[정보통신신문=박남수기자] 정보보호 관리체계(ISMS) 인증업체를 대상으로 한 해킹 등 사이버 침해사고가 급증하고 있어, 정보보호인증제도의 실효성에 대해 의문이 제기되고 있다.
장경태 국회의원(동대문구을/과학기술정보방송통신위원회)이 한국인터넷진흥원으로부터 제출받은 자료에 따르면, ISMS 인증받은 기업의 피해는 작년 39건이었으나 올해는 8월까지 이미 77건으로 두배에 가까운 수치이다.
2019년의 18건과 비교하면 4.3배에 이른다.
디도스(DDoS) 공격의 경우 2019년 6회가 있었지만, 올해는 36건으로 6배가 증가했다.
작년 데이터센터 화재로 인한 카카오 127시간 먹통사태가 있었지만 ‘재해복구’와 관련한 인증기준은 두 개에 불과하다.
또한 지난 5월에는 '디지털 저작권 관리 기술'(DRM) 해제 등 해킹 기법을 사용해 알라딘, 메가스터디 등 인터넷 서점과 입시학원에서 203억원상당의 저작물을 빼낸 고등학생이 검거됐다. 피해를 본 업체 네 곳 중 세 곳이 ISMS 인증을 받은 것으로 확인됐지만, DRM과 관련한 인증 기준은 없는 상태이다.
ISMS 정보보호인증은 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제47조에 따라 재학생 수 1만명 이상의 학교, 상급종합병원, 매출액 100억 이상이거나 일평균이용자 100만이상인 정보통신서비스 제공자는 의무적으로 받아야 한다. 따라서 이용자와 매출액 수가 큰 만큼 한 번의 정보보안 사고가 대형 피해로 이어지고 있다.
장경태 의원은 “윤석열 정부의 국정과제인 사이버보안 대응역량 강화는 소리만 요란한 빈수레임을 확인한 것”이라며 “사이버 침해 피해의 방식과 유형이 다양해지고 피해 사고가 연달아 일어나며 현 정보보호 인증제도의 취약성이 드러난 만큼, ISMS 인증업체 수 늘리기에 집중할 것이 아니라 정보보호 인증기준 세분화 등 인증제도 전반을 검토하고 개선해 신뢰성을 확보해야 할 것”이라고 말했다.
