'정보보안 인증 있으나마나' 인증받은 기업들, 정보유출 속수무책

(출처-유승희 의원실)

KISA 부실한 인증심사원 자격부여, 수박 겉핥기식 인증심사가 원인
인증심사원 자격시험 90%이상 합격… 유명무실한 자격증으로 전락
우수한 인증심사원 양성하고 충분한 인증심사 이뤄져야

[아시아경제 이초희 기자] 한국인터넷진흥원(KISA)이 시행하는 정보보안 인증제도가 부실하게 운영되고 있다는 주장이 제기됐다.

국회 미래창조과학방송통신위원회 소속 유승희 의원(새정치민주연합, 성북갑)은 23일 KISA 정보보안 인증을 받은 후 정보보안관리체계인증(ISMS, 아이에스엠스) 기업 254개 중 30개 기업이 인증 후에 속수무책으로 정보 유출 등 보안상의 허점을 보인 것으로 나타났다.

또 개인정보보안체계인증(PIMS, 핌스) 기업 24개 중 5곳도 인증 후 개인정보 유출 사고가 발생했다.

유 의원은 보안인증 심사 및 평가를 수행하는 인증심사원의 양성과 자격부여에 문제가 있다고 지적했다. 유 의원에 따르면 심사원 인력양성은 5일간 35시간 교육만으로 인증심사원 시험에 응시할 수 있는 자격을 부여해 주고 있으며, 자격시험도 응시자 80~90% 이상 합격하고 응시자가 100% 합격하는 통과의례에 불과하고 밝혔다.

이와 같이 자격시험이 부실하게 된 것은 KISA가 인증시행 초기 인증심사원 확보를 위해 교육만 수료하면 그대로 인증심사원으로 자격을 부여할 수 있도록 자격시험의 난이도를 낮춘 것이 원인이라는 지적이다.

또한 수박 겉핥기식으로 진행되는 보안인증 심사 및 평가 과정도 문제로 지목됐다. 부실하게 양성된 인증심사원은 5~7명을 1개 팀으로 해 ISMS의 경우 심사대상 1개 기업당 40시간, PIMS는 56시간의 심사진행이 이뤄졌다.

유 의원은 "기업의 규모나 업무범위와 상관없이 획일적인 심사기간을 적용하는 것은 부실 심사와 평가가 이뤄질 수밖에 없는 구조"라며 "최근 수시로 발생하는 정보보안 문제를 효과적으로 대처하기 위해서는 우수한 심사원 양성을 통해 보안에 허점이 없도록 체계적인 심사ㆍ평가가 있어야 한다"고 강조했다.

이초희 기자 cho77love@asiae.co.kr