“보안 인증만 믿다 뚫렸다”…ISMS 실효성 도마 위에

올해 잇따른 대규모 해킹 사고를 계기로 13일 국회 과학기술정보방송통신위원회(과방위) 국정감사에선 기업들의 부실 대처뿐 아니라 정보보호 관련 제도 자체도 조명됐다.

그중 기업의 정보보호 실태를 점검하고 검증하는 사전 인증제도인 ‘정보보호 관리체계(ISMS)’의 경우, 최근 해킹으로 인한 고객정보 유출 사고가 발생한 SK텔레콤(017670)·KT(030200)와 롯데카드·예스24 등 인증을 받은 기업조차 대규모 정보유출이 발생해 논란이 일고 있다.

KISA에 따르면 2021년부터 올해 8월까지 약 5년간 이 인증(ISMS 806건·ISMS-P 256건)을 취득한 곳은 총 1006곳에 이르지만, 기업 규모와 유형을 고려하지 않은 일괄적이고 제한적인 심사로 인해 실효성 의문이 뒤따른다.