24일 서울 여의도 국회에서 열린 과학기술정보방송통신위원회의 대규모 해킹 사고 관련 청문회에 출석한 김영섭 KT 대표이사가 이해민 조국혁신당 의원의 질의 자료를 보고 있다. 뉴스1


최근 해킹과 개인정보 유출 사고를 겪은 SK텔레콤·KT·롯데카드의 공통점은 모두 정부의 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증을 받았다는 것이다. 정부 공인 보안인증을 획득한 기업조차 사이버 공격에 무력했음이 드러나면서 기존의 ‘보여주기식' 보안 체계를 재정비해야 한다는 지적이 나온다.
ISMS-P는 과학기술정보통신부와 개인정보보호위원회가 주관하는 국가 공인 정보보호 인증으로, 기업이나 기관의 보안 관리 체계가 적절히 운영되고 있는지 총 1증권플러스
00여개 항목으로 평가한다. 인증을 받은 기업은 공공 입찰 가산점 같은 인센티브도 받을 수 있다.
그러나 ISMS-P의 실효성 논란은 해킹 사고 때마다 반복된다. 2014년 발생한 KT의 개인정보 1,200만 건 유출 사건 당시에도 인증을 받았던 것이 논란이 됐지만, 10년이 지난 현재도 같은 지적이 나오고 있다. 게다가 이번 KT 해킹에황금성게임앱
쓰인 불법 초소형 기지국(펨토셀)은 정작 ISMS-P 인증 범위에서 빠졌다. “예산과 인력 한계로 코어망 중심으로 진행되고 무선기지국은 범위에 포함하지 않는다”는 게 인증 운영기관인 한국인터넷진흥원(KISA)의 설명이다.
이 같은 문제는 ISMP-P가 실제 보안 조치가 아닌 관리 체계에 대한 인증이기 때문에 생긴다. 전문가들 사이에서는 야마토게임장
"인증 취득은 홍보용"이라는 시선도 적지 않다. 보안기업 씨큐비스타 관계자는 “ISMS-P 등 인증은 관리 체계에 대한 ‘시점 점검’일 뿐, 실질적인 침해 대응 능력과는 관련이 없다”고 꼬집었다. KISA 조사에 따르면 국내 기업들은 보안 패치 갱신 주기가 평균 13개월이고, 보안 점검 후 결과 적용까지 평균 6개월이 걸렸다. 해킹 기법이 고도화하는 속도와불스탁
비교하면 실질적 대응이 너무 늦다고 전문가들은 입을 모은다.
보안 수준을 높이겠다며 국내 공공기관에서 의무 설치를 요구하는 소프트웨어 역시 되레 취약점이 되고 있다는 지적도 나온다. 최근 한국과학기술원(KAIST·카이스트)과 고려대, 성균관대, 보안기업 티오리의 공동 연구에 따르면, 금융·공공기관의 주요 보안 프로그램(KSA) 7종에서 온라인신천지
19건의 심각한 보안 취약점이 드러났다. 이 중엔 인증서에 저장된 사용자 실명이 평문으로 노출되는 경우도 있었는데, 이는 최근 롯데카드의 개인정보 평문 유출과도 유사하다.
연구를 수행한 김용대 카이스트 전기및전자공학부 교수는 “KSA의 취약점은 대부분 의도된 기능이 오용되면서 발생했다”며 “비(非)표준 보안 소프트웨어들을 강제로 설치하게 하는 방식이 아니라, 웹 표준과 브라우저 보안 모델을 따르는 방향으로 보안 체계를 전환해야 한다”고 지적했다.
신혜정 기자 arete@hankookilbo.com