"심사원마다 기준 들쑥날쑥"…보안 실무자가 외친 ISMS-P 개선점
정보보호 및 개인정보보호 관리체계 인증(ISMS-P)을 획득하려는 기업 보안 담당자 사이에서 일부 세부 항목 및 심사 방식에 대한 불만이 터져나왔다. ISMS-P 인증 심사원의 성향에 따라 인증 획득 난이도가 달라진다는 지적이다. 금융사 보안 담당자는 17일 지디넷코리아와 만나 "ISMS-P 인증 심사원의 성향에 따라 인증 난이도가 결정된다. 까다롭게 심사하는 심사원의 경우에는 인증 획득 난이도가 급격하게 어려워지는 반면, 여유롭게 심사하는 심사원은 반대의 경우가 연출될 때가 있다"고 밝혔다. 심사위원 마다 보는 '잣대'가 다르다는 것이다. IT기업 보안 담당자 역시 "ISMS-P 인증이 객관적인 지표로 평가가 되지 않는 항목도 있는데 이런 부분은 심사원의 주관이 반영될 수밖에 없다"며 "정량평가 형식을 갖추고 있지만, 정작 심사원마다 집중적으로 보는 포인트가 다르기 때문에 주관적인 평가가 이뤄진다"고 말했다. 게임사 보안 담당자는 "명확하게 안전성 확보조치에 나온 기준이나 근거가 없으면 심사 기준이 명확하지 않다"며 "실제로 방화벽 룰셋(규칙)만 하더라도 점검 때마다 보는 깊이가 다르고 범위도 천차만별"이라고 토로했다. ISMS-P 인증 심사 과정은 1~2주간 심사 이후 심사원이 제기한 결함에 대한 보완 조치를 완료하고 보고서를 작성, 인증 위원회 심의를 마치는 것으로 최종 완료된다. 보완 조치 과정이 100일 이내로 수행해야 하는 장기간의 작업인 만큼 심사 과정의 핵심이다. 그럼에도 결함 여부가 객관적인 지표가 아니라 심사원의 주관이 당락을 가르는 상황이 종종빚어지고 있다. 이와 관련, KISA는 "워낙 심사 항목이 많고 심사원도 한 명만 투입되는 것이 아니다 보니 인증을 획득하는 기업의 입장에서는 '우리 기업만 여유 없게 심사하는 것 같아'하고 느끼는 점에 대해서는 공감한다"면서도 "그러나 심사원에게 이의제기를 할 수 있는 기회를 주지 않는 것은 아니다. 주요 사항들을 점검한 이후 기업과 심사위원회 간 상호 서명해야 하는 보고서가 있는데, 기업에서도 보고서가 마음에 들지 않으면 다시 문제제기를 할 수 있다. 상호 확인된 상태에서 서명하도록 돼 있다"고 밝혔다. 그럼에도 기업 보안 담당자들의 불만은 줄어들지 않고 있다. 실제 다른 IT 기업 보안 담당자는 기존 심사에서는 결함으로 분류되지 않았던 부분이 ISMS-P 인증 갱신 시점에 다른 심사원에 의해 결함으로 분류되는 일도 겪었다. 일관되지 않은 심사가 결과마저 바꿔놓은 것이다. 그는 "ISMS-P 인증 심사 때 로그의 적재량도 확인하는데, 로그는 감사(audit)로그, 트래픽로그, 시스템로그 등 다양한 종류가 있다"면서 "그런데 ISMS-P 인증 심사원마다 필수적으로 확인하는 로그의 종류가 달랐다"고 말했다. 이 담당자는 또 "실제로 기존 심사 때 트래픽 로그 적재량 관련으로 결함이 나온 적이 없는데, 이번 심사 때에는 결함이 나왔다"며 "심사원마다 기준이 다른 부분이 결함과 직접적으로 연관되는 사례"라고 설명했다. 기업 매출 따라 불나나…매출 300억 원 미만은 '소화기 배치' 항목 제외 ISMS-P 세부 인증 항목 중에서도 개선해야 할 부분도 포착됐다. KISA에 따르면 ISMS-P를 획득하기 위해서는 ▲관리체계 수립 및 운영 인증 기준(16개 항목) ▲보호대책 요구사항(64개 항목, 190여개 점검사항) ▲개인정보 처리단계별 요구사항(21개 항목, 90여개 점검사항) 등 요구사항을 충족해야 한다. 보호대책 요구사항은 ISMS-P 인증 심사 과정 중에 서버실이나 전산실에 화재 방지를 위한 소화기 배치 등 보호설비를 갖추고 있는지까지도 확인한다. 