릴게임 꽁머니 ∂ 신천지인터넷게임 ∂⊇ 29.rbq651.top ∽ISMS-P(정보보호 및 개인정보보호관리체계 인증) 제도/그래픽=윤선정


롯데카드와 KT가 정보보호관리체계(ISMS)-P 인증을 받고도 대규모 해킹사고가 터지자 ISMS-P 제도의 근본적인 개선이 필요하다는 비판이 나온다. 정부 주관 인증인데도 자격증을 소지한 사람이면 누구나 '부업'으로 심사에 참여하는데다 심사기간도 7영업일 수준에 그친다. 해당 기관이 제출한 서류 위주로, 전수조사가 아닌 샘플링 방식으로 형식적인 심사를 진행해 애초부터 해킹사고를 막기엔 역부족이었다.
28일 정부와 관련업계 등에 따르면 ISMS-P는 체계적이고 종합적인 정보보호 관리체계를 운영하고 있는지 심사해 인증하는 제도로 정부(과학기술정보통신부·개인정보보호대한과학 주식
위원회)가 주관한다. 한국인터넷진흥원(KISA)이 심사 방식과 심사 기관, 심사 인력 등을 결정한다. KT·SKT 등 통신사, 상급종합병원, 대학교, 네이버·카카오 등 인터넷 쇼핑몰 등은 의무적으로 인증을 받아야 하고 기타 금융회사 등은 자율적으로 신청해 인증을 받는다. 의무 대상기관은 KISA가, 금융회사는 금융보안원이 각각 인증한다.
다빈치게임
의료·통신·금융 등 민감 정보를 보유한 기관 대부분이 ISMS-P 의무 인증을 받고 있는 셈이다. 금융회사 약 129곳은 "정보보안이 뛰어나다"며 홍보용으로 이 제도를 적극 활용 중이다. 하지만 정작 제도 운영은 '주먹구구'에 형식적으로 진행되는 것으로 나타났다.
심사 방식부터 허술하다는 지적이다. 인증을 받는 기관은 과기부·개보위가 영원무역 주식
정한 규정에 따라 인증수수료를 내는데 4000만원을 상한으로 두고 있다. 인증수수료 대부분이 심사에 투입되는 인력의 인건비로 쓰이지만 재원이 충분치 않아 평균 5명이 7~10영업일 안에 심사를 완료하는 실정이다.
심사 기간이나 인력 대비 심사범위가 지나치게 넓다보니 전수조사를 하지 못하고 샘플링으로 한다. 해킹사고가 터진 롯데카드의 경우모바일파칭코
사고의 주요 원인인 일부 서버의 보안패치 미비는 ISMS-P 인증 심사 과정에서 확인하지 못했다. 샘플 조사이기 때문에 애초부터 취약점을 발견할 확률이 낮을 수밖에 없다.
심사인력은 KISA가 임의로 배정하기 때문에 일관된 심사품질 보장도 어렵다. KISA는 기관의 인증 신청이 들어오면 해당 기관 정보를 홈페이지에 올리고 심사 희망자를손오공릴게임예시
접수한다. 자격증을 소지한 사람이면 누구나 신청이 가능한다. KISA나 4개 심사기관 소속 직원이 아니라 본업이 따로 있고 '부업'으로 일당을 받고 ISMS-P 인증 심사에 참여하는 것이다.
총 3개 분야로 나눠진 심사항목은 인증을 받는 기관의 업권 특성을 반영하지 못한다. 금융회사의 경우 별도의 세부 심사 항목을 마련했으나 이는 임의적으로 운영하는 기준이지 규정에서 따로 정해 놓은 것은 아니라는 설명이다.
서면 조사로 이뤄지는 심사도 문제로 지적된다. 심사인력이 직접 시스템을 조사하는 게 아니라 인증 심사를 신청한 기관이 제출한 서류 위주로 심사를 한다. 해당 기관이 의도적으로 속이려고 해도 검증이 사실상 불가능하다.
업계의 한 전문가는 "샘플조사, 서류조사 위주의 인증제도는 실제 사고 예방에 효과가 없다"며 "취약점 점검, 모의 해킹 등으로 심사방식을 전환하고, 인증수수료도 현실에 맞게 상향조정해야 제대로 된 인력이 투입된다"고 지적했다. 통신, 병원, 금융 등 각 업권 특성에 맞게 101개 심사 항목의 재조정도 필수라는 설명이다.
권화순 기자 firesoon@mt.co.kr