[IT동아 김예지 기자] 정부가 정보보호 관리체계 인증(ISMS) 및 개인정보보호 관리체계 인증(ISMS-P)의 실효성을 높이기 위해 제도를 전면 개편한다. 이는 지난해 10월 국가 전반의 정보보호 역량 강화를 위해 발표된 ‘범부처 정보보호 종합대책’의 후속으로, 국가 인증을 취득한 기업에서조차 개인정보 유출 사고가 잇따르자 인증 제도의 개선이 필요하다는 판단에 따른 것이다.

정부는 ‘강화된 정보보호 관리체계 구축’을 목표로 지난해 12월 제도 개편 방안을 발표했다. 개인정보위는 사고 발생 기업에 대한 현장 점검에 착수했으며, 과기정통부는 900여 개 ISMS 인증 기업의 자체 점검 결과를 바탕으로 올해부터 현장 검증을 이어간다. 양 기관은 합동 TF를 통해 확정한 개선안을 2026년 1분기 단계적으로 시행한다. 지난 1월 9일에는 정보보호 공시 의무 대상자를 확대하는 ‘정보보호 산업법 시행령’ 개정안을 입법예고 했다.

앞서 정부는 금융·통신 등 핵심 IT 시스템에 대한 보안 취약점을 점검한다고 밝혔다. 특히 통신사는 실제 해킹 방식을 모방한 불시 점검을 받게 되며, 취약한 펨토셀은 즉시 폐기 조치될 계획이다. 보안 인증 제도를 현장 심사 중심으로 전환하고, 사후관리를 강화한다. 모의해킹 훈련과 화이트 해커를 활용한 상시 점검 체계도 구축한다.

ISMS·ISMS-P, 개정되는 이유는

ISMS는 기업의 정보자산을 안전하게 보호하는 보안 조치를 국가가 인증하는 제도다. ISMS-P는 여기에 개인정보 보호 영역을 더한 것이다. 기존에 ISMS는 법상 의무대상자(ISP, IDC 기업) 등에 의무였던 반면, ISMS-P는 자율 인증에 가까워 그동안 기업들은 필요에 따라 선택적으로 받아왔다.

그러나 지난해 인증을 취득한 통신사, 쿠팡, 롯데카드 등에서 침해 사고가 연이어 발생하며 실효성 논란이 일었다. 예컨대, 지난해 발생한 KT 해킹 사고는 인증 범위 밖이었던 펨토셀을 통해 발생하면서 기존 관리 체계의 한계를 드러냈다. 인공지능(AI)을 활용한 공격이 갈수록 지능화되는 상황에서 보안 인증은 최소한의 방어선에 불과하다. 인증 취득을 보안의 완성이 아닌 지속적인 관리를 위한 최소한의 기반으로 인식돼야 한다.

ISMS-P도 의무화…실전형 검증 강화

앞으로는 기존 자율적으로 운영되던 ISMS-P 인증을 공공·민간 주요 개인정보처리시스템(주요 공공시스템, 통신사, 온라인 플랫폼사 등)에 대해 의무화한다. 특히 통신사, 대규모 플랫폼 등 국민 파급력이 큰 기업에 대해 강화된 인증기준을 마련한다. 시행령 개정안이 적용될 경우, 기존에는 매출액 3000억 원 이상의 대기업만 정보보호 현황을 의무 공시했지만, 앞으로는 코스피·코스닥 상장사 전체로 확대된다. 또한 의무에서 빠져 있던 공공기관, 금융회사, 소기업, 전자금융업자에 대한 예외도 삭제된다. 이로써 소비자는 기존보다 늘어난 기업들의 정보보호 현황을 확인할 수 있게 된다.

