23일 한국인터넷진흥원(KISA)에 따르면 지난해 의무대상임에도 ISMS 인증을 받지 않아 과태료를 처분 받은 곳은 30여개에 달한다. ISMS 인증 관련 과태료는 3000만원이다. 과태료를 내는 편이 보안시스템을 제대로 갖추는 것보다 비용 측면에서 낫다는 판단이다.

고객 및 중요 정보를 보유한 대상자들이 정보보안을 비용으로 인식하며 기피하는 현상으로 해석된다. ISMS를 구축하려면 사업자에 따라 다르지만, 보통 2억원가량이 투입된다. 보안사고 발생에 따른 이용자 정보유출 등을 미연에 방지하고 대처해야 하는 기업 및 기관들이 2억원 대신 단돈 3000만원으로 의무를 저버리는 선택을 하고 있는 것이다.

지상호 KISA 보안인증지원단장은 “지난해 기준 30여개 업체가 ISMS 인증을 스스로 포기하며 과태료 처분을 받았으며, 매년 늘어나는 추세”라며 “ISMS 구축 이후에도 사후 심사를 받아야 하고 매년 건강검진을 받듯 비용이 발생하게 되는데, 돈으로만 따지면 과태료를 내는 것이 이득이라고 보는 것”이라고 지적했다.

올해 과태료 대상에 포함되는 곳들은 더욱 늘어날 전망이다. 대학들이 ISMS 인증을 거부하고 있기 때문이다. 당초 신규 의무대상인 병원과 대학은 지난해까지 ISMS 인증을 완료해야 했으나, 대학 측의 반발로 우선은 올해까지 연장한 상태다.

정부는 올해까지 대학이 ISMS를 받지 않으면 과태료를 부과하겠다는 방침이다. 대학은 한국대학정보화협의회를 중심으로 강경태세를 유지해 왔다. 지난해 11월 열린 추계 워크샵에서는 ISMS 인증 반대를 주장하며 “벌금을 내지 않겠다”는 언급까지 할 정도였다.

당장 올해까지 ISMS를 받아야 하지만, 지금까지 이를 완료한 대학은 단 한 곳도 없다. 순천향대학교만 ISMS 시범사업에 참여하고 있을 뿐이다.

지 단장은 “의무 대상 대학은 총 37곳인데, 실제로 준비하고 있는 곳은 많지 않다”며 “올해에 ISMS를 받으려면 지금쯤 거의 완료단계에 접어들어야 하는데, 그 정도 수준의 대학은 10개도 채 되지 않을 것”이라고 말했다.

이어 “여태까지 대학들은 과태료를 내고 말겠다는 입장을 유지하고 있었다며 “연간 1500억원 이상 세입을 거두고 있는 대상 대학들이 2억원이 없어 인증을 못 받겠다고 하는 것은 어불성설이며, 할인 및 컨설팅 지원까지 제안하고 있는데 거부하고 있기 때문에 의지가 없어 보인다”고 덧붙였다.

상황은 이렇지만 당장은 과태료 이외 별다른 제재를 가할 수 있는 방법은 없다. 지난해 개정안을 통해 미인증에 따른 과태료는 기존 1000만원에서 3000만원으로 상향 조정됐다. 이 이상의 과태료 규모를 산정하기는 당장은 어려울 것으로 보인다.

한국인터넷진흥원은 사후심사에서 실효성을 높이고, 인증 심사원 자격요건을 개선하는 방안을 고민하고 있다.

ISMS 인증을 받은 곳은 1년에 1회 이상 사후심사를 받아야 한다. 90일간 보완할 수 있는 기간을 충분히 주기 때문에 사후심사를 통해 인증이 취소되는 경우도 거의 발생하지 않는다.

일부 기업 및 기관들이 사후심사 때 검증하기 어려운 가짜 증거물을 제출하는 경우가 있다. 일례로, 직원들에 대한 정기적 정보보호 교육과 관련해 조작된 출석부를 만들 수도 있는 것이다. 망분리의 경우에도 평소에는 업무상 불편함을 이유로 지키지 않다가 인증 받을 때만 지키는 척 할 때도 있다.

지 단장은 “ISMS 제도 자체가 기준에 합당하면 인증을 해주고 있는데, 제도 개선이 필요한 부분이 있다”며 “동일한 문제점이 반복적으로 발생하거나, 1년간 제대로 운영하지 않았다는 증거가 발견될 경우 인증을 취소할 수 있다는 내용으로 개선안을 준비 중이다”고 설명했다.

또 “제도가 개선돼 까다로워지면 기피현상이 심화될 수 있으나, 제도가 제대로 운영되려면 실효성을 높이는 것이 우선”이라고 부연했다.

아울러, 지 단장은 “실력 있는 인증 심사원들이 실제 현장에서 활동할 수 있도록, 관리 측면에서 자격 유효 기간 3년 내 일정 횟수 이상을 반드시 심사해야 자격을 유지하도록 하는 방안도 고려하고 있다”고 말을 보탰다.

<최민지 기자>cmj@ddaily.co.kr