최고 보안인증 ‘ISMS-P’ 획득 불구
줄줄이 해킹에 인증제 무용론 커져
정부, 강화된 평가기준 적용 검토
네카오·쿠팡도 고위험군 포함될 듯 정부가 국가 공인 정보보호 인증 심사에서 통신 3사를 '고위험군'으로 따로 지정해 특별관리할 예정이다. 국내 최고 수준의 보안인증인 'ISMS-P'를 획득한 통신 3사 내부 보안망이 해킹에 줄줄이 뚫리며 인증제 무용론이 일자 심사 문턱을 대폭 높이기로 한 것이다.

17일 업계에 따르면 과학기술정보통신부 산하 한국인터넷진흥원(KISA)은 정보보호 및 개인정보보호관리체계 인증(ISMS-P) 심사에서 SK텔레콤·KT·LG유플러스를 고위험군으로 분류하고, 강화된 평가기준을 적용하는 방안을 논의 중이다. ISMS-P를 획득한 통신 3사 해킹사태로 촉발된 인증제 실효성 논란을 진화하려는 특단의 조치다. 통신 3사는 해킹 인지 후 당국에 지연신고를 하는 등 ISMS-P 기준에 명시된 '사고 전-인지-처리-복구-보고' 등 침해사고 단계별 대응절차 위반 의혹을 받고 있다. ISMS-P는 기업의 정보 보호·개인정보 보호를 위한 조치·활동이 국가 인증기준에 적합한지 KISA 등 인증기관이 증명하는 제도다.

통신 3사가 고위험군으로 묶이면 향후 인증 심사마다 더 까다롭고 폭넓은 평가기준이 적용된다. 정부는 현재 자율인증제인 ISMS-P 의무화를 검토하고 있다.

ISMS-P를 받기 위해선 101개 항목에서 적합 판정을 받아야 한다. 3년간 ISMS-P가 유지되며, 매년 1회 이상 사후심사를 거친다. 세부적인 고위험군 평가기준은 외부 전문가 논의 등을 거쳐 연내 마련될 전망이다.

통신 3사뿐 아니라 네이버, 카카오, 쿠팡 등 데이터센터 사업자, 정보기술(IT) 플랫폼 사업자도 고위험군에 포함될 것이란 관측이 나온다. 국민 생활과 밀접하고, 과거 개인정보 유출사고에 노출된 전력이 있는 플랫폼 기업들에도 엄격한 기준을 동일하게 적용해야 한다는 판단에서다.

실제 KISA는 이동통신사, 인공지능(AI)·인터넷데이터센터(IDC) 업체에 특화된 인증기준 및 세부점검 항목을 개발하는 내용이 담긴 '고위험산업군 ISMS-P 인증기준 개발' 연구용역을 발주한 바 있다. 결과 보고서는 이달 말 나온다.

이기혁 중앙대 융합보안학과 교수는 "기업이 ISMS-P 제도를 면피용으로만 활용하고, 실질적인 보안관리를 등한시하는 사례가 많다"며 "ISMS-P는 만능의 무적 방패는 아니지만, 디지털 사회에서 신뢰를 구축하기 위한 가장 강력하고 최선의 도구"라고 말했다.