(서울=뉴스1) 윤주영 기자 = 과학기술정보통신부 산하 한국인터넷진흥원(KISA)이 주관하는 정보보호 및 개인정보보호 관리체계 'ISMS/ISMS-P'의 실효성 문제가 국정감사에서 다뤄질 것으로 보인다.
9일 보안업계에 따르면 올해 해킹 피해를 입은 SK텔레콤(017670)·롯데카드·예스24·KT(030200) 등은 이 인증을 받았다.
인증은 기업 등이 정보보호를 위한 일련의 조치를 제대로 했는지 KISA 혹은 인증기관이 검증하는 제도다. KISA 소관의 'ISMS'에 개인정보보호위원회의 개인정보 보호 관리체계 'PIMS'를 결합했다.
올해 4월 SKT 유심정보 서버 해킹을 시작으로 굵직한 침해사고가 몰리면서, 인증의 실효성이 지적됐다. 당국이 수백만 원 수수료를 받고 인증을 내주지만, 정작 통과한 기업들은 고객·민감정보를 제대로 관리하지 못하고 있다.
예를 들어 ISMS 기준에 따르면 종이·파일·모바일 기기 등을 통해 비밀번호를 기록∙저장하는 행위는 제한된다. 부득이하게 그래야 한다면, 암호화 등 보완책이 요구된다.
하지만 인증을 통과한 SKT는 가입자 인증 서버(HSS) 관리용 계정 정보를 타 서버에 평문으로 저장했다. 해커는 이를 활용해 HSS 관리서버 및 HSS를 감염시킬 수 있었다.
297만 명의 개인정보 유출 피해가 발생한 롯데카드도 올해 8월 인증을 통과했다. 하지만 인증이 무색하게도 그달 말 악성코드 감염 및 외부 유출 흔적이 드러났다.
카드번호·유효기간·CVC 번호·비밀번호 등 부정 결제에 악용될 수 있는 정보까지 유출됐다. 위험 고객군은 약 28만 명으로 추산된다.
특히 롯데카드의 경우 2017년에 패치까지 나온 오라클 웹로직 취약점을 손보지 않아 공격을 허용했다. 중대 취약점을 8년간 방치한 기업에도 보안 당국이 인증서를 내줬다는 의미다.
김승주 고려대 정보보호대학원 교수 등 업계는 인증 자체가 문제라기보단, 인증을 관리하는 체계의 부실함을 지적했다. 특히 체크리스트 위주의 형식적 인증에서 벗어나야 한다.
김승주 교수는 "최근 해외 사례를 봐도 체크리스트 형태로 보안인증을 끝내는 경우는 없다"며 "최신 위협동향, 시나리오 등을 반영한 관리가 필요하다"고 주문했다.
현실과 동떨어진 보안인증 범위도 고민해야 할 문제다. KT 무단 소액결제의 핵심 수법인 초소형기지국(펨토셀)은 ISMS 인증범위에서 빠진 것으로 드러났다. KISA는 인력·예산 한계로 인해 말단 장비가 아닌 코어망 중심으로 인증을 진행했다고 해명했다.
지적이 이어지자 KISA·개보위 등 보안당국을 중심으로 제도 개선에 나섰다.
KISA 측은 "현행 ISMS는 기업 규모와 서비스 유형에 상관없이 모든 정보통신서비스 제공자에게 동일한 기준·기간을 적용한다는 문제가 있다"며 "기업의 규모, 서비스 중요도, 사고발생 시 사회적 파급력 등을 고려하는 방향으로 정책을 개선하겠다"고 말했다.
파급력이 큰 고위험 산업군에는 강화된 인증체계를 적용한다는 의미다. 국회와 함께 구체적 계획·법안을 마련 중이며, 올해 안에 개선안을 발표하겠다고 덧붙였다.
또 KISA는 취약점 점검, 모의해킹 등 현장 중심으로 보안인증 점검을 강화한다는 방침이다.
legomaster@news1.kr
