오래된 인식 하나부터 버려야겠어요. ‘보안 인증 받으면 100% 안전하다’고 생각하는 분들 많죠? 이번 KT와 롯데카드 해킹 사고가 우리에게 알려준 건, ISMS-P 인증이라는 게 해킹을 완전히 방어하는 마법의 방패가 아니라는 점입니다. 인증이란 건 말 그대로 기업이 어느 정도 보안 체계를 갖췄는지 점검하는 시스템일 뿐, 모든 공격을 막아주는 건 아니에요. 해외에도 그런 ‘절대 방어’ 인증 시스템은 없습니다.
“이 제도 유명무실하다!”는 목소리도 많지만, 정작 보안업계 전문가들은 이렇게 말해요. 한국의 ISMS-P 인증은 글로벌 표준보다 오히려 엄격한 편이고, 현장을 직접 점검하는 등 투명한 심사를 거친다고요. 그러나 현실에서 인증 범위나 적용 대상이 너무 제한적이라 ‘구멍’이 생긴다는 게 문제입니다. 이번에 KT 해킹 사고의 침투 루트였던 ‘펨토셀’이 바로 그런 사각지대에 있었죠.
ISMS-P 인증이 제대로 작동하려면 기업 자산, 특히 중요 서비스들을 명확히 식별하고 산업별 특성을 반영해야 한다는 지적이 많습니다. 통신, 금융 넘어서 의료 분야도 보안 체계 강화가 시급해요. 병원에서 수많은 개인정보를 다루면서도 인증 범위가 부족한 게 현실이니까요.
보안 인증 담당자들이 적게는 1~2개월씩 투입되지만 여전히 예산과 인력의 한계는 엄연해요. 이대로라면 겉으로만 번드르르한 인증에 그칠 위험이 큽니다. 펨토셀 누락처럼 핵심 무선기지국 점검도 제대로 못하는 상황이라면, 제도 개선 없이는 대형 해킹 사고를 막기 어렵겠죠.
개인정보위와 KISA는 인증 실효성을 높이기 위해 현실적이고 구체적인 대책을 마련 중이라고 해요. 모의해킹 확대, 사고 기업 사후 관리 강화 같은 조처들입니다. 하지만 결국 중요한 건 인증서 한 장보다 CEO와 개인정보보호책임자가 보안 투자를 진짜로 중요하게 여기고 내부 통제를 엄격히 하는 것입니다.
해킹 같은 사이버 위협은 변덕스러운 데다 막기 힘든 놈입니다. 인증 받았다고 방심하다간 ‘화’만 키우기 쉽다는 점, 꼭 기억하세요. 늘 사각지대가 있고 취약점이 있기 마련이니까요. 그래서 보안 문제는 계속 관심을 가지고 쫓아가야 하는 끝없는 ‘생활 밀착형 과제’입니다.
.jpg&w=96&q=100){kind=small}
