실시간
뉴스

법제도/정책

KISA, ISMS 인증 심사 적체에 ‘고심’

[디지털데일리 이민형기자] 지난해에 이어 올해도 정보보호관리체계(ISMS) 인증 심사가 연말에 집중됨에 따라 이를 담당하는 한국인터넷진흥원(KISA)의 고심이 커지고 있다.

특히 올해는 사후 심사를 받아야 할 기업·기관이 100곳이 넘고, 개인정보보호인증(PIPL) 제도 신설로 인해 예년보다 심사원 부족 현상이 두드러지고 있다. 현재 KISA는 ISMS 인증 관련 홈페이지와 유선전화를 통해 심사원 모집에 나서고 있으나 적체 해소가 쉽지는 않은 상황이다.

5일 보안업계에 따르면 ISMS 인증 심사가 4분기에 몰리면서 ISMS 인증 심사기관인 한국인터넷진흥원(KISA)이 심사원 확보에 전력을 다하고 있다.

인증 심사원이 부족하면 인증 의무 사업자에 대한 심사를 제 때 수행할 수 없으며, 인증 심사에 대한 질도 낮아질 수 있기 때문이다.

이달에 ISMS 인증 심사가 예정돼 있는 기업·기관은 약 50여곳이다. 다음달에는 이보다 더 많은 수의 인증 심사가 진행될 계획이다.

지상호 KISA 정보보호관리팀장은 “예년과 마찬가지로 올해도 연말에 인증 심사가 몰리고 있다”며 “인증 심사 신청 시기는 기업이 결정할 부분이기 때문에 KISA에서 조정할 수 있는 방법이 없다. 심사원 확보에 최선을 다하고 있다”고 전했다.

◆심사원 많은데 왜 적체 일어날까=이처럼 인증 적체가 일어나고 있는 이유는 인증 심사원이 부족하기 때문이다. 현재 KISA에 등록된 ISMS 인증 심사원 수는 약 1200여명이지만, 실제 심사에 참석하는 인원은 500명에도 미치지 못하는 것으로 알려졌다.

지 팀장은 “매달 ISMS 심사 교육을 통해 심사원을 확보하고 있으나 실제 인증 심사에 참여하는 인원은 그리 많지 않다”며 “하지만 심사원을 많이 양성한다고 적체가 해결되는 문제는 아니다”고 말했다.

심사원이 부족함에도 불구하고 KISA가 심사원을 많이 뽑지 않는 이유는 인증 심사 업무가 특징 시기에만 몰리기 때문이다. 실제로 하반기에는 공급(심사원)이 수요(인증 대상 사업자)보다 적은 상황이지만, 상반기에는 공급이 훨씬 더 많다.

아울러 올해 시행된 한국정보화진흥원(NIA) 개인정보보호인증(PIPL) 제도로 인해 심사원의 분산도 적체 이유 중 하나로 꼽힌다. 현재 NIA는 하반기에 약 15개 사업자를 대상으로 심사에 착수했다. 대부분의 ISMS 인증 심사원들은 PIPL 인증심사원도 함께 겸하고 있다.

이와 관련 지 팀장은 “현재 상황에서 인증 심사원을 무작정 늘리는 것은 큰 도움이 안된다”며 “기존 심사원들의 심사 참여를 독려해 문제가 없도록 노력하겠다”고 말했다.

◆KISA, 인증 심사 ‘품질(Quality)’에 대해서도 고민=KISA의 또 다른 고민은 ISMS 인증 심사의 ‘품질(Quality)’이다.

보안 관련 지식이 부족한 인증 심사원으로 인해 ISMS 인증 심사의 품질이 전체적으로 낮아지고 있다는 지적이 내외부에서 나오고 있기 때문이다.

한 ISMS 인증 심사원은 “TCP/IP와 같은 기본적인 용어조차 이해하지 못하는 인증 심사원들이 많다. 이 때문에 제대로 된 인증 심사가 어려운 경우가 종종 발생한다”고 설명했다.

또 유승희 의원(새정치민주연합)은 지난 국정감사에서 “ISMS 인증을 받은 기업이 보안사고를 겪는 이유는 인증 심사원의 양성과 자격부여에 문제가 있기 때문”이라고 지적하기도 했다.

현재 KISA는 학사학위를 가지고 있으며, 정보보호 유관경력 6년 이상을 보유한 사람을 대상으로 ISMS 인증 심사원 양성 교육을 실시하고 있다. 수료기준은 교육 80% 이상 출석과 서면평가 70점 이상 통과인데 교육생의 평균 70%가 과정을 수료하고 있다.

이에 대해 지 팀장은 “인증 심사 품질에 대한 피드백을 많이 받았고, 이에 대한 고민도 하고 있다”며 “내년부터는 보다 엄격하게 평가를 진행할 예정이며 인증심사원 평가를 일종의 자격시험처럼 수준을 높여 운영할 계획도 고민하고 있다”고 전했다.

<이민형 기자>kiku@ddaily.co.kr

디지털데일리 네이버 메인추가
x