ISMS


올해 대형 해킹 사고의 장본인인 SK텔레콤, 예스24, 롯데카드, KT, 넷마블, 쿠팡의 공통점이 있다. 모두 정보보호 및 개인정보보호 관리체계 인증(ISMS-P)을 받았다는 점이다. 이 인증은 정부가 시행하는 유일한 개인정보보호 통합 인증 제도다. 하지만 해커들은 이 인증을 비웃기라도 하듯 잇따라 기업의 보안 시스템을 무력화하고 대량의 개인정보를 유출했다. 테크 업계에선 서류상으로만 확인하는 데 그치는 ‘체크 더 박스(네모 칸에 체크)’ 인증 제도의 실효성을 전면 재검토해야 한다는 지적이 나온다.

우주전함야마토게임

그래픽=양인성


ISMS-P 인증을 받으려면 관리체계 16개, 보호 대책 64개 등 총 80개 기준에 개인정보 처리 단계별 요구 사항 21개 항목까지 평가를 받아야 한다. 쿠팡은 2021년과 지난해 해당 인증을 받았지만 최근 5년간 무려 4차례나 개인정보 오리지널바다이야기 유출 사고가 있었다. 쿠팡뿐 아니다. 개인정보보호위원회가 중앙행정기관으로 격상된 2020년 이후 지금까지 해당 인증을 받은 기업 263곳 중 27곳에서 33건의 개인정보 유출 사고가 있었다. 현행 제도의 인증 유효 기간은 3년인데 1~2주 동안 이어지는 심사 기간에만 보안 수준을 높이고, 인증을 받은 후엔 보안을 소홀히 하더라도 알 방법이 없기 때문이다. 바다이야기모바일 또 인증이 실제 보안 역량 검증보다 각종 서류를 기반으로 한 체크리스트 위주 형식적 점검에 불과하다고 업계는 지적한다. 김명주 서울여대 교수는 “ISMS는 서류 제대로 냈는지만 보는 절차 인증에 불과해 인증받고도 시스템이 뚫린다”며 “침투 테스트, 공격 시나리오를 통과해야 인증하는 방식으로 제도를 강화해야 한다”고 했다.
보안 업계에선 바다신2다운로드 정부 주도의 인증에는 한계가 있기 때문에 개개인의 보안 의식 수준을 끌어올리는 것부터 시작해야 한다고 지적한다. 버라이즌의 ‘2025 데이터 침해 조사 보고서’(DBIR)에 따르면, 해킹 사고의 60%에 인적 요소가 포함된 것으로 나타났다. 인적 요소는 보안 인식이 있었다면 충분히 막을 수 있었던 사람의 행동을 말한다. 또 해킹 사고의 34%는 외부 협력사 바다이야기 와 파트너가 연루된 것으로 조사됐다. 보안 업계 관계자는 “해커가 보낸 악성 링크가 담긴 피싱 메일을 클릭하거나 클라우드 접근 권한을 공개로 설정하는 등 기초적인 실수가 대형 해킹 사고로 이어지는 원인이 된다”면서 “비밀번호를 암호화하지 않고 기억하기 쉬운 ‘1234’ ‘password’ 등으로 설정하는 것도 해커들에게 먹잇감을 던져주는 것”이라고 말했다. 기자 admin@reelnara.info