한국에서 일정 규모 이상의 기업은 ISMS(정보보호 관리체계) 인증이 법적 의무다. 정보통신망법에 따라 매출액, 이용자 수 등 기준을 충족하면 반드시 받아야 한다. 인증을 받지 않으면 과태료가 부과된다. 이렇게 강제되는 인증이니 당연히 실효성이 있을 거라고 생각하기 쉽다. 하지만 현실은 다르다. ISMS 인증을 받은 기업에서 대형 침해사고가 터지고, 인증 심사를 통과한 직후에 개인정보가 유출되는 일이 반복된다. 도대체 이 인증이 무엇을 보장하는 걸까.
글로벌 보안 인증 프레임워크는 어떻게 다른가
ISMS의 문제를 이해하려면 먼저 글로벌에서 통용되는 보안 인증 체계들과 비교해볼 필요가 있다.
ISO 27001은 국제표준화기구(ISO)에서 제정한 정보보안 관리체계 표준이다. 전 세계적으로 인정받고, 국경을 넘어 통용된다. 핵심 특징은 위험 기반 접근(Risk-based Approach)이다. 조직이 자신의 맥락에서 위험을 식별하고, 그에 맞는 통제를 선택하고 구현한다. 표준은 114개의 통제 항목을 제시하지만, 모든 항목을 똑같이 적용하라고 강제하지 않는다. 조직의 위험 평가 결과에 따라 어떤 통제를 적용하고 어떤 통제를 제외할지 정당화하면 된다. 유연성이 있다.
SOC 2는 미국공인회계사협회(AICPA)에서 개발한 프레임워크다. 특히 SaaS 기업들 사이에서 사실상의 표준이 됐다. SOC 2의 특징은 다섯 가지 신뢰 서비스 원칙(Trust Services Criteria)을 기반으로 한다는 점이다. 보안, 가용성, 처리 무결성, 기밀성, 프라이버시. 조직은 자신에게 해당하는 원칙을 선택하고, 각 원칙에 대한 통제를 설계하고 운영한다. 여기서 중요한 건 Type I과 Type II의 구분이다. Type I은 특정 시점에 통제가 적절하게 설계되었는지를 평가한다. Type II는 일정 기간(보통 6개월~1년) 동안 통제가 실제로 효과적으로 운영되었는지를 평가한다. 서류만 잘 갖춰놓으면 되는 게 아니라, 실제로 작동하는지를 본다.
SOC 3은 SOC 2의 요약 버전이다. SOC 2 리포트는 NDA를 맺은 고객에게만 공유하는 게 일반적인데, SOC 3은 일반에 공개할 수 있다. 마케팅 목적으로 “우리는 SOC 2 인증을 받았습니다”라고 말하면서 SOC 3 리포트를 웹사이트에 게시하는 식이다.
이 프레임워크들의 공통점이 있다. 원칙 기반(Principle-based)이라는 것이다. “이것을 해라”가 아니라 “이 목표를 달성해라, 방법은 네가 정해라”라는 접근이다. 조직의 규모, 산업, 기술 스택, 위험 프로파일에 따라 구현 방법이 달라질 수 있음을 인정한다. 5명짜리 스타트업과 5만 명짜리 대기업이 같은 통제를 같은 방식으로 구현할 수 없다는 상식을 반영한다.
ISMS의 체크리스트 접근: 맥락 없는 통제
한국의 ISMS는 다르다. 인증기준은 80개 통제항목, 201개 세부 점검항목으로 구성되어 있다. 문제는 이게 체크리스트로 작동한다는 것이다. 심사원이 항목별로 증적(증거 자료)을 요구하고, 있으면 통과, 없으면 결함. 항목의 취지나 조직의 맥락보다 증적의 존재 여부가 중요해진다.
예를 들어보자. “정보시스템의 접근권한은 업무 목적에 따라 최소한의 범위로 부여하여야 한다”는 항목이 있다. 합리적인 원칙이다. 그런데 심사에서는 이게 어떻게 검증될까. 접근권한 신청서가 있는가, 승인 절차가 문서화되어 있는가, 정기적으로 접근권한을 검토한 기록이 있는가. 문서가 존재하면 통과다.
하지만 그 문서가 실제 운영을 반영하는지는 별개 문제다. 접근권한 신청서가 있어도 실제로는 모든 개발자가 프로덕션 DB에 직접 접근할 수 있을 수 있다. 정기 검토 기록이 있어도 형식적으로 “이상 없음”만 찍고 넘어갈 수 있다. 체크리스트는 통과했지만 실제 보안은 취약한 상태. 이게 ISMS 인증의 현실이다.