심사 절차에 실효성이 더해지는 조치들도 시행된다. 본심사 전 예비심사 단계를 신설해 핵심 항목들을 선제 검증하고, 기술심사 및 현장실증 심사를 강화한다. 실제 해킹 공격을 가정한 모의 침투 테스트(모의해킹)를 통해 주요 보안 취약점을 미리 점검한다. 특히 사고 이력이 있거나 위험도가 높은 기업은 모의해킹 검증이 의무화된다. 예비심사를 통과하지 못하면 본심사 자체가 불가능하며, 기존 인증 기업이라도 효력이 정지될 수 있다.

본심사 단계 역시 기존의 서면 위주 심사에서 벗어나, 실제 운영 환경을 확인하는 현장 실증형으로 전환된다. 심사원은 현장에서 세부 보안 설정과 관리 실태를 면밀히 평가하며, 심사 인력은 AI와 최신 공격 기술에 능통한 전문가들로 구성된다.

사후관리도 한층 강화한다. 유출사고 발생 시 특별 점검을 실시하며, 중대 결함 발견 시 인증위원회 의결을 거쳐 인증을 취소한다. 더불어 인증의 유효기간 3년은 유지되나, 매년 상시 점검을 통해 기준 미달 시 신속한 보완을 요구하는 등 운영 단계의 책임성을 강화했다.

보안 전략, 규제 준수에서 실전 대응으로

기업들의 부담 증가에 대한 우려의 목소리도 있다. 예비심사 신설과 현장 실사 확대로 심사 일정이 길어지면서 기업 입장에서는 경제적·행정적 부담이 커지기 때문이다. 또한 고도의 기술력이 필요한 모의해킹과 현장 실증을 수행할 전문 심사 인력의 수급 불균형 문제도 과제다.

일각에서는 내용이 상세할 경우 오히려 해커에게 기업의 보안 취약점 지도를 제공하게 될 수 있다는 지적도 나온다. 따라서 기업의 영업 비밀을 보호하면서 투명성을 높이는 정교한 가이드라인이 필요하다. 홍관희 LG유플러스 센터장은 지난 IT동아와의 인터뷰에서 “기업의 운영 문화와 거버넌스 중심으로, 실질적인 항목 전반을 평가하는 방향으로 발전해야 한다”고 제언했다.

과기정통부는 입법예고 기간 중 공청회 등을 통해 수렴한 각계의 의견을 바탕으로 법제처 심사 등 후속 절차를 밟는다. 개정안은 2027년 정보보호 공시 대상자부터 적용되며, 신규 대상 기업의 부담을 줄이기 위해 공시 가이드라인 배포와 맞춤형 컨설팅 및 교육을 적극 지원할 계획이다.

한편 제도 개편은 국내 보안 산업 발전의 기폭제가 될 것으로 보인다. 예컨대, 빅데이터 분석 AI 및 보안 전문 기업 에스투더블유(S2W)는 모의해킹 의무화에 대응하기 위한 위협 인텔리전스 기반의 실전형 검증 모델을 제시한다. 기업이 취약점을 입체적으로 파악하도록 지원하고, 공개된 취약점에 대한 자동 검증 시스템을 활용해 실제 위협 행위자의 공격 시나리오 기반 테스트를 제공한다. 다크웹에 유출된 계정 정보로부터 실제 공격으로 이어지는 시나리오까지 검증하도록 돕는다.

보안은 이제 ESG 경영의 핵심 지표가 됐다. 기업들은 이제 단순한 보안 체크리스트 채우기 식에서 벗어나야 한다. ISMS 및 ISMS-P 개편은 대한민국 사이버 보안의 수준을 한 단계 높이기 위한 필연적인 과정이다. 이제 보안은 사고 후 수습하는 비용이 아니라, 기업의 생존을 결정짓는 자산이자 서비스 품질로 인식돼야 한다. 제도 개편이 실질적인 국가 보안 강화로 이어지기 위해 현장의 목소리를 반영한 세밀한 운영 전략과 충분한 심사 인력 확보, 중소기업과 스타트업을 위한 유인책이 병행돼야 한다.

IT동아 김예지 기자 (yj@itdonga.com)