"K-보안, 인증도 우물안...CSMS로 고도화해야"
"한국 사이버보안의 글로벌화를 위해서는 평가 수준 역시 글로벌 스탠다드에 맞춰야 합니다. 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증에 산재한 문제들을 최소화하고 국제 흐름에 맞춘 사이버 보안 관리체계(CSMS,Cyber Security Management system) 인증으로 고도화해야 합니다." 공병철 국제사이버보안인증협회 회장은 2일 지디넷코리아와 인터뷰에서 ISMS-P, 정보보호 공시 등 현 정보보호 체계의 의무화와 그 외 산재한 문제들에 대해 쓴소리를 쏟아냈다. 그는 이날 ▲정보보호 공시 제도 ▲정보보호최고책임자(CISO) 지정 제도 ▲ISMS-P 인증 제도 ▲ISMS-P 인증 심사 구조 ▲ISO/IEC 27001 ▲인증 심사기관의 투명성 ▲과징금 활용 방안 ▲국제 표준 무관심 등 사이버 보안 인증·공시 의무 관련 산재한 문제점을 현장의 관점에서 비판했다. 이같은 문제를 해결해야 한국 사이버 보안이 세계 표준을 선도할 수 있다는 지적이다. "정보보호 공시 의무화 대상 확대, '기준선' 없으면 무용지물" 공 회장은 정보보호 공시 의무화 대상이 전체 상장사로 확대될 예정인 가운데, 민간 기업의 적정 정보보호 투자액이 얼마인지 기준선이 부재한 상태에서 무조건 공시만 확대한다고 능사가 아니라고 지적했다. 그는 "과거에는 금융권 정보보호 557 투자라고 총 직원 중 IT 인력 5% 이상 확보, IT 인력 중 정보보호 전담 인력 5% 이상 구성, 전체 IT 예산 중 7% 이상을 정보보호에 사용하는 권고 기준이 있었다"면서 "그런데 금융권에서 557 이상 정보보호에 투자하기 시작하면서 이같은 권고 기준이 2020년을 기점으로 사라졌다. 하지만 금융권이 투자 수준을 맞춘 것일 뿐 민간에서는 여전히 정보보호 투자가 부족한 상황"이라고 진단했다. 공 회장은 "그럼에도 금융권이 정보보호 557 투자 권고 기준을 없앴다고 해서 민간에서도 이같은 기준을 따르지 않게 됐다"며 "얼만큼 투자해야 할지를 마련해 놓지 않은 채 공시만 확대한다고 해서 투자 확대가 일어날 거라는 생각은 오산"이라고 지적했다. 아울러 공 회장은 정보보호 분야에 전문 지식이 없을 것으로 우려되는 회계법인들이 정보보호 공시 사전점검반으로 활동하고 있는 상황에 대해서도 지적했다. 그는 "정보보호 공시는 정보보호 인력 및 투자액만 공시하는 것이 아니라 ISMS-P, ISO27001 등 공시대상 연도에 유효한 정보보호 관련 인증 및 평가 점검 등에 관한 사항들을 공시하도록 명시하고 있다"면서 "정보보호 공시 사전점검 기관은 총 31곳이 있는데, 이들은 대부분 회계법인이거나, 민간 기업이 수행하고 있다. ISMS-P, ISO27001 등 정보보호 전문 지식을 요하는 인증에 대한 사항을 이들이 제대로 점검할 수 있는지는 의문"이라고 밝혔다. 정보보호 공시 사전점검 기관은 기업이 정보보호 공시를 수행할 수 있도록 지원하고, 공개할 정보보호 현황이 공시 가이드라인 등을 중수해 작성됐는지 점검하는 역할을 수행한다. 지난달 기준 정보보호 공시 사전점검반은 31곳이다. 이 외에도 공 회장은 "정보보호 공시를 했을 때 기업에 되돌아가는 인센티브가 없어 공시 의무화에 대한 명분이 부족하다"며 "현재 자율적으로 정보보호 공시를 했을 경우에만 ISMS(정보보호 관리체계) 인증 수수료 30%를 할인해주고 있는데, 이같은 혜택은 의무 기업에는 제공되지 않는다"고 강조했다. 그는 "의무 대상이 되는 기업들은 공시를 위해 정보보호 예산을 투자하고, 인력을 늘리고, 인증을 획득하는 등 많은 비용을 써야 하는 반면 지원은 없다"며 "제도를 강제적으로 의무화 했을 때 메리트가 없기 때문에 세제 혜택 등 인센티브도 제공할 수 있어야 한다"고 제언했다. "과기정통부, CISO 지정 제도 관리·감독 뒷전" CISO 지정 제도와 관련해서는 정부가 관리·감독을 소홀히 하고 있다고 일침했다. 