"ISMS 인증 받은 회사인데 왜 털렸어?" 사고가 터질 때마다 나오는 말입니다. 저도 같은 질문을 합니다. 다만, 조금 다른 방향으로요.
ISMS(-P)가 뭔가요?
ISMS는 Information Security Management System, 즉 정보보호 관리체계의 약자입니다.
조직의 정보자산을 보호하기 위해 수립하고 운영하는 정보보호 관리체계가 안전하게 관리되는지 점검하여 인증해 주는 제도인데요, 쉽게 말하면 "이 회사, 보안 제대로 하고 있는지 검사해서 도장 찍어주는 제도" 입니다.
ISMS 인증을 취득하기 위해서는 관리체계 수립 및 운영 16개, 보호대책 요구사항 64개, 총 80개의 인증 기준을 충족해야 하고, ISMS-P를 위해서는 개인정보 처리단계별 요구사항 21개를 추가로 취득해야 합니다.
숫자만 봐도 만만치 않죠. 😅
누가 의무적으로 받아야 하나요?
ISMS 인증 의무대상자는 정보통신망법 제47조 2항에 의거하여 ISP 사업자, IDC 사업자, 전년도 매출액 1,500억원 이상의 상급종합병원·1만명 이상 재학생 학교, 정보통신서비스 부문 매출 100억원 이상, 또는 일일평균 이용자 100만명 이상인 법인 또는 공공기관이 해당됩니다.
인증 받으려면 돈이 얼마나 들까요?
ISMS 인증을 최초로 취득하고자 하는 규모가 그리 크지 않은 스타트업의 경우에도 인증을 위한 컨설팅과 보안 솔루션 구축, 서비스를 위한 인프라 구축(및 보안 강화)를 위하여 최소 2~3억원 정도의 지출은 필요합니다.
스타트업 입장에서 2~3억이면 결코 작은 돈이 아닙니다. 인증 하나 받으려고 시리즈A 절반을 써야 할 수도 있다는 얘기입니다. 😨
그래서, 인증 받은 회사는 보안이 철통인가요?
여기서부터가 핵심입니다.
솔직하게 말씀드리겠습니다. 제 생각은 "회사마다 다르다"입니다.
그동안 ISMS 인증심사를 받으면서 합리적인 심사원은 손에 꼽을 수 있을 정도였습니다. 피심사기관의 보안 수준을 점검하고 보안 수준을 높이려는 심사원이 있는가 하면, '결함을 찾는다'는 목적으로 흠을 잡으려고 눈에 불을 켜는 심사원도 있었고, '나는 시간만 때우다 가겠습니다'라는 식의 심사원도 있었습니다.
그리고 더 큰 문제가 있습니다.
클라우드가 도입된 지 10년이 훌쩍 넘은 상황에서, 아직도 심사원에게 VPC가 무엇인지, RDS는 무엇인지, Kubernetes는 무엇이며 어떻게 구성되어 있는지를 설명해야 하는 경우도 있었습니다.
클라우드를 모르는 심사원이 클라우드 인프라를 쓰는 회사의 보안 수준을 제대로 점검할 수 있을까요? 저는 회의적입니다.
SKT, KT, 쿠팡 - ISMS가 없어서 털린 걸까요?
절대 그렇지 않습니다.
이 세 회사는 보안에 투자하는 비용과 구축해놓은 보안 시스템 수준에 있어 열 손가락 안에는 드는 회사들입니다. 이런 회사에서 개인정보 유출 사건이 터졌다면, 다른 어떤 회사에서 비슷한 유출 사건이 터져도 이상하지 않다는 얘기입니다.
섬뜩한 말이지만, 이게 현실입니다.
게임 이론에 따르면 보안 분야는 '공격자 우위'의 게임입니다. 완벽히 물리적으로 분리된 환경 안에 대외적으로 노출된 서비스가 없어야만 완벽한 보안이 이뤄질 수 있는데, 대외적인 노출이 없는 서비스는 존재할 수 없습니다.
결론적으로, 모든 서비스는 언제든 침해 사고의 가능성을 안고 있습니다. 이건 담당자의 실력 문제가 아닙니다.
ISMS 무용론이 나오는 진짜 이유
사고가 발생할 때마다 'ISMS 무용론'이 나오는 가장 큰 이유는, 심사원들의 개인 판단에 의존한 심사 결과 때문이 아닐까 싶습니다. 인증기준은 명확하지만, 인증 기준을 심사원마다 제각각 해석하여 결함 여부를 판단하는 게 과연 객관적일 수 있을까요?
그렇다면 어떻게 바뀌어야 할까요?
일반적인 국내 규제는 'Positive' 방식입니다. 허용되는 것들을 나열하고 그 외엔 허용하지 않는 방식이죠. 반면 미국 같은 국가는 'Negative' 규제를 바탕으로 운영 중입니다. 금지된 것이 아니면 모두 허용하는 방식입니다.
저는 이렇게 생각합니다.
이제는 우리나라도 Positive 방식에서 벗어나, 각 기업의 환경에 맞는 자율적인 보안 체계를 구축하도록 하고, 사고 발생 시 과징금과 책임을 강화하는 방향으로 나아가야 하지 않을까요?
체크리스트를 채우는 보안이 아닌, 실질적으로 작동하는 보안이 필요한 시점입니다. 🔐
'『 정보보안 』' 카테고리의 다른 글
| 🚀 스타트업, 보안에 투자하지 않아도 되는 이유 - 라고요? (0) | 2026.06.28 |
|---|---|
| 🔍 "우리 회사는 사고가 없었는데, 보안 잘하고 있는 거 아닌가요?" (0) | 2026.06.14 |
| 🛡️ 국산 보안 솔루션, 솔직하게 이야기해봅시다 (0) | 2026.06.10 |
| 🔌 망분리, 꼭 필요한 걸까요? (0) | 2026.06.08 |
| 🔐 보안 사고의 책임은 정말 담당자에게 있을까? (0) | 2026.01.11 |