ISMS-P 인증 개선...현장심사 추가 등 까다로워져

출처: https://zdnet.co.kr/view/?no=20250930202043

ISMS-P 인증 개선...현장심사 추가 등 까다로워져

 

ISMS-P의 실효성에 대한 문제가 끊임없이 제기되고 있다. 심지어 심사원을 '알바생'으로 표기하며, 고작 '알바생'이 문서만 띡 보고 보안 인증마크를 주는 게 맞느냐는.. 매우 파격적인 기사도 심심찮게 보인다. 이는 ISMS-P 인증의 본질적인 의미와 보안의 밖에서 보는 ISMS-P 인증의 의미가 너무도 다르기에 발생하는 문제일 것이다. 

 

나는 ISMS-P 인증의 획득은 조직이 보안 수준을 갖추기 위한 최소한의 체계를 갖추었다는 의미라 생각한다. 절대 이것 자체가 현시점의 보안 우수성을 반영하는 게 아니고, 그래서도 아니될 것이다.

 

이는 국방을 생각하면 이해하기 쉽다. 국방과 보안은 공통점이 많다. 방어를 해야 한다는 점, 단 한 순간도 방심해서는 안 된다는 점, 그렇기에 365일 철저한 방어체계를 운영해야 한다는 점, 결국 돈이 많이 들어간다는 점 등에서 말이다. 그리고 우리가 국방력을 평가할 때는 '1년에 국방비가 얼마나 들어가는지', '육·해·공군의 숫자가 몇인지', '최고 수준으로 평가받는 무기는 얼마나 있는지', '전쟁이 일어나면 얼마나 버틸 수 있는지' 등을 따진다.

 

이것을 보안에 대입하면 다음과 같다.

'정보보호에 얼마나 많이 투자하는지'

'정보보호 인력의 숫자가 몇인지'

'최고 수준으로 평가받는 보안 장비 및 솔루션은 얼마나 있는지'

'실제 해킹 공격이 들어온다면 방어는 얼마나 잘 되고, 복구는 바로 이뤄지는지'

 

그런데 ISMS-P를 마치 안전함을 나타내는 지표로 생각을 하니 개선에 대한 목소리가 끊이지 않는 것이다. 물론 개선 방향을 보면 아예 틀린 방향이라고는 할 수 없다. 서면 중심의 심사에서 현장심사 체계도 도입하고, 핵심 항목에 대한 심사도 엄격화할 계획이다. 현장심사에는 취약점 점검, 모의해킹 등 항목이 추가된다는 내용이 있는데, 이는 마치 실질적인 보안에 도움이 되는 것처럼 보이기 때문이다.

 

하지만 장담한다. 지금의 공격들이 '취약점 점검', '모의해킹' 등이 부족해서 생기는 일일까? 그건 절대 아니다. 취약점 점검을 하더라도, 그 안의 내용이 실질적이지 않다면 취약점 점검을 매일 하더라도 이는 의미가 없는 일이다. 모의해킹도 마찬가지다. 모의해킹을 통해서 웹/앱 취약점을 찾아낸다 한들, 그걸 조치한다 한들, 해킹 공격을 막는 데에 실질적인 기여를 할까?

 

취약점 점검을 하다 보면, 예외처리를 하거나 위험 수용을 하는 경우를 너무 많이 접하게 된다. 진정한 위험 관리를 하는 곳은 보기 드물다. 단순 취약점 점검, 모의해킹 횟수를 늘릴 게 아니라, 과연 지금의 취약점 점검, 모의해킹이 과연 실효성이 있는가에 대한 의문을 던져야 한다. 

 

별 생각없이 아무런 예시나 떠올린다면, 공격 표면 관리에 대한 방법론, 웹 로그 관리 방법론, 래터럴 무브먼트에 대한 방법론 등에 대한 증적자료 제시와 훈련 등을 통해 실무에 반영되어있는지 여부를 확인하는 것이 더 중요하지 않을까? 부디 개보위, KISA에서 단순 양적인 변화가 아닌, 질적인 변화가 있기를 바란다.