ISMS-P 인증심사 강화, 제도의 취지와 현장의 현실 사이

최근 발표된 ISMS-P 인증심사 강화 방안을 보면서 개인적으로 여러 가지 생각이 들었습니다. 제도의 취지와는 별개로, 실제 현장에서 이 방안들이 얼마나 현실적으로 작동할 수 있을지에 대해서는 다소 의문이 드는 부분들이 있기 때문입니다.

우선 가장 기본적인 전제부터 짚고 싶습니다. ISMS는 기술보안 수준을 평가하는 제도가 아니라 정보보호 관리체계에 대한 인증심사입니다. 조직에 정보보호 관리체계가 수립되어 있는지, 그 체계가 문서로만 존재하는 것이 아니라 실제로 운영되고 있는지, 그리고 계획한 활동들이 일관되게 이행되고 있는지를 확인하는 것이 ISMS 심사의 본질입니다. 취약점 점검이나 모의해킹 역시 마찬가지입니다. 중요한 것은 점검을 얼마나 고도화된 방식으로 수행했는지나 몇 개의 취약점을 찾아냈는지가 아니라, 점검 계획을 수립했고 그 계획에 따라 점검을 수행했으며, 도출된 위험을 어떻게 관리하고 있는지입니다. 즉 기술 그 자체보다는 관리체계 관점에서의 계획, 이행, 개선 여부가 핵심입니다.

그럼에도 불구하고 이번 강화 방안에서는 심사 과정에서 취약점 점검이나 모의해킹을 직접 수행하겠다는 내용이 포함되어 있습니다. 이 부분은 담당자 관점에서 여러 가지 현실적인 고민을 낳습니다. 심사 과정에서 해당 활동을 수행한다면, 심사 전에 비용을 들여 동일한 점검을 진행해야 할 당위성은 자연스럽게 약해질 수밖에 없습니다. 심사 비용은 분명 증가할 가능성이 높은데, 그렇다면 심사에서 수행할 점검과는 별도로 사전에 또 한 번 취약점 점검이나 모의해킹을 진행할 기업이 과연 얼마나 될지 의문입니다. 결국 기업 입장에서는 어차피 한 번은 심사 과정에서 수행하게 될 활동에 대해 두 번 비용을 지출해야 하는 구조가 될 수 있습니다.

또 하나의 현실적인 문제는 조치 기간이 긴 취약점에 대한 이행점검입니다. 실무를 해보면 취약점 조치가 단기간에 끝나지 않는 경우가 훨씬 많고, 이 때문에 외부 컨설팅 계약을 할 때도 심사 이후 이행점검을 계약 범위에 포함시키는 경우가 일반적입니다. 그렇다면 심사와 함께 수행되는 취약점 점검에서 과연 이행점검까지 책임지고 이어질 수 있을지에 대해서는 여전히 의문이 남습니다.

모의해킹과 관련해서는 우려가 더 큽니다. 기존에도 모의해킹은 운영환경에서 수행하는 것을 권고해 왔던 만큼, 심사 시 진행되는 모의해킹 역시 운영환경에서 수행하려는 방향으로 갈 가능성이 높습니다. 이 과정에서 모의해킹 중 서비스 장애가 발생하거나 실제 서비스에 문제가 생겼을 경우, 그 책임과 손해배상은 누가 부담하게 될까요. 국가가 책임을 져주는 것도 아닐 텐데, 이에 대한 명확한 기준이나 보호장치 없이 심사 과정에 모의해킹을 포함시키는 것은 현업 담당자에게 상당한 부담으로 다가옵니다. 개인적으로는 이러한 취약점 점검이나 모의해킹은 ISMS 인증심사와는 분리하여 별도의 제도나 심사로 운영하는 것이 더 적절하다고 생각합니다.

또 하나 짚고 싶은 부분은 기존의 서면 및 샘플링 중심 심사에서 코어시스템 중심의 현장실증 심사로 강화하겠다는 방향입니다. 취지 자체는 이해하지만, 현실적으로 가능한지에 대해서는 의문이 듭니다. 최초 인증 기준으로 심사기간이 5일이라고는 하지만 실제로는 첫날 서비스 설명, 마지막 날 결과 정리와 보고서 작성, 4일차 오후 결함 초안 정리 등을 감안하면 실질적인 심사 시간은 2.5일에서 3일 정도에 불과합니다. 이 제한된 시간 안에서 샘플링을 넘어 강화된 점검을 한다는 것은 사실상 모든 것을 다 본다는 의미로 해석될 수밖에 없는데, 과연 이게 가능할지 의문입니다.

심사원 입장에서도 부담은 큽니다. 저 역시 온프레미스 환경과 AWS 환경 위주로 업무를 해왔기 때문에, Azure나 GCP가 메인 서비스인 기업을 심사하면서 구체적인 기술 구현까지 깊이 있게 점검하는 것은 쉽지 않습니다. 모든 심사원이 모든 기술 스택에 대해 동일한 수준의 이해를 갖는 것은 현실적으로 불가능하며, 그럼에도 불구하고 기술 중심 점검을 강화한다면 심사의 일관성과 형평성 문제로 이어질 가능성도 충분히 있습니다.

요즘의 흐름을 보면 ISMS는 보안 관리가 체계적으로 이루어지고 있는지를 샘플링을 통해 검증하는 제도임에도 불구하고, 마치 모든 기술적 보안 수준이 완벽해야만 통과할 수 있는 심사처럼 인식되고 있는 것 같습니다. ISMS는 어떤 항목이 샘플링 대상이 될지 모르기 때문에 결국 모든 영역을 체계적으로 준비하게 만드는 제도이지, 모든 기술 구현의 완성도를 요구하는 심사는 아닙니다. 그럼에도 클릭 수를 높이기 위한 자극적인 보도나 정책 실패를 지적하기 위한 일부 언론과 정치권의 시선에 주무부처인 과학기술정보통신부나 개인정보보호위원회가 지나치게 끌려가고 있는 것은 아닌지, 개인적으로는 그런 우려도 듭니다.

ISMS-P 인증심사 강화의 취지 자체를 부정하는 것은 아닙니다. 다만 제도의 본질과 현장의 현실을 함께 고려하지 않으면, 결국 인증을 받는 기업과 이를 준비하는 담당자, 그리고 심사를 수행하는 심사원 모두에게 부담만 가중되는 방향으로 흘러갈 가능성이 크다고 생각합니다. 앞으로 구체적인 세부 방안이 어떻게 마련될지 지켜보면서, 현업에 실질적인 도움이 되는 방향으로 제도가 정착되기를 기대해 봅니다.