ISMS 인증, 형식적 준수에 머무는가
— 제도적 한계와 개선 필요성, 인증제도의 지속적인 유지는 필요한가?

 

■ 요약

국내 정보보호 관리체계 인증(ISMS)은 기업의 정보보호 역량을 객관적으로 검증하기 위한 제도로 자리 잡았지만, 실제 보안 사고가 인증 보유 기업에서 반복적으로 발생하면서 제도의 실효성에 대한 의문이 제기되고 있다. 이에 인증 체계의 구조적 한계, 운영 과정에서의 문제, 제도적 미비점 등을 종합적으로 분석해 개선 방향을 제시한다.

 

■ 1. ISMS 인증 제도의 구조적 한계

1) 체크리스트 기반 심사의 한계

현행 ISMS 심사는 ‘적합·부적합’ 중심의 체크리스트 방식에 집중되어 있다.
이 과정에서 실제 위협 환경, 조직의 맥락(context), 최신 공격 기법의 반영은 제한적으로 이루어진다는 지적이 있다.

• 문서 존재 여부 중심의 심사

• 실제 운영 수준과 보안 성숙도는 상대적으로 반영 비중 낮음

• 공격 시나리오 기반 검증 부족

2) 형식적 문서화에 대한 과도한 의존

많은 기업이 “심사를 위한 문서 만들기”에 집중하며, 결과적으로

• 보안 정책과 지침은 있되 운영되지 않거나

• 위험평가는 형식적이고

• 개선 활동은 심사 시점에 맞춘 단발성 작업
  으로 남게 된다.

 

■ 2. 인증 보유 기업에서의 사고 발생 현황

과거부터 최근까지 주요 사고 사례를 보면(SK텔레콤, KT, 롯데카드, YES24, 쿠팡 등 오히려 인증을 받은 대기업들이 끝없이 털리는 중)

• ISMS 인증을 보유한 기업임에도 랜섬웨어 감염

• 외부 위탁 관리 시스템 해킹

• 직원 계정 탈취 통한 내부 정보 유출
  등이 지속적으로 보고되고 있다.

이는 인증이 곧 실질적 보안성을 담보하지 않음을 보여주는 대표적 근거로 해석된다.

 

■ 3. 기업 내부 관점에서 드러나는 운영 현실

1) 보안 조직·예산·역량의 부족

ISMS 인증을 유지한다고 해서

• 보안 인력 확충

• 예산 증액

• 인프라 개선
  이 자연스럽게 이뤄지는 것은 아니다.
  중소·중견기업은 특히 “최소 요구사항 충족”에만 집중하는 경향이 강하다.

2) 경영진의 단기적 관점

ISMS를 ‘영업·입찰을 위한 필수 요건’ 정도로 인식해

• 실제 보안 투자보다 인증 획득 자체에 목적이 맞춰짐

• 인증 후 관리 활동이 급격히 약화되는 현상
  이 나타난다.

 

■ 4. 인증 제도 운영 측면의 문제

1) 심사기관 간 평가 수준 편차

심사기관별 전문성 차이, 심사의 일관성 부족이 제기되어

• 동일한 요건도 기관에 따라 해석이 달라지고

• 기업은 “가장 수월한 기관”을 찾는 풍조 존재
  한다는 의견이 나온다.

2) 사고 발생 시 제재·모니터링 미비

인증을 보유한 기업이 사고를 일으켜도

• 인증 취소

• 재심사 의무

• 사후관리 강화
  가 실질적으로 작동하지 않는다는 비판이 있다.

 

■ 5. 제도의 근본적 개선 방향

1) 공격 시나리오 기반·위협 기반 심사 도입

정적 체크리스트가 아닌

• 침해사고 가정 시나리오

• 최신 공격 벡터 반영

• 기술적 검증(샘플링 테스트 등)
  등을 강화해야 한다.

2) 사후 모니터링 체계 도입

연 1회 정기심사로는

• 신규 취약점

• 조직 변화

• 새로운 업무 환경
  을 반영하기 어렵다.
  지속적 모니터링 또는 반기 단위 점검이 필요하다.

3) 실제 사고 발생 시 강력한 제재 메커니즘

인증 보유 기업의 사고에 대해

• 인증 취소 또는 재취득 의무

• 원인 분석 보고 의무

• 개선 이행 여부 검증
  이 도입되어야 한다.

4) 보안 성숙도 기반 차등 인증

단순 ‘적합·부적합’이 아니라

• 레벨(Level) 기반

• 성숙도(Maturity) 기반 셈법
  으로 인증 체계를 개편해 실질 운영력을 반영해야 한다.

 

■ 결론

ISMS 인증은 국내 정보보호 체계의 최소 기준을 제시한다는 점에서 의미가 크다. 그러나 현재는 “보안 수준을 높이기 위한 수단”보다 “인증을 받기 위한 절차”로 인식되는 경향이 강하다.

제도의 근본적 목적을 되살리기 위해서는 평가 방식, 운영 체계, 사후 관리 등 전반적인 모든 개편이 필요하며 특히 기업의 실제 보안 역량을 반영할 수 있는 동적·위협 기반(모의훈련-모의침투 등) 인증 체계로 전환해야 한다.

 

보안 인증의 목적은 ‘증명’이 아닌 ‘보호’여야 한다. ISMS 인증이 그 본래의 역할을 수행할 수 있도록 전면적인 제도적·운영적 개선이 시급하며 이것이 아니라면 제도를 폐지하는것이 오히려 기업과 기관들에게 도움을 주는 선택이 될 것이다. 현재의 방식대로는 "아무런 도움도 되지않는", "돈과 시간만 허비하는" 인증으로 국민들에게 인식되기 시작됐다.