잇따른 대형 해킹 사고가 발생하는 가운데, 기업들이 보안 강화를 위해 도입한 정부 인증 제도가 실제 효과는 부족한 채 기업에 과도한 비용과 인력 부담만 지우고 있다는 지적이 제기됐다.
국회 과학기술정보방송통신위원회 소속 김장겸 의원실의 자료에 따르면, 정부는 일정 규모 이상의 기업에 대해 정보보호 관리체계(ISMS) 인증을 의무화하고 있다. 이 제도는 기업이 고객 데이터를 안전하게 관리하고 해킹 등 사이버 공격에 대비할 수 있도록 최소한의 보안 수준을 갖췄는지 검사하는 것을 목적으로 한다. 그러나 현장에서는 이 제도가 목적을 제대로 달성하지 못한 채 형식적인 절차에 머물러 있다는 비판이 나온다.
올해 8월 기준 ISMS 인증 의무 대상 기업은 총 568곳이며, 인증 유효기간은 3년이다. 인증을 받기 위해 기업들은 연간 사후 심사를 포함해 상당한 시간과 비용을 들여야 한다. 최초 ISMS 심사 비용만 평균 1,200만 원 수준이며, 개인정보보호 강화 항목까지 포함한 ISMS-P는 1,800만 원에 이른다. 지난 5년간 이 제도를 통해 납부된 심사 수수료는 440억 원을 넘겼다.
이에 대해 기업들은 실제 정보보안 역량을 강화하기보다 ‘인증 통과’에 집중할 수밖에 없는 구조라고 토로한다. 심사가 실제 해킹 대응 능력을 진단하기보다는, 조직 구성 및 문서 구축 여부 등 ‘체크리스트 방식’으로 진행되기 때문이다. 평균 수천 장에 달하는 문서 작업은 목적성과 실효성에 의문이 제기된다. 해킹 피해가 발생해도 해당 기업에 대해 인증 취소 등의 실질적 제재가 이뤄진 사례는 없다.
또한, 중소기업과 대기업을 동일한 기준으로 심사한다는 점도 문제로 지적된다. 매출 100억 원대의 중소기업이나 수조 원 규모의 대기업 모두가 전담 인력·조직·보안 매뉴얼 보유 여부에 대해 똑같은 기준으로 평가받으며, 현실을 반영하지 못한다는 것이다.
김장겸 의원은 “막대한 자원이 투입되고 있지만 정보보안 강화를 위한 실질적 효과는 미미하다”며 “현재의 보안 인증이 단순 행정절차로 전락하지 않도록 제도 전반에 대한 근본적인 개선이 필요하다”고 밝혔다.
이 같은 비판은 향후 정부의 보안 정책 전반에 대한 재점검을 요구하는 목소리로 이어질 가능성이 크다. 사이버 위협이 날로 고도화되는 상황에서 형식보다 실질을 중시하는 보안 점검 체계로의 전환이 요구되고 있다.
<저작권자 ⓒ TokenPost, 무단전재 및 재배포 금지>