카카오 화재로 본 ISMS-P 인증 실효성 논란

 

 

저번 주말에 판교 데이터센터에서 불이 나면서 대부분의 카카오 서비스들이 먹통이 되는 사건이 있었죠. 이에 대한 내용은 아래의 글에서 설명드렸는데 참고하시면 좋을 것 같구요. 당시 글에서는 카카오가 정보보호관리체계(ISMS-P) 인증을 받았음에도 불구하고 DR(Disaster Recovery, 재해 복구) 시스템을 제대로 갖추지 못한 것이 문제라고 말씀드렸습니다. 그런데 일각에서는 아예 ISMS-P 인증 자체에 실효성이 있는지에 대해 의문을 제기하고 있어서, 오늘은 이 부분에 대해 제 의견을 짧게나마 적어보려고 합니다.

 

데이터센터 화재로 인한 카카오톡 먹통 사태

 

정부에서 부여하는 ISMS-P 인증은 온라인 서비스를 제공하는 정보통신 서비스 제공자들 중, 일정 매출액과 이용자 수 기준을 만족하는 기업들이 의무적으로 받도록 되어있습니다. 정보통신 서비스 부문 매출액이 100억 이상이거나 3개월 간의 일일평균 이용자 수가 100만명 이상이면 무조건 받아야 하기 때문에 카카오는 ISMS-P 인증을 필수적으로 받을 수 밖에 없죠. 물론 대부분의 기업들이 ISMS-P 인증에서 요구하는 사항을 모두 만족할 수는 없기에 실제 시스템을 갖추는 것이 아닌 많은 부분을 문서만 유지하는 형태로 인증을 받기도 합니다.

ISMS-P 인증에서 요구하는 사항들 중에는 서비스의 연속성을 보장하기 위해 재해 복구 시스템을 갖추도록 하는 항목이 있습니다. 그런데 이 재해 복구 시스템이라는 것 자체가 이번 카카오 사태와 같이 화재나 지진 등 재난이 발생했을 경우에 대비하기 위해, 물리적으로 거리가 떨어진 곳에 똑같은 DR 센터라고 부르는 시스템을 하나 만드는 구축하는 건데요. 그러다 보니 이 시스템을 동일하게 구축하기 위한 장소와 하드웨어, 인력 및 비용 등이 굉장히 많이 들기에 제대로 DR 센터를 운영하는 곳이 잘 없긴 합니다.

​그렇기 때문에 실제 ISMS-P 인증 심사를 받을 때도 기업에서 인력이나 비용 측면 때문에 장기적으로 도입 검토를 하고 있다고만 하면 대부분 문제 없이 통과시켜주고 있습니다. ISMS-P 인증 컨설팅을 진행할 때도 어느 정도 규모가 되는 기업이면 DR 센터를 구축해야 한다고 이야기하고는 있지만, 정보보호 비용을 투자가 아닌 비용으로 생각하는 현 상황에선 씨알도 안먹히는 말이죠. 그래서 대부분의 기업에서는 마스터플랜으로 언제까지 DR 센터를 구축하겠다라는 정도로 마무리하는 것이 일반적이라고 생각하시면 될 것 같습니다.

실제로 DR 센터를 유지하는 기업은 삼성이나 네이버와 같이 정말 규모가 큰 기업들인데요. 며칠 동안 서비스를 제대로 복구하지 못한 카카오와 다르게, 춘천에 데이터센터를 지어 DR 센터를 유지했던 네이버의 경우 이번 화재가 난 동일한 장소에 서버가 있음에도 불구하고 서비스를 빠르게 복구할 수 있었죠. 국민 대부분이 사용하는 서비스를 제공하는 대기업에서 DR 센터를 두지 않았다는게 너무 실망스럽긴 하지만, 이번 기회로 비용을 투자해서 화재나 지진과 같은 재난이 발생하더라도 빠르게 대응할 수 있었으면 합니다.

 

카카오 화재로 ISMS-P 실효성 지적…인증체계 개선 필요해 - 테크월드뉴스

 

마지막으로 ISMS-P 인증의 실효성에 대해 한 마디 드리자면, 기사에서 언급한 것처럼 기업이 ISMS-P 인증을 받는다고 모든 것이 해결되는 건 아닙니다. 기업의 시스템이 새로운 해킹 공격에 의해 뚫리기도 하고 이번과 화재와 같이 알 수 없는 재해로 인해 서비스가 멈춰버리는 일도 발생하죠. 그리고 요즘과 같이 상황이 어려운 시기에 기업에서 돈이 없다는데 정부에서 DR 센터를 구축하라고 강제할 수 있는 부분도 아닌 것 같다고 보이는데요. ISMS-P 인증이라는 것은 사실 저희가 매년 받는 건강검진 수준으로 생각해야하고, 이를 통해 기업에서 정보보호 장기 계획을 갖추게 하는 것만으로도 어느 정도 효과는 있다고 생각됩니다.

앞으로 ISMS-P 인증이 더 좋은 방향으로 개선되어야 하는 건 맞지만, 무엇보다도 중요한 건 기업에서 정보보호 어떻게 바라보는지에 대한 관점과 인식이 먼저인 것으로 같은데요. 이제 막 사용자가 증가해서 규모를 키우고 있는 서비스라면 어느 정도 이해가 가지만, 카카오와 같이 대부분의 사람들이 사용하는 서비스에서 비용 때문에 DR 센터를 두지 않았다는 건 사실 이해가 가지 않죠. 이번 사건이 많은 기업들에게 정보보호를 비용이 아닌 투자로 바라보는 계기가 되었으면 합니다. 그럼 이번 글은 여기서 마치죠. 감사합니다.