[국정자원 화재] '전산망 마비' 국정자원, 불과 한 달 전 ISMS 인증 통과했다

[이코노믹데일리] 초유의 국가 전산망 마비 사태를 일으킨 국가정보자원관리원(국정자원)이 화재 발생 불과 한 달 전에 재해복구 항목이 포함된 ‘정보보호관리체계(ISMS)’ 인증을 통과한 것으로 드러나면서 파문이 일고 있다. 

‘절반의 이중화’와 ‘백업 미비’ 등 총체적 부실이 드러난 상황에서 정부의 핵심 보안 인증 제도가 사실상 ‘무용지물’이었음이 증명된 셈이다. 이는 인증 제도의 신뢰성과 실효성에 대한 근본적인 의문을 제기한다.

국회 과학기술정보방송통신위원회 소속 이해민 의원(조국혁신당)에 따르면 국정자원은 정부 기관으로서 의무 대상이 아님에도 자율적으로 ISMS 인증을 신청해 지난 9월 3일 인증을 취득했다. ISMS 인증은 한국인터넷진흥원(KISA)이 주관하며 △재해·재난 대비 안전조치 △재해복구 시험 및 개선 △백업 및 복구관리 등 총 80개의 엄격한 심사 항목을 평가한다.

하지만 이번 화재로 드러난 국정자원의 현실은 ‘인증’과는 거리가 멀었다. 애초에 실시간 서비스 전환이 불가능한 ‘절반의 이중화’ 시스템이었고 심지어 공무원 업무 자료가 담긴 G드라이브(공무원용 클라우드 저장장치)는 백업조차 제대로 되지 않아 데이터가 소실되는 사태까지 벌어졌다. 재해복구 체계의 가장 기본적인 항목조차 지켜지지 않았음에도 ISMS 인증 심사는 이를 걸러내지 못하고 ‘적정’ 판정을 내린 것이다.

◆ “어디까지 신뢰할 수 있나”…제도 개선 목소리

이러한 상황에 대해 이해민 의원은 강하게 비판했다. 그는 “이중화·이원화는커녕 백업도 제대로 하지 않은 상황임에도 이러한 재난·재해 대비 수준을 ‘적정’하다고 판정해준 ISMS 인증 제도를 과연 어디까지 신뢰할 수 있을지 심각한 의문이 든다”고 지적했다.

이번 사태는 ISMS 인증이 실제 운영 실태를 면밀히 들여다보는 실질적인 검증이 아닌 서류상의 요건만 맞추면 통과할 수 있는 형식적인 절차로 전락했을 수 있다는 심각한 의혹을 낳고 있다. KT, 롯데카드 등 최근 대형 보안 사고를 겪은 기업 대부분이 ISMS 인증을 보유하고 있었다는 점도 이러한 의혹을 뒷받침한다.

이 의원은 근본적인 제도 개선을 촉구했다. 그는 “정부는 형식적인 인증 건수 늘리기에 급급할 것이 아니라 실제 보안과 재해복구 수준을 담보할 수 있는 근본적인 개선책을 시급히 마련해야 한다”고 강조했다. 이는 체크리스트 위주의 서류 심사를 넘어 실제 해킹이나 재난 시나리오를 기반으로 한 실질적인 모의 훈련과 검증 체계를 도입해야 한다는 목소리로 이어진다.