심지어 스프링클러 유무, 누수 감지, 심지어 온도나 습도 등 항온항습 설비까지 갖췄는지도 확인한다. 현행 ISMS-P 인증 세부점검 2-4-4 항목, '항온항습·화재·누수·UPS·발전기 등 설비 운영철자 수립·운영, 인터넷 데이터 센터(IDC) 이용 시 계약서 명시·점검' 사항이다. 문제는 화재가 기업 규모에 따라 발생하는 것이 아님에도 불구하고 ISMS-P 간편인증에는 보호설비 운영 항목이 제외되면서 형평성을 저해할 수 있다는 점이다. 앞서 KISA는 'ISMS-P 간편인증제'를 도입했는데, 매출액 300억 원을 기준으로 이보다 낮으면 기존 ISMS-P 인증 대신 ISMS-P 간편인증을 획득할 수 있도록 했다. ISMS-P 인증이 획득에 필요한 수수료만 800만~1400만 원이 들고, ISMS-P 인증 소요 기간만 최소 6개월 이상 필요하다. 여기에 인증 획득을 위한 컨설팅을 받아야 하는 점 등을 고려하면 획득까지는 수천만 원의 비용이 든다. 이에 KISA는 비교적 규모가 작은 기업의 ISMS-P 획득 문턱을 낮추기 위해 기존 ISMS-P 인증보다 심사 항목을 40개가량 줄여 간소화하고 수수료 역시 400만~700만 원 선으로 낮췄다. 세부 항목 및 인증 수수료를 줄임으로써 중소기업 인증 획득을 지원하는 취지는 꼭 필요한 제도라는 것이 보안담당자들의 중론이다. 다만 세부 항목 축소 과정에서 똑같이 적용돼야 할 항목이 제외됐다. 이에 매출액 300억 원이 넘는 기업은 ISMS-P 인증을 획득하기 위해 서버실에 소화기를 둬야 하지만, 매출 규모가 이보다 낮으면 소화기 배치 여부는 확인하지 않는 역설적인 상황이다. 정부, 현장 목소리 반영해 인증 실효성 높인다…종합 대책 마련 착수 이처럼 보안 담당자들 사이에서도 ISMS-P 인증에 대한 개선 요구가 나오고 있는 만큼 정부 차원에서도 현장 의견을 반영해 인증의 실효성을 제고하기 위한 작업에 착수했다. 지난 12일 정부 등에 따르면 송경희 개인정보보호위원회 위원장, 류제명 과학기술정보통신부 제2차관 및 KISA, 금융보안원 등 인증 기관 관계자는 ISMS-P 인증의 실효성 제고를 위한 종합 대책 마련을 위한 현장 간담회를 개최했다. 이날 간담회에서는 정부가 마련 중인 ISMS-P 인증제도의 실효성 강화를 위한 정책 방향이 소개됐다. 구체적으로 ▲인증 의무 대상 확대 및 인증 기준 강화 ▲예비심사 신설과 기술심사·현장실증형 심사 적용 등 심사방식 개편 ▲유출사고 방지를 위한 인증 사후관리 강화 ▲심사기관 감독 강화 및 심사원 전문성 제고를 통한 심사 품질 향상 등을 제시했다. 간담회 참석자들은 심사의 일관성 확보를 위한 가이드를 마련해야 한다고 주장했다. 실제 기업 담당자들이 강조하는 심사원의 성향에 따라 심사 과정이 달라지는 부분을 개선해야 한다고 짚은 것이다. 정부는 간담회에서 논의된 현장 의견을 적극 반영해 '정보보호 및 개인정보보호 인증제 실효성 강화방안'을 발표할 예정이다. 염흥열 순천향대 정보보호학과 교수는 "ISMS-P 인증의 품질은 심사원의 역량과 연관될 수밖에 없다. 인증 심사 과정 중 결함을 찾아내는 것이 심사원의 역할이기 때문"이라며 "어떤 항목을 결함으로 판단하는지 기준을 일관성 있게 만들 필요가 있다"고 밝혔다. 염 교수는 "ISMS-P 인증을 획득하려는 기업의 입장에서는 '다른 기업에서는 이렇게 해도 인증 획득을 했는데, 어째서 우리는 결함으로 분류되는가'하는 형평성 문제가 불거질 수 있기 때문이다"라며 "정부에서 ISMS-P 인증을 개선하는 과정에서 대상이 되는 기업 담당자들의 의견을 수렴했을 것으로 보인다. 향후 추가적인 의견 수렴 과정이 필요하다고 생각되면 보안 담당자들 역시 적극적으로 의견을 개진해야 할 것"이라고 강조했다.
