[디지털데일리 이민형기자] 지난달 24일 임수경 의원(새정치민주연합)은 카드회사 개인정보유출 사건과 관련 “모기업인 국민은행과 농협은행이 정보보호관리체계(ISMS) 인증을 받았음에도 보안사고가 난 점으로 보아 제도 실효성이 의심된다”고 발언했다.

정보보호 관련 인증을 받았음에도 불구하고 보안사고가 발생했으니 인증 획득이 아무런 효과가 없고, 더 나아가 인증제도 자체가 문제가 있지 않느냐는 것이 임 의원의 주장이다. 임 의원 외에도 많은 사람들이 이러한 생각을 갖고 있는 것으로 알고있다.

하지만 이는 잘못된 판단이다. 보안 관련 인증을 받았다고 해서 보안사고가 일어나지 않으라는 법은 없다. 정보보호 인증은 기업의 모든 시스템이 보안위협으로부터 안전하다는 것을 보증하는 제도가 아니다. 기업 정보보호체계 마련을 위한 최소한의 요건이다.

ISMS 인증 획득을 준비하는 기업들은 짧으면 3개월에서 길면 6개월간의 사전 정보보호 컨설팅을 받는다. 이 과정에서 컨설팅 업체들은 ISMS 인증에 필요한 104개의 통제항목에 맞춰 기업의 보안정책을 수립, 수정해준다.

ISMS 인증 심사에서는 모의해킹과 같은 적극적인 실사는 하지 않는다. ISMS 인증 자체가 보안정책이 제대로 수립돼 이행되고 있는지를 파악하는 것이기 때문이다.

104개의 통제항목만 제대로 지키고 이에 대한 증적만 남기면 ISMS 인증을 획득할 수 있다. 새로운 위협에 대한 것은 인증과는 사실 무관한 부분이다.

이를 두고 많은 인증 컨설턴트들은 정보보호 인증이 운전면허증, 의사면허와 같다고 말한다.

한 컨설턴트는 “정보보호 인증 무용론은 운전면허증이 있으면 사고가 안나는가, 의사면허가 있으면 모든 병을 다 고칠 수 있는가에 대한 물음과 맥을 같이한다. 인증은 정보보호를 위한 최소한의 프레임이고, 이를 운영하고 보강하는 것은 전적으로 기업의 책임”이라고 강조했다.

운전자가 운전면허를 딴 이후에 어떤 경험을 하고 어떤 교육을 받느냐에 따라 운전실력과 사고의 위험성은 변하기 마련이다.

정보보호 인증을 받은 기업이 보안사고가 났다는 사실만으로 인증에 대한 무용론을 펼치는 것은 하나만 알고 둘은 모르는 근시안적 태도다.

<이민형 기자>kiku@ddaily.co.kr