국감서 쏟아진 ISMS 비판…"누구나 해킹 가능"

한국인터넷진흥원(KISA)이 주관하는 보안인증 '정보보호 및 개인정보보호 관리체계(ISMS·ISMS-P) 인증의 실효성에 대한 지적이 끊이지 않고 있다. 28일 국회 과학기술정보방송통신위원회 등에 따르면 지난 13일 개최된 과학기술정보통신부(과기정통부) 대상 국정감사에서 조인철 더불어민주당 의원은 ISMS 인증에 사각지대가 있다고 비판했다. 조 의원은 당시 미국 온라인쇼핑몰을 통해 USB 케이블 형태의 '스파이칩'으로 컴퓨터를 해킹하는 과정을 시연했다. 조 의원은 "온라인으로 미국에서 주문을 했는데 누구도 제지하지 않았다. 단돈 20만원도 하지 않는다. 만약 이런 케이블을 과기부 직원 누군가의 PC에 꽂혔다면 어떻게 됐겠나"고 지적했다. 조 의원은 KISA의 ISMS 인증 항목이 통신 및 보안 장비의 유통 현황과 동떨어져있는 것이 문제라고 지적했다. 미국에서 단돈 20만원이면 PC를 해킹할 수 있는 장비를 누구나 구매할 수 있는데, 국가기관에서 제공하는 인증에서조차 스파이칩 관련 항목이 없다는 것이다. 조 의원은 "누구나 쉽게 접근할 수 있는 장비로 정부의 네트워크에 침입할 수 있는 위험이 있다. 실제로 미국 전문 해킹 매체인 '프랙'이 발간한 보고서를 보면 최근 한국의 주요부처 상당수가 해킹 피해를 입었다"며 "ISMS 인증제도에도 스파이칩 관련 항목이 없다. 대책을 마련해야 한다"고 밝혔다. 류제명 과기정통부 제2차관도 "ISMS 80개 항목 중 스파이칩 관련해서 구체적인 항목은 없다"고 확인했다. 한편 과기정통부 및 KISA 등 기관은 이를 계기로 ISMS 인증을 강화한다는 방침이다. 단순 서류 확인에 그치던 ISMS 심사를 현장 중심으로 바꾸고, 중대한 결함 발생 시 인증을 취소하는 등 실효성을 강화하겠다는 것이 골자다. 또한 중대한 결함이 발견된 경우에는 인증을 취소하는 등 사후 관리를 강화하기로 했다. 모의해킹 훈련과 화이트해커를 활용한 상시 취약점 점검 체계로 구축할 수 있도록 강화한다.