클라우드 네이티브 환경에서 이 괴리는 더 심해진다. ISMS 체크리스트는 기본적으로 온프레미스, 경계 기반 보안을 전제로 설계됐다. “전산실 출입 통제”, “서버실 물리적 보안” 같은 항목들이다. AWS나 GCP를 쓰는 회사에 서버실이 어디 있나. 컨테이너 오케스트레이션, 서버리스, 마이크로서비스 아키텍처에 대한 통제 항목은 빈약하거나 없다. 현대적 인프라를 운영하는 기업일수록 ISMS 심사는 본질과 동떨어진 형식적 절차가 된다.
업데이트되지 않는 체크리스트
기술은 빠르게 변한다. 5년 전의 보안 위협과 오늘의 보안 위협은 다르다. 공격 기법이 진화하고, 인프라 환경이 바뀌고, 새로운 취약점이 발견된다. 보안 프레임워크가 이 변화를 따라가지 못하면 의미가 없다.
ISMS 인증기준은 얼마나 자주 업데이트될까. 큰 개정은 몇 년에 한 번 있다. 그 사이에 클라우드 네이티브가 주류가 됐고, 제로 트러스트 아키텍처가 등장했고, AI/ML 파이프라인이 보편화됐고, 소프트웨어 공급망 공격이 주요 위협으로 부상했다. SolarWinds 사태, Log4j 취약점, 최근의 각종 공급망 공격들. ISMS 체크리스트가 이런 현실을 반영하고 있을까.
ISO 27001도 완벽하지 않지만, 2022년 개정에서 클라우드 서비스 보안, 위협 인텔리전스, 데이터 유출 방지 같은 현대적 통제를 추가했다. SOC 2는 AICPA가 Trust Services Criteria를 지속적으로 업데이트하고, 클라우드 환경에 특화된 보충 가이드를 발행한다. 한국의 ISMS는 이런 속도를 따라가지 못한다.
결과적으로 기업들은 과거의 위협에 대응하는 통제를 구현하느라 자원을 쓰고, 현재의 위협에 대응하는 데는 소홀해진다. 체크리스트에 없는 건 안 해도 되니까. 심사에서 안 보니까. 인증은 받았지만 실제로 안전하지 않은 상태가 된다.
컨설팅이라는 외주화: 보안의 책임은 누구에게
ISMS 인증을 준비하는 대부분의 기업은 컨설팅 업체를 고용한다. 직접 준비하기엔 체크리스트가 방대하고, 어떤 증적이 필요한지 알기 어렵고, 심사 경험이 없으니까. 컨설팅 업체는 이 과정을 대행한다. 정책 문서를 작성해주고, 필요한 절차를 설계해주고, 증적을 준비해주고, 심사를 안내해준다.
여기서 본질적인 문제가 발생한다. 보안이 외주화된다.
컨설팅 업체가 만들어준 정책 문서가 있다. “정보보안 정책”, “접근통제 정책”, “침해사고 대응 절차”. 문서는 훌륭하다. 하지만 이 문서를 실제로 임직원들이 읽었는지, 이해했는지, 따르고 있는지는 다른 문제다. 컨설팅 업체가 “이사회 보안 보고” 템플릿을 만들어주고, 심지어 회의록까지 작성해준다. 형식적으로는 이사회가 보안을 감독하고 있는 것처럼 보인다. 실제로 이사들이 보안 위험을 이해하고 의사결정에 반영하고 있는지는 별개다.
이런 방식으로 인증을 받으면 어떻게 될까. 기업 내부에 보안 역량이 축적되지 않는다. 컨설팅 업체가 떠나면 그 문서들은 서랍 속에서 잠자게 된다. 다음 심사 때 다시 컨설팅 업체를 부르고, 문서를 업데이트하고, 증적을 보완한다. 1년 주기로 반복되는 이 과정에서 기업이 얻는 건 인증서 한 장이다. 실제 보안 수준 향상이 아니라.
더 심각한 건 컨설팅 업체와 인증 심사 기관 사이의 관계다. ISMS 인증 심사를 수행하는 기관은 KISA가 지정한 인증기관들이다. 컨설팅 업체들은 이 인증기관들과 오랜 관계를 맺고 있다. 같은 업계에서 오래 일하다 보면 서로 안다. 컨설팅을 잘 받은 기업은 심사도 수월하게 통과한다. 이게 이해충돌이 아니면 뭔가.
물론 직접적인 부정이 있다는 얘기는 아니다. 하지만 구조적으로 컨설팅 업체는 고객사가 인증을 받게 하는 게 목표이고, 인증기관은 심사 건수가 사업이다. 엄격한 심사로 인증을 거부하면 다음에 그 기관으로 심사를 맡기겠는가. 모두의 이해관계가 “통과”를 향해 정렬되어 있다. 실제 보안 수준 향상은 누구의 인센티브에도 없다.
