임종인 고려대 교수 "ISMS-P 개편, 체크리스트 수준 안돼"
"새로운 위협 환경을 감안해 인증 체계를 개선해야 하는데, 이런 부분이 반영되지 않으면 인증을 받더라도 해킹 공격에 계속해서 뚫리는 문제가 속출할 것이다. 정보보호 관리체계(ISMS), 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증이 제대로 되려면 이같은 새로운 위협 환경을 계속해서 반영하는 노력과, 제로트러스트 방법론, ISO27001 등 국제 표준에 맞추려는 노력이 수반돼야 한다." 임종인 고려대학교 정보보호대학원 명예교수는 최근 지디넷코리아와 인터뷰에서 ISMS, ISMS-P 인증 개선 방향과 관련해 이같이 밝혔다. 그는 "기존의 ISMS 인증은 경계 보안 기반이다. 그러나 쿠팡, 신한카드 등 최근 발생한 사고들은 내부자에 의해서 발생했는데 이런 부분은 ISMS 인증을 받아도 소용이 없다"며 "이처럼 무선 백도어, 내부자, 공급망 공격 등 새로운 위협 환경을 감안해 ISMS를 개선해야 한다. 심지어 무선 백도어 공격 장비도 10만원이면 구매할 수 있을 정도로 공격의 장벽이 낮은 상황인데, 정부가 ISMS 체계를 개선하는 작업에 이런 신종 위협을 반영해야 할 것"이라고 강조했다. 임 교수는 또 국제 표준에 맞춘 인증 체계 개선이 필수라고 강조했다. '체크리스트' 수준의 패스 혹은 논패스 인증 심사 방식도 문제라고 지적했다. 임 교수는 "ISO27001등 국제 표준에서 나아가 신종 위협 등에 대한 추가적인 보안 조치를 요구하는 '플러스' 방식의 인증 체계를 내놓아야 '한국형'이라는 이름을 붙여가며 독창성까지도 챙길 수 있는 방법임이 분명하다. 그러나 국제 표준을 준수하기는커녕 패스 혹은 논패스의 심사 방식은 일종의 '요식형'"이라며 "국제 표준에 '플러스(+)' 방식으로 인증이 마련돼야지 나름대로 재단해서 보안 사항을 빼버리면 안 된다"고 역설했다. 그는 "해외에서는 이미 제로트러스트 방법론으로 보안 체계를 구축하려는 시도들이 이어지고 있는데, 한국화 인증이라고 내놓은 것들이 이런 흐름은 반영하고 있지 못하다"며 "미국은 2027년께 전부 제로트러스트 기반의 보안 체계로의 패러다임 변화를 주고 있다. '한국형'도 좋지만, 국제 표준에서 더 나아간 방식으로 '한국형' 인증 체계를 만드는 것이 중요하겠다"고 밝혔다. 임 교수는 ISMS 인증 심사 부문에서도 개선해야 할 사항이 있다고 봤다. 그는 "정부가 ISMS 인증 의무화 대상을 확대하겠다는 의지를 보이고 있는데, 현재 ISMS 심사는 한 기관이나 기업에 오래 있어봤자 일주일이다. 평가 중 서류 작업 상태 확인하고 실제 시스템을 레드티밍까지 하면서 제대로 심사하는 것은 사실상 불가능한 상태"라며 "1년에 제대로 심사하면 100곳도 심사하지 못한다. 50곳을 심사해도 정말 부지런히 심사한 것이다. 이런 상황에서 인증 의무화 대상자를 확대한다는 것이 의문"이라고 설명했다. 그는 "회계 감사도 4곳 회계법인에 정부가 위임한 형태로 진행하고 있다. 그리고 만약 법인이 부정한 행위를 하면 엄격하게 책임을 묻는다. 그렇게 회계 감사라고 하는 새로운 비즈니스 모델도 생긴 것"이라며 "ISMS도 기관에서 제대로 심사할 수 없는 환경이라면 위탁을 시키고 위탁 업체를 감시·감독하는 형태여야 한다. 정부가 스스로 모든 곳을 평가하겠다고 하면 제대로 된 인증 심사가 이뤄지지 않는다"고 강조했다. 이에 그는 "근본적으로 ISMS 인증 체계가 제대로 마련되려면 민간에 심사 업무를 위탁하고 전문화시킬 수 있는 방안을 고민해야 한다"며 "의무화 대상을 확대할 거면 한 번에 대상을 늘리는 것이 능사가 아니라, 점진적으로 확대하고 그 동안 실제 검사할 수 있는 우리 역량도 키우는 것이 중요하다"고 말했다. 임 교수는 인공지능(AI)과 결합된 방식의 체계 개편도 필요하다고 주문했다. 그는 "제로트러스트 기반의 인증 체계 개편도 오늘날에 와서야 구현이 가능해졌다. 사실 제로트러스트는 10여년 전부터 제시된 개념인데, 당시에는 구현할 수 있는 방법이 없었고 제대로 실현시키기 어려운 상황이었다"며 "반면 현재는 제로트러스트 방법론에서 요구하는 마이크로 세그멘테이션(Micro Segmentation), 즉 최소 권한·제로 트러스트 원칙으로 트래픽을 제한하는 보안 접근 방식 등을 AI가 발전돼서 각 보안 회사들이 가진 데이터를 이용해 훈련만 제대로 시키면 제로트러스트에 한발 다가갈 수 있다"고 당부했다. 다만 임 교수는 국가AI전략위원회에 유능한 실력자들이 합류하고 있는 만큼 향후 정부가 올바른 개선안을 도출할 것이라고 믿고 있다. 그는 "ISMS를 두고 여러 논의가 계속돼야 할 텐데, 국가AI전략위원회에 보안TF 리더로 한국인터넷진흥원(KISA) 원장을 지낸 이원태 국민대 특임교수, 김휘강 고려대 교수 등 신뢰할 수 있는 사람들이 합류해 있기 때문에 향후 좋은 방향으로 개선될 거라 믿는다"며 "다만 실천 가능한 방안이 나올 수 있을지 걱정된다"고 밝혔다. 임종인 교수는 고려대 정보보호대학원 원장을 역임했다. 초대 개인정보보호위원회 위원으로도 활동한 '보안 구루'다. 15대 한국정보보호학회 회장을 지냈고, 2015년과 2024년에는 각각 대통령비서실 안보특별보좌관, 대통령비서실 사이버특별보좌관으로 활동했다. 현재는 고려대 정보보호대학원 석좌교수이자 명예교수로 있으며, 김&장법률사무소 고문이다.