올해 3월 기준 개정된 정보통신망법에 따르면 CSIO는 임원을 CISO로 지정하고 과학기술정보통신부장관에게 신고하라고 규정하고 있다. 공 회장은 "과거 CISO 지정 제도는 임원급, 임직원 급에서 지정하도록 규정돼왔고, 지난해 잇달아 해킹 사고가 터져 나오면서 올해가 돼서야 이사회에 참가하는 임원을 CISO로 지정하라고 명시했다"면서 "그러나 과기정통부는 CISO 지정 제도가 의무화된 2018년부터 단 한 번도 CISO를 지정·신고한 기업에 대한 감독에 나선 적이 없다"고 말했다. 공 회장이 제시한 자료에 따르면 CISO 지정 제도가 의무화된 2018년을 기점으로 신고·지정한 기업이 크게 늘었다. 2018년 1442건에 불과했던 신고 건수가 2019년 5260건, 2020년 9018건으로 급증했다. 공 회장은 "제도가 의무화되자 많은 기업들이 CISO 지정·신고에 나섰으나 2020년부터 코로나19가 터져 나오면서 다시 신고 현황이 급감했다"며 "2024년에 신고 건수가 전년 884건에서 5617건으로 급증했는데, 당시 과기정통부가 CISO 지정을 법령에 맞춰 제대로 준수하고 있는지 여부를 검증하겠다는 보도가 나오자 또 다시 신고 건수가 늘었다. 그러나 과기정통부는 실제 검증에 나서지 않았다. 이에 CISO 지정 제도가 의무화된 이래 단 한 번도 제대로 이뤄지고 있는지 정부가 검증한 적이 단 한번도 없는 제도가 됐다"고 역설했다. "ISMS-P 심사에 영리 기업 투입?…감사는 없었다" ISMS-P 인증 심사의 구조와 관련해서는 우선 투명성에 대한 우려로 말을 꺼냈다. 국내 ISMS-P 인증 체계를 보면 과기정통부와 개인정보보호위원회(개인정보위)가 정책기관을 담당하고, 인증기관은 한국인터넷진흥원(KISA)이 담당한다. 실질적인 심사는 ▲한국정보통신진흥협회(KAIT) ▲한국정보통신기술협회(TTA) ▲개인정보보호협회(OPA) ▲차세대정보보안인증원(NISC) ▲한국경영인증원(KMR) 등 5개 기관 및 기업이 맡는다. 이와 관련 공 회장은 "KAIT, TTA, OPA는 '비영리' 협회로서 심사 과정에서 투명성을 담보할 수 있지만, NISC와 KMR은 주식회사로 엄연히 영리를 목적으로 하고 있으며, 언제든지 피심사 기업이 고객사가 될 수도 있는 곳"이라며 "그렇다면 인증기관인 KISA가 이들 기업의 투명성을 담보할 수 있도록 지속적으로 심사가 제대로 이뤄지는지 감사할 필요가 있는데, 이들에 대한 감사는 이뤄지지 않는 현실"이라고 진단했다. 그는 이어 "반면 ISO27001 등 국제 표준은 이미 공정한 체계를 갖춰 놨다. 미국 역시 민간 영역과 공공 부문을 나눠 진행하고 있다"고 강조했다. "KISA, ISMS-P 인증 심사원 시험 '바늘구멍' 만들어" 공 회장은 ISMS-P 인증 심사원 시험에 대한 구조적인 문제에 대해서도 지적했다. ISMS-P 인증 심사원 평가는 필기시험과 실기시험으로 구성돼 있다. 그는 "ISMS-P 인증 심사원 필기시험 합격자 수는 100명으로 한정시켜 놓았다. 2022년과 2023년에 한시적으로 이전 필기시험 합격 이후 실기시험에서 떨어진 인원에 대해 다음 필기시험에 한해 합격 처리해주고 있는데, 이 기간만 100명 이상으로 필기시험 합격자가 늘어났을 뿐, KISA에서는 100명이라고 명시해두고 있다"며 "그런데 시험 응시생이 점점 늘어나면서 심사원 합격률은 기하급수적으로 떨어져 사실상 '바늘구멍' 뚫기가 됐다"고 밝혔다. 