ISMS '형식적 인증' 전락…尹 정부 간소화에 해킹 폭증

민간기업 침해사고 50%↑·인증기업 75%↑
조인철 "국민안전 문제…근본적 개편 시급"

조인철 더불어민주당 의원.

윤석열 정부가 지난해 4월 기업의 '불필요·불합리한 부담 경감'을 명분으로 정보보호관리체계(ISMS) 제도 간소화 정책을 추진했으나, 이후 해킹 사고가 급증하며 국가 사이버보안 리스크가 확대됐다는 지적이 나왔다. ISMS는 정보통신망 안정성 확보를 위한 핵심 인증 제도다.

13일 더불어민주당 조인철 의원(광주 서구갑)이 과학기술정보통신부로부터 제출받은 자료에 따르면 윤석열 정부가 간소화 정책을 추진할 당시 이미 민간기업 해킹은 문재인 정부 시절 대비 3배, 중소기업 피해는 3배, ISMS 인증기업 피해는 무려 16배나 폭증한 상황이었다. 보안 강화가 절실했던 시기에 오히려 '기업 부담 완화'를 명분으로 내세워 현장 심사를 최소화하는 '간편 인증제'를 도입한 것이다.

실제 간편 인증제 도입 이후 상황은 더욱 악화됐다. 올해 상반기 기준으로 민간기업 전체 침해사고 및 중소기업 피해 건수는 이미 전년 대비 50%를 넘어섰고, ISMS 인증기업의 침해사고 비율도 75%를 상회하는 것으로 나타났다. 이는 윤석열 정부의 간소화 조치가 결과적으로 해킹 피해를 가속화시켜 국가보안 리스크를 키웠다는 비판으로 이어지고 있다.

현행 ISMS 제도는 SKT 해킹, KT 소액결제 사태 등 대규모 보안 사고를 겪으며 구조적 한계를 드러냈다. 기업의 규모나 산업별 위험도를 고려하지 않고 모든 인증 대상에 동일한 기준을 적용하는 것은 제도 실효성을 떨어뜨린다는 지적이 많았다.

이에 따라 조 의원은 지난 7월 '정보통신망 이용촉진 및 정보보호 등에 관한 법률' 개정안을 대표 발의해 ▲고위험 산업군 차등 인증기준 도입 ▲중대한 정보보호 위반 시 인증취소 ▲재인증 미이행 시 과징금 부과 ▲정보보호 예산·인력 확보 의무화 등을 골자로 한 실질적인 제도 개편 방안을 제시했다.

인증기관과 심사기관에 대한 관리·감독 부실도 문제점으로 지적된다. KT, SKT, 롯데카드 등 대형 해킹 사건들이 모두 ISMS 인증을 받은 기업에서 발생했음에도 불구하고, 인증기관인 KISA나 심사기관이 제재를 받거나 페널티를 부과받은 사례는 단 한 건도 없었다. 이는 해킹 발생 시에도 인증·심사기관이 법적 책임을 지지 않는 무책임한 구조 탓이다.

심지어 침해사고 발생 후 해당 기업의 보안 체계를 재점검하거나 심사 단계에서 간과된 항목을 분석하는 사후검증 절차조차 존재하지 않아 피드백 구조가 마비된 상태라는 비판이 나온다.

조 의원은 "ISMS 제도를 총괄적으로 감독해야 할 과기부의 무책임과 제도의 실질적 운영을 책임지는 KISA의 소극적 대응이 제도 부실의 본질이다"며 "보안은 기술이 아니라 국민안전의 문제다. 형식적 인증을 넘어서 실질적 보안 체계를 구축해야 한다"고 강조했다.

조 의원은 이어 "고위험 산업군에 대한 차등화된 인증 체계 도입, 인증·심사 기관에 대한 관리·감독 기능 강화, 심사기관의 전문성 및 책임성 제고 등 근본적 제도 개편을 통해 ISMS를 국민이 신뢰할 수 있는 보안 인증 체계로 바로 세우겠다"고 덧붙였다.

호남취재본부 강성수 기자 soostar@asiae.co.kr