[넋두리 2] 11. [판의 개혁] 국내 보안 인증제도

국제용과 국내용

  분야를 막론하고 기업이 사업을 추진하는 과정에서 정보보안에 대한 투자 및 고려가 필수로 인식되는 상황으로 변화되어 가고 있다. 특히 코로나 시대를 맞이해 기업의 사업 대부분이 인터넷 환경으로 전환되는 DT(Digital Transformation) 시대에는 보안의 도입이 더욱 절실하다.

  현재도 미래에도 보안의 도입 없는 온라인 서비스란 총알이 빗발치는 전쟁터에 방탄복 없이 총만 들려 병사를 내보내는 것과 같다. 자살행위인 것이다. 그만큼 보안을 제대로 도입하고 운영하는 것이 중요해진 시대에 우리는 살고 있다.

  국내에서 온라인 서비스에 대한 보안의 적절성을 평가하기 위해 이용되는 대표적인 제도는 ISMS-P(Personal Information & Information Security Management System)와 ISO 27001, ISO 27701, PCI-DSS 등이 있다. ISMS-P만 국내 인증제도이며, 나머지는 국제 인증제도로서 많은 기업들이 이 중 하나 이상을 선택해 보안성을 평가받고 있다.

  여기서 알아야 할 점은 ISMS-P가 '국내용' 인증제도라는 점이다. '국내용'이라고 표현한 이유는 평가결과 획득한 인증서가 오직 국내에서만 의미가 있고 국제무대에서는 인정받지 못함을 의미한다. 기업의 해외 사업을 위해 보안인증서가 필요한 경우 ISO 27001(ISMS)이나 ISO 27701(PIMS), PCI-DSS 같은 국제적으로 인정받는 인증서를 획득하여 제출해야만 하기 때문이다.

  그럼에도 많은 국내 기업들이 ISMS-P 인증을 받는 이유는 정보통신망법에서 강제하고 있음에 기인한다. 즉, 자의 반 타의 반으로 법적 요구사항을 지키기 위해 인증을 받고 있다고 볼 수 있다.

  트럼프 행정부 시대 시작된 보호무역주의의 강풍은 세계 많은 국가들을 보호무역주의로 돌아서도록 만들었다. 그에 발맞추어 자국 기업의 해외시장 진출에 장애가 되는 장벽을 찾아내 제거해 해외시장 진출을 강화하려는 움직임도 거세게 이루어지고 있다. 그러한 보호무역주의의 강풍은 정보보안 시장도 예외는 아니다. 문제는 우리나라의 정보보안 시장 상황이 이 같은 보호무역주의 추세에 불리한 환경을 가지고 있다는 점이다. 한국은 국제적으로 이미 통용되고 있는 정보보호 인증제도가 아닌 우리나라에만 존재하는 국내용 인증제도인 ISMS-P를 만들어 인증을 받도록 강제하고 있기 때문이다.

  이러한 정책은 해외무역을 하는 국내 기업들에게 이중의 비용을 지불토록 하는 부담을 안김과 동시에 국내에 진출한 해외기업에게 국제 인증서를 획득했음에도 국내 인증서를 다시 획득하도록 이중부담을 강요하는 모양새로 읽혀 오래전부터 해외기업에 대한 차별 논란을 불러일으켜왔다.

  또 있다. 전 세계적으로 중요한 보안제품의 경우 국제적으로 인정되는 CC(Common Criteria) 인증제도가 있어 그 보안성을 평가하고 있다. 그러나 국내 공공시장의 경우 도입 시 CC 인증 외에도 국정원의 보안적합성 검증을 받도록 추가 요구하고 있어 해외기업들의 국내 공공시장 진출을 원천 차단하고 있다는 비난을 받아 왔다. 보안적합성 검증 과정에서 중요 소스의 유출을 우려한 해외기업들이 공공시장 진출을 포기했기 때문이다. 역시 해외기업에 대한 차별 논란의 대상이다.

  최근의 대세인 클라우드 분야도 예외는 아니다. 우리나라는 자체 클라우드 인증제도를 개발해 국내 및 해외 기업 모두 인증을 받도록 강요하고 있다. 이에 따라 국내에서 사업을 하고자 하는 클라우드 사업자는 예외 없이 국내 클라우드 인증을 받아야만 하므로 해외기업의 국내 시장 진출에 걸림돌이 되고 있다.

  위에서 언급한 '국내용' 인증제도는 오직 우리나라에만 있는 인증제도로 대표적인 관치 보안의 특징을 보여주는 정책들이다. 정부가 주도하여 보안 분야의 인증을 마련하고 기업들에게 획득을 강제하며, 획득한 기업들에게는 '공인' 즉 정부가 인정했다는 면죄부를 주는 형태를 가지고 있다.

  그 폐해로 우리는 ISMS-P 인증을 획득했다고 표방한 기업들에게서 수많은 고객정보들이 유출되는 사고가 발생되는 모순과 함께 대형 유출사고에도 불구하고 기업들이 정부가 공증한 '공인' 면죄부를 이용해 아무런 책임도 지지 않고 처벌도 받지 않는 경험을 하고 있는 것이다.

  더구나 ISMS-P 인증제도가  '공인' 인증 체제를 유지하는 이상 담당 부처와 주관 공공기관, 심사기관을 중심으로 하는 카르텔 형성을 통해 인증제도를 더욱 공고히 함으로써 문제의 개선보다는 제도 자체의 폐해가 더욱 심각해지는 부작용도 우려하게 된다.

  정부의 국내 시장과 국내 기업에 대한 보호의지는 이해할 수 있다. 적어도 과거의 어느 시점까지는 국내 시장과 보안기업을 육성하고 보호하는 울타리 역할을 충실히 해온 것도 부정할 수 없는 사실이다.

  그러나 해당 제도는 이제 스타트업이나 중소기업에게는 시장 진입을 가로막는 진입장벽이 될 뿐만 아니라 국내에 진출한 외국 기업에게는 강제하지 못하면서 국내 기업에게만 강요하는 이중, 삼중의 부담을 안겨 역차별을 초래했으며, 각국들의 첨예한 이해관계가 얽혀 있는 작금에는 폐쇄적인 구조로 인해 다른 국가들의 공격 대상이 되기 좋은 먹잇감에 불과해 그 자체로 차별화된 경쟁력을 갖추지 못하고 있다.

  이제부터라도 '국내용' 인증제도가 '국제용'으로 진화하도록 노력하거나 상호 인정될 수 있도록 제도를 개선하여 기업에게 부과된 이중 삼중의 부담을 줄이고, 민간으로 이관하여 관치 보안의 폐해를 없애가야 할 것이다.