이와 관련해 공 회장은 "ISMS-P 인증 심사원 평가를 통해 PM급 평가자를 양성하는 것이 시험의 목적인데, 바늘구멍 시험으로 만들어 KISA에 심사원들이 기댈 수밖에 없는 구조를 양산하고 있다"며 "정작 심사원들은 어렵게 시험에 합격해도 열악한 처우에 컨설턴트나 기업 보안 담당자로 떠나고 있는 실정"이라고 말했다. 공 회장은 "그런데 정작 정보보호 전문 서비스, 즉 컨설턴트 업체 지정도 KISA가 하고 있으며, 인정 자체도KISA가 주고 있다"며 "결국 전문가들이 어렵게 시험에 합격해 모두 KISA 밑으로 들어가게 될 수밖에 없는 구조"라고 강조했다. "사이버 보안은 全 산업 영역에 필수…선박 등 국제 표준 수용 'CSMS'로 나가야" 이제는 정보보호 관련 인증 체계가 국제 추세에 맞춰 CSMS로 나아가야 한다는 것이 그의 주장이다. 그는 "정보보호 관리체계 국제 표준인 ISO27001은 사실 ISMS 인증을 본따 만들었다. 90% 유사하며, 2013년 ISMS가 의무화됐을 당시 ISO27001도 개정됐으며, 한국이 국제 표준을 선도하고 있었다고 봐도 무방하다"면서 "기업들이 ISMS에만 매몰될 것이 아니라 전 세계적으로 통용되는 국제 표준으로 눈을 돌리면 되는데 현실이 녹록지 않다"고 밝혔다. 이어 공 회장은 "국제표준화기구(ISO)에 따르면 2013년 기준 ISO27001을 획득한 한국 기업은 731곳이었다. 같은 해 중국은 5318곳이 인증을 획득한 것으로 확인됐다"면서도 "2022년을 기준으로 보면 한국은 1531곳으로 약 두 배 늘어난 데 그친 반면 중국은 6만2245곳으로 약 11배 이상 늘어났다. 얼마나 국제 표준에 무관심한지 알 수 있는 대목"이라고 강조했다. 그는 "한국의 사이버보안 인증 체계가 다시 세계를 선도하기 위해서는 글로벌 스탠다드에 걸맞는 인증 체계로 고도화할 필요가 있다"고 말했다. 현재 ISMS-P는 정보통신망 서비스를 제공하는 ISP사업자, 집적정보통신시설 사업자, 매출액 100억 또는 일평균 이용자 수 100만 명 이상인 사업자 등 정보통신 서비스 사업을 영위하는 곳으로만 한정돼 있다. 그러나 국제 표준에 맞춰 정보통신 서비스 사업자뿐 아니라 자동차, 조선 등 일반 제조업도 대상에 포함하는 식으로 인증을 고도화해야 한다는 것이 공 회장의 생각이다. 공 회장은 "사이버 보안은 전 산업에 아우르는 중요한 영역이다. 이에 글로벌 스탠더드는 ISO23806(선박 사이버 안전 인증) 등 다른 산업군에서도 사이버 보안 관련 인증 체계를 내놓고 있다"며 "국내 정보보호 인증 체계에 산재한 문제를 현실화하고, 국제 표준으로 고도화할 수 있도록 ISMS-P에서 다른 산업군 영역까지 아우르는 'CSMS' 인증 체계가 필요한 때"라고 강조했다. 공 회장 "군대서 보안 처음 접해 ISMS 심사원으로 시작" 한편 공 회장이 이끄는 국제사이버보안인증협회는 ISMS-P 인증 심사원이 모여 2022년 9월 결성된 약 200명 규모의 협회다. 공 회장은 군 복무 시절 무선통신 중계병으로 근무하며 처음으로 보안을 접했고, 2013년 ISMS가 의무화되던 시점부터 KISA의 요청을 받아 심사원 활동을 하기 시작했다. 당시 ISMS는 처음으로 의무화되다 보니 많은 심사원들이 필요했는데, 급하게 심사원을 모집하다 보니 심사원 품질의 문제가 불거졌고, 이를 해소하기 위해 한국정보보호심사원협의회를 공 회장 주도로 만들어졌다. 과거 ISMS 인증이 의무화됐던 2013년 심사원들이 모여 2014년부터 한국정보보호심사원협의회를 결성한 것이 시작이었다. 2015년에는 한국정보보호심사원협회로 승격됐으며, 2022년 국제사이버보안인증협회로 거듭났다. 공 회장은 국제사이버보안인증협회를 이끌면서 한국인터넷정보학회 부회장과 한국사이버감시단 이사장을 역임하고 있다. 올해 2월에는 한국인터넷정보학회 산하에 인공지능 사이버보안 연구회를 만들어 위원장을 맡고 있다.
