내년 의무화 ISMS인증, `인증 인력·수준 강화 시급`

관련 통계자료 다운로드 2013년 ISMS 제도 시행으로 달라지는 것들

내년 2월부터 의무화되는 `정보보호관리체계(ISMS) 인증 제도`에 업계의 이목이 집중되고 있지만 아직 ISMS 인증을 수행할 인증심사원이 부족해 ISMS 인증과정에 차질이 빚어질 가능성이 높다는 지적이다. 또 부족한 인증심사원 양성을 위해 급하게 교육을 진행하다보니 심사원의 자질이 자칫 떨어질 수 있다는 우려도 제기되고 있다.

31일 관련 업계에 따르면 전문가들은 내년부터 의무 시행될 ISMS 제도의 성공적인 안착을 위해 인증심사원 수를 늘리고 교육을 강화하는 등 인증심사원 자질을 향상시키기 위한 노력이 필요하다고 지적했다.

현재 ISMS 인증 수행기관인 한국인터넷진흥원(KISA)에서 보유하고 있는 인증심사원은 약 500명 수준이다. KISA는 오는 10월까지 10회에 걸쳐 교육을 실시, 500명의 심사원을 추가로 선발할 예정이라고 밝혔다.

◇인증심사원 확보·자질유지 `관건`=지난해 2월 17일 정보통신망법(정보통신망 이용촉진 및 정보보호 등에 관한 법률) 개정에 따라 기존 `정보보호 안전진단 제도`가 폐지되고, 대신 더 높은 수준의 정보보호관리체계(ISMS) 인증제도로 일원화된다. 8월 중 시행령 개정이 이뤄지면, 10월 경 방송통신위원회는 고시를 개정, 공포할 예정이다.

ISMS 인증이 권장이 아닌 필수요소로 변함에 따라 이를 심사할 인증심사원의 확보가 초미의 관심사다. 이와 관련 올 초부터 KISA는 ISMS 인증심사원을 양성해 현재 500여명의 인증심사원을 보유하고 있다. 심사원은 KISA 내부에서 40시간의 교육을 받고 평가를 통해 발탁된다. KISA는 인증 방법과 절차, 인증심사 기준 해설, 인증 수수료 산정 등을 위한 안내서를 개발해 12월 경 배포할 예정이다. 하지만 KISA의 인력과 예산이 부족해 제도 정착에 어려움이 예상된다는 지적이다.

이경호 고려대학교 정보보호대학원 교수는 “지난해 안전진단대상 292개 기업이 거의 그대로 ISMS 인증 수검 대상자로 이월돼 내년 ISMS 인증대상 기업은 최소 300여개 이상”이라며 “한 팀당 5명 이상의 인증심사원이 필요한데 연말까지 1000여명의 인증심사원이 양성된다 해도 200여개 기업밖에 소화하지 못한다”고 말했다. 때문에 1000명의 인증심사 인력이 전체 가동된다고 해도 내년 ISMS 의무화 대상 기업 수요를 쫓아가기 힘든 실정이다.

◇시행 서두르기보다 정보보호 수준향상에 주목해야=특히 테스트를 받고 인증심사원 자격을 취득했다 하더라도 바로 인증심사에 투입하기에는 무리가 있다. 이들이 실전 훈련을 받고 심사원의 기능을 제대로 수행하기 위해 걸리는 시간을 감안하면 숙련된 인력보유가 시급하다.

업계 전문가들은 인증심사원 자격 취득 시 테스트를 강화하고 사후 교육을 철저히 수행해야 한다고 지적했다. 나아가 KISA의 ISMS 인증제도가 고품질로 유지되고 있는지 관리·감독할 독립적인 기관을 선정하는 등 인증 수준을 향상시킬 제도적 보완장치가 시급하다고 내다봤다.

이에 KISA 측은 부족한 인력과 예산을 확보하기 위해 기획재정부와 상의 중이라고 밝혔으나 재정부의 허가는 요원한 실정이다. 한편 ISMS 제도와 기존 안전진단의 차이점이 잘 알려지지 않은 것도 문제다. 이에 따라 기존 안전진단제도와 ISMS 제도의 차이점 등에 대한 홍보도 시급하다.

김정덕 중앙대 교수는 “ISMS 제도 시행을 급하게 추진하기보다 유예기간을 두고 안정화시키는 것도 하나의 방법”이라며 “가장 중요한 것은 기업의 정보보호 수준을 향상시켜 취약성을 없애는 것이라는 점을 잊어서는 안 된다”고 지적했다.


2013년 ISMS 제도 시행으로 달라지는 것들

내년 의무화 ISMS인증, `인증 인력·수준 강화 시급`

장윤정기자 linda@etnews.com