플랫폼 업계의 ISMS 인증 효율화 요청

 

 

제가 이전 회사에서 ISMS 인증 컨설팅을 주 업무로 했기에 ISMS 인증과 관련된 기사가 올라오면 항상 챙겨보고 있습니다. 그런데 다양한 고객사에 컨설팅을 다녀봤지만 정말 정보보호의 수준을 높이기 위해 ISMS 인증을 준비한다기 보다, 대부분은 법을 위반하지 않기 위해 컨설팅을 받는다는 느낌이 컸는데요.

 

 

사실 기업 입장에서는 ISMS 인증 심사를 받기 위한 인력과 비용 모두 부담이 되는건 사실인데, 최근에는 플랫폼 업계에서 ISMS 인증에 대한 효율화를 요청했다고 합니다. ISMS 인증을 준비하다가 되려 보안 능력이 저하된다는 지적도 나왔는데, 오늘은 이 부분에 대해 간략히 짚고 넘어가도록 해보죠.
​

우선 정보보호관리체계라는 ISMS 인증은 정보통신망법에 의거하여 ISP(인터넷 서비스 제공자)와 IDC(인터넷 데이터 센터) 그리고 정보통신 서비스 부문 전년도 매출액 100억 이상 또는 평균 이용자수가 100만명 이상의 기업인 경우 의무적으로 받게 되어있습니다.

 

 

매출액이 100억이나 이용자수가 100만명이라고 하면 굉장히 커보이지만, 생각보다 많은 기업들이 의무 대상자로 지정되어 있는데요. 특히 코로나 이후로 비대면 플랫폼이 활성화되어 굉장히 빠르게 급성장하면서 ISMS 인증을 의무적으로 받아야 하는 곳들이 늘어났죠.

 

 

ISMS 애로사항 및 해결책, 출처: 전자뉴스(etnews)

 

 

네이버와 카카오 같은 인터넷 기반의 대형 서비스 플랫폼 기업들은 사실 자체적으로 정보보호에 투자하고 있기 때문에 ISMS 인증을 준비하고 심사받는데 문제가 되진 않습니다. 하지만 이제 막 성장하는 중소 플랫폼 기업에게는 ISMS 인증은 인력과 비용의 부족으로 큰 어려움이 존재한다고 볼 수 있죠.

 

 

보통 기업들이 ISMS 인증 준비하게 되면 컨설팅을 먼저 받는 경우가 많은데, 어느 정도 규모가 있는 경우 중소기업에서도 이 컨설팅의 비용이 억대가 넘어가기 때문에 굉장히 많은 부담이 됩니다. 거기다가 이 ISMS 인증 심사를 위한 정보보호팀을 운영하면서 업무 과중으로 퇴사하는 인력도 있죠.

 

 

[스페셜리포트]플랫폼 업계, ISMS 인증 논란

 

 

일반적으로 ISMS 인증 심사는 KISA에 심사를 요청하고 심사원들이 해당 기업에 방문하여 3~4일 정도 심사를 하게 됩니다. 그런데 이 심사 일정이 정해지는 시기도 예측 불가하고, 갑자기 KISA에서 ISMS 인증을 받아야 한다는 연락을 와서 벼락치기 마냥 준비해야 하는 등 많은 문제가 있기도 하죠.

 

 

특히 ISMS 심사를 준비하면서 타 부서와의 갈등도 많이 생겨 보안에 대한 반감도 생기는 경우도 있는데요. 또한 규모가 작은 기업에서는 인력과 예산을 들여 모든 인증 기준을 맞추기 어렵기 때문에 차라리 3천만원의 과태료를 내고 버티자는 기업들도 나타나고 있습니다.

​
거기다가 작년에는 카카오 화재 사건 이후로 ISMS 인증에 대한 실효성 의문도 생겨났죠. ISMS 인증을 받은 후에도 침해사고나 기술적인 문제가 발생하는 경우도 있기 때문인데요. 하지만 개인적으로는 ISMS 인증이 보안을 완벽히 했다라는 의미보다는 매년 진행하는 건강검진 정도로 봐야한다고 생각합니다.

 

 

물론 기업의 규모마다 가용할 수 있는 인력이나 예산에 한계가 있기 때문에 대기업, 중견, 중소기업 등 세분화하여 심사를 할 필요는 있다고 보는데 추후 이 부분은 개선될 것이라 생각합니다. 이번 글에서는 여기서 줄이도록 하고 이후 관련 소식이 있으면 다시 말씀드리도록 하죠. 감사합니다.