2,491 읽음
ISMS-P는 ‘해킹 안전 기업’ 인증서가 아니다 [줌인IT]
IT조선
0
하지만 보안 전문가들은 정부의 정보유출 사고 확산에 대한 문제의식에는 공감하면서도, 제도를 아무리 정교하게 다듬어도 해킹을 ‘제로(0)’로 만들 수는 없다는 현실을 먼저 이해해야 한다고 말한다.
ISMS-P는 특정 시점에, 기업이 설정한 ‘대표 서비스’를 중심으로 인증 획득을 위해 보안 체계를 심사·점검하는 제도다. 오래된 시스템이나 새로 개발되는 서비스는 대부분 인증 범위 밖에서 운영된다. 기업 보안 담당자들은 “핵심 시스템으로 인증을 받고, 나머지는 최대한 그 수준에 맞추도록 노력한다”고 말한다. 인증이 곧 기업 전체 보안을 대변하지 못하는 현실의 이유다.
정부는 이를 보완하기 위해 모의해킹을 강화하는 등 기준과 유지 요건을 재정비하고 있다. 큰 방향은 옳다. 안일했던 보안의식에 경종을 울릴 때가 됐다. 다만 제도로 사고를 통제할 수 있다는 기대는 위험하다. 해킹은 ‘제도’나 ‘심사’로 막을 수 있는 영역이 아니기 때문이다. 아무리 수준 높은 화이트해커가 점검하더라도, 실제 공격은 수십 개 국가급·조직급 해킹 그룹이 장기간 시도하는 집단전에 가깝다. 그 중 단 한 팀만 방어선을 뚫어도 사고는 발생한다.
모의해킹 역시 한계가 명확하다. 실제 공격자의 전술과 자원, 새로운 혹은 잊혀진 취약점 등 공격 방식을 100% 시뮬레이션할 수는 없다. “모의해킹을 강화하면 안전해질 것”이라는 인식이 현실과 어긋나는 지점이다. 100% 안전한 기업은 존재할 수 없다. 제도가 강화되면 해킹을 막을 수 있을 것처럼 사회가 기대하기 시작하는 순간, 기업과 정책 모두 비현실적인 기준에 갇히게 된다.
물론 개인정보 유출 피해자의 불안과 분노는 충분히 이해할 일이다. 국가에 강력한 대응을 요구하는 것도 당연하다. 하지만 정책은 여기서 중심을 잃어서는 안 된다. “책임을 어떻게 물을 것인가” 하는 문제와 “사고가 나지 않아야 한다”는 이상적 목표는 구분해야 한다. 또 책임은 사고 발생 후의 대응과 구조적 개선 측면에서 논의돼야 한다.
지금 필요한 개편은 ‘완벽한 보안’이 아니라 ‘뚫릴 수 있다’는 전제 위에서 작동하는 실효성 있는 ISMS-P다. “인증도 받았는데 어떻게 해킹을 당했느냐”는 비난이 반복되지 않으려면 피해 규모를 줄이고, 탐지 속도를 높이며, 회복력을 강화하는 구조로 대응 체계를 재정비해야 한다. 기업이 보안에 상시 투자할 수 있도록 인센티브를 마련하는 것도 중요하다. ISMS-P는 기업이 일정 수준의 관리체계를 갖췄음을 확인하는 절차일 뿐, ‘해킹 안전 기업’을 보증하는 제도가 아니라는 점을 분명히 이해해야 한다.
제도를 더 촘촘하게 만드는 것에만 매달릴 것이 아니라, 해킹을 관리해야 하는 위험으로 바라보고, 실제 운영 환경의 변화 속도를 따라갈 수 있는 유연한 제도와 사고 후에도 기업이 버틸 수 있는 회복력 중심의 정책이 필요하다. 지금 한국 보안 정책이 가야 할 현실적 방향은 완벽한 방패를 만드는 것이 아니라, 공격을 받아도 다시 일어설 수 있는 구조를 만드는 데 있다.
정종길 기자
jk2@chosunbiz.com