[법과 상식 사이] ISMS-P 무용론은 왜 반복되는가

2025년 정보보안 사고와 ISMS-P 정보보안 전문가들은 2025년을 정보보안 역사상 최악의 해라고 말한다. 사고의 유형과 규모, 유출된 정보의 민감도, 기업의 대응 과정 전반에서 논란이 이어졌고, 과거와는 다른 양상이 반복되면서 사회적 불안도 커지고 있다. 특히 “ISMS-P 인증을 받았는데도 사고가 났다”는 비판이 확산되며 이른바 'ISMS-P 무용론'까지 고개를 들었다. 거듭되는 대형 사고 속에 국민의 불안은 깊어지고 있지만, 정작 ISMS-P 제도가 무엇을 보장하고 어디까지 해결할 수 있는지에 대한 근본적인 이해는 여전히 부족하다. 이제는 제도에 대한 오해와 과도한 기대를 정리하고 ISMS-P의 한계와 역할을 정확히 짚으며 그 개선 방향을 함께 고민하는 수고스러움을 시작할 때다. ISMS-P가 묻는 것과 우리가 기대한 것 ISMS-P는 정보보호 및 개인정보보호 관리체계(Information Security Management system & Personal Information Protection)의 약자로 기업이 법에서 정한 기준에 따라 정보보호 체계를 구축하고 관리하는지를 심사해 인증하는 제도다. 기업이 최소한의 보안 요건을 일회성이 아니라 상시 유지하도록 유도해 전반적인 정보보호 수준을 끌어올리는 데 목적이 있다. 그럼에도 ISMS-P 무용론이 제기되는 이유는 무엇일까? 이는 ISMS-P를 정보보호의 완벽한 방패로 오해한 데서 출발한다. ISMS-P는 침해를 원천적으로 차단하기 위한 제도가 아니다. 오히려 정보보호가 조직 내부에서 관리되지 않은 채 방치되는 것을 막기 위한 최소한의 관리 체계에 가깝다. 건강검진이 암을 완벽히 막아주지 못하듯, ISMS-P 역시 침해 사고를 완벽히 차단해 주는 제도는 아니다. 대신 조직이 정보보호 자산을 정확히 식별하고 있는지, 책임과 권한이 명확히 설정되어 있는지, 위험을 체계적으로 관리하고 있는지, 그리고 사고 발생 시 대응과 재발 방지 체계를 갖추고 있는지를 점검한다. 즉, ISMS-P의 핵심 질문은 “사고유무”라는 결과가 아니라 “사고를 통제하고 관리할 역량을 갖추고 있는가”라는 거버넌스의 문제다. 이러한 본질에 대한 이해가 없다면 ISMS-P는 사고가 발생할 때마다 아무 소용이 없는 제도처럼 보일 수밖에 없다. ISMS-P의 구조적 한계: 관리와 통제 사이의 간극 물론 ISMS-P의 한계는 분명하다. 이 제도는 태생적으로 경계(perimeter)가 있는 세상을 전제로 설계되어 있다. 사무실 출입문을 잠그듯 내부와 외부를 구분하고, 인가된 내부 사용자는 일단 신뢰하며, 정해진 규칙과 절차를 문서로 관리하는 방식이다. 문제는 오늘날의 보안 위협이 더 이상 정문으로 들어오지 않는다는 데 있다. 정상 계정을 탈취해 내부 직원처럼 활동하고, 수개월 동안 아무도 눈치채지 못하게 정보를 빼내며, 클라우드나 협력사·공급망이라는 사각지대를 통해 침투한다. 더 이상 담장을 높이는 방식만으로는 위협을 관리하기 어려운 환경으로 이동했다. 이러한 환경에서는 ISMS-P가 답할 수 있는 질문과 그렇지 못한 질문은 분명히 갈린다. ISMS-P는 관리 책임의 소재가 명확한지, 관리 체계에 구조적 공백이 없는지 점검하는 데는 유효하다. 그러나 사고가 언제 시작됐고 어떻게 확산됐는지, 실제 서비스와 운영에 어떤 영향을 미쳤는지를 끝까지 설명하기에는 태생적인 한계가 있다. 결국 '관리했다'는 사실과 '실제로 통제됐다'는 현실 사이의 간극, 이것이 ISMS-P가 대형 사고 앞에서 무력해 보이는 근본적인 이유다. ISMS-P의 진화: '절차를 마련했는가'를 넘어 결과와 책임의 완결성으로 유럽의 최신 정보보안 지침인 NIS2(Directive (EU) 2022/2555)는 ISMS-P의 향후 진화를 고민하는 데 중요한 시사점을 제공한다. NIS2는 이미 경계가 무너진 환경을 전제로 사고가 발생했을 때 조직이 그 발생 경로와 영향 범위를 어디까지 설명할 수 있는지를 묻는다. 보안 규제의 무게중심이 관리 절차가 존재하는가에서 '설명 책임을 끝까지 질 수 있는가'로 이동한 것이다. 이를 위해 NIS2는 단순히 관리 체계의 수립 여부에 그치지 않는다. 경영진에 대한 직접적인 책임 부과, 공급망 전반에 대한 통제 의무, 사고 발생 시 신속하고 일관된 설명이 가능한 내부 역량까지를 법적 의무로 명시한다. 다시 말해 절차를 갖추었는지 묻는 과정 중심의 질문에서 벗어나, “사고를 통제하고 그 결과를 책임 있게 설명할 수 있는가”란 결과와 책임의 완결성을 규제의 중심에 놓는다. ISMS-P 2.0으로의 도약: 관리의 증명에서 '설명의 책임'으로 이제 한국의 ISMS-P가 마주한 과제는 제도의 존속 여부를 둘러싼 소모적인 논쟁이 아니라 변화한 환경에 맞는 역할의 재정의에 있다. 지금까지의 ISMS-P를 'ISMS-P 1.0'이라 부른다면 정보보호를 조직의 자율적 선언이 아닌 공적인 관리 책임의 영역으로 제도화했다는 점에서 1.0의 소임은 이미 충분히 수행했다. 유럽의 NIS 지침이 현실적 한계를 거치며 NIS2로 진화해 실질적인 대응력을 강화했듯이 우리 역시 관리 체계라는 단단한 기초 위에 다음 단계를 준비해야 한다. 사고를 조기에 탐지할 수 있는 역량, 사고 이후에도 신뢰할 수 있는 기록의 무결성과 분석 능력, 사고 전개 과정과 영향을 투명하게 설명할 수 있는 체계를 단계적으로 덧붙여나가야 한다. 결국 ISMS-P 무용론을 넘어서기 위해 필요한 것은 제도의 부정이 아니라 기대 수준의 정렬이다. ISMS-P가 담당하는 '관리의 기초'와 그 이후 요구되는 '설명의 책임'이라는 영역을 명확히 구분할 때 ISMS-P는 더 이상 무용한 껍데기가 아니라 한국 정보보호 거버넌스를 지탱하는 핵심 인프라로 자리 잡을 수 있을 것이다.