인증 등에 관한 고시_전부개정(고시 제2013-4호)”에 따르면 공개서버 즉, 웹사이트에 대한 물리적 기술적 보호 대책을 수립해야 한다고 되어 있다.
 
ISMS 인증 심사 과정에서 웹사이트가 포함된 기업이라면 이에 대한 점검을 받았을 것으로 생각된다. 하지만 웹사이트는 인증 유효기간인 3년내내 그대로 유지되는 것이 아니다. 끊임없이 웹소스, 컨텐츠 등이 추가되고 삭제되는 살아있는 생명과 같은 존재이다. 생명에도 병이 걸리듯이, 시간이 지남에 따라 여러 가지 문제점이 발생하고 이러한 결과로 앞서 사례를 든 개인정보 유출, 악성코드 유포 사고가 발생할 수 있다.
 
또한 빈번히 발생하는 웹사이트 해킹, 악성코드 유포가 발생했을 경우에는 사고의 원인을 규명하여 유사한 사고가 발생치 않도록 조치해야만 한다. 하지만 실제 기업에서 이러한 사례가 발생할 경우 이에 대한 대응책 마련이 거의 이루어지지 않고 있는 실정이다.
 
2012년 8월, 방통위와 KISA는 인증위원회를 열어 870만 고객 개인정보 유출 사고를 발생시킨 K사의 PIMS 인증을 박탈한 바 있다.
 
따라서 PIMS뿐만 아니라 ISMS 인증의 신뢰성을 높이기 위해서는 이러한 사고 발생시 공신력있는 관계 기관 또는 객관성을 보장할 수 있는 제3의 민간조직을 통해 해당 사고에 대한 대응이 적절한지 추가적인 대책이 완벽한지 다시 한번 검토해야 한다. 또 부족한 면이 있거나 보완이 필요한 부분에 대해 상호 협의하여 유사한 사고가 발생하지 않도록 노력을 다해야 할 것이다.
 
[글. 문일준 빛스캔 대표이사]