[파이낸셜뉴스] 정부가 국가 공인 정보보호 인증 심사에서 통신3사를 '고위험군'으로 따로 지정해 특별관리할 예정이다. 국내 최고 수준의 보안 인증인 'ISMS-P'를 획득한 통신3사 내부 보안망이 해킹에 줄줄이 뚫리며 인증제 무용론이 일자 심사 문턱을 대폭 높이기로 한 것이다. ▶관련기사 3면
17일 업계에 따르면 과학기술정보통신부 산하 한국인터넷진흥원(KISA)은 정보보호 및 개인정보보호관리체계 인증(ISMS-P) 심사에서 SK텔레콤·KT·LG유플러스를 고위험군으로 분류하고, 강화된 평가 기준을 적용하는 방안을 논의 중이다. ISMS-P 인증을 획득한 통신3사 해킹 사태로 촉발된 인증제 실효성 논란을 진화하려는 특단의 조치다. 통신3사는 해킹 인지 후 당국에 지연 신고를 하는 등 ISMS-P 인증 기준에 명시된 '사고 전-인지-처리-복구-보고' 등 침해 사고 단계별 대응 절차 위반 의혹을 받고 있다.
통신3사가 고위험군으로 묶이면 향후 인증 심사마다 더 까다롭고, 폭넓은 평가 기준이 적용된다. 정부는 현재 자율 인증제인 ISMS-P 의무화를 검토하고 있다.
ISMS-P 인증을 얻기 위해선 101개 항목에서 적합 판정을 받아야 한다. 3년 간 ISMS-P 인증이 유지되며, 매년 1회 이상 사후심사를 거친다. 세부적인 고위험군 평가 기준은 외부 전문가 논의 등을 거쳐 연내 마련될 전망이다.
통신3사 뿐 아니라 네이버, 카카오, 쿠팡 등 데이터센터 사업자, 정보기술(IT) 플랫폼 사업자도 고위험군에 포함될 것이란 관측이 나온다. 국민 생활과 밀접하고, 과거 개인정보 유출 사고에 노출된 전력이 있는 플랫폼 기업들에게도 엄격한 기준을 동일하게 적용해야 한다는 판단에서다.
실제 KISA는 이동통신사, 인공지능(AI)·인터넷데이터센터(IDC) 업체에 특화된 인증 기준 및 세부점검항목을 개발하는 내용이 담긴 '고위험산업군 ISMS-P 인증기준 개발' 연구용역을 발주한 바 있다. 결과 보고서는 이달 말 나온다.
이기혁 중앙대 융합보안학과 교수는 "기업이 ISMS-P 인증 제도를 면피용으로만 활용하고, 실질적인 보안 관리를 등한시하는 사례가 많다"며 "ISMS-P는 만능의 무적 방패는 아니지만, 디지털 사회에서 신뢰를 구축하기 위한 가장 강력하고 최선의 도구"라고 말했다.
mkchang@fnnews.com 장민권 기자
※ 저작권자 ⓒ 파이낸셜뉴스, 무단전재-재배포 금지