“해당 시점” 준수의 허점: 24시간 보안은 없다
ISMS 심사는 언제 이루어지나. 1년에 한 번, 심사원이 며칠간 방문해서 증적을 확인한다. 그게 전부다. 심사 시점에 문서가 있고, 그 시점에 통제가 구현되어 있으면 통과다. 심사가 끝나고 다음 날부터 어떻게 운영되는지는 아무도 모른다.
이게 현대 보안의 현실과 얼마나 동떨어져 있는지 생각해보자. 보안 위협은 24시간 365일 발생한다. 새로운 취약점은 매일 발견된다. 설정 오류는 언제든 일어날 수 있다. 직원이 실수로 크리덴셜을 GitHub에 푸시할 수 있다. S3 버킷을 퍼블릭으로 열어놓을 수 있다. IAM 정책을 과도하게 열어줄 수 있다. 이런 일들은 심사 시점이 아니라 일상에서 발생한다.
1년에 한 번 스냅샷을 찍어서 “이 시점에는 괜찮았습니다”라고 인증해주는 게 무슨 의미가 있나. 심사 직전에 급하게 정리하고, 심사 끝나면 다시 느슨해지는 패턴이 반복된다. 심사 시즌이 되면 “증적 모으기”에 바빠지고, 심사가 끝나면 잊어버린다. 보안이 연중 상시 프로세스가 아니라 연례 행사가 된다.
기술적으로 이 문제는 해결 가능하다. 현대 클라우드 환경에서는 보안 상태를 실시간으로 모니터링하는 게 어렵지 않다. AWS Config, Azure Policy, GCP Security Command Center 같은 도구들이 있다. 클라우드 인프라의 설정 상태를 지속적으로 스캔하고, 정책 위반이 발생하면 즉시 알림을 보내고, 자동으로 교정할 수도 있다. Vanta, Drata, Secureframe 같은 컴플라이언스 자동화 플랫폼들은 SOC 2, ISO 27001 통제 항목과 실제 시스템 상태를 실시간으로 매핑하고, 지속적으로 준수 여부를 모니터링한다.
이런 도구들을 쓰면 “해당 시점”이 아니라 “항상” 준수 여부를 확인할 수 있다. 접근권한이 최소 권한 원칙을 따르고 있는지 IAM 정책을 자동으로 분석할 수 있다. 암호화가 적용되어 있는지 스토리지 설정을 실시간으로 체크할 수 있다. 로그가 제대로 수집되고 있는지 로깅 파이프라인을 모니터링할 수 있다. 체크리스트 항목 상당수가 API로 자동 검증 가능하다.
문제는 한국 인프라 환경에서 이런 자동화가 매우 제한적이라는 것이다. 글로벌 클라우드를 쓰는 기업은 그나마 낫다. 하지만 많은 한국 기업들이 국내 클라우드나 온프레미스를 쓰고, 레거시 시스템을 운영한다. API가 없거나 빈약하다. 자동화 도구가 연동되지 않는다. 수작업으로 증적을 모으고, 수작업으로 문서를 만들고, 수작업으로 심사를 준비한다.
하지만 이건 변명이다. 인프라가 레거시라서 자동화가 안 된다고? 그럼 인프라를 현대화해야 하는 거 아닌가. 자동화가 안 되는 환경이라면 그 자체가 보안 위험이다. 수작업에 의존하면 실수가 발생하고, 일관성이 떨어지고, 확장이 안 된다. 자동화 가능한 환경으로 전환하는 것 자체가 보안 개선이다.
더 솔직하게 말하면, 기술적으로 충분히 가능한데 아무도 할 이유가 없는 것이다. 인증기관 입장에서 실시간 모니터링을 요구하면 심사가 복잡해진다. 기존 방식대로 1년에 한 번 방문해서 문서 확인하는 게 편하다. 컨설팅 업체 입장에서도 마찬가지다. 고객사에 자동화 도구 도입을 권하면 컨설팅 비용을 정당화하기 어려워진다. 기업 입장에서도 “어차피 심사 때만 보면 되는데” 왜 추가 비용을 들여서 상시 모니터링을 구축하나.
결국 모든 이해관계자가 현상 유지에 만족한다. 1년에 한 번 형식적으로 심사하고, 인증서 발급하고, 다음 해에 또 반복한다. 기술이 발전해도 심사 방식은 그대로다. 24시간 365일 보안 위협이 있는데, 1년에 며칠 심사로 보안을 보장한다고 말한다. 이게 말이 되나.
아무도 책임지지 않는 구조
ISMS 인증을 받은 기업에서 대형 침해사고가 발생하면 어떻게 될까. 인증기관이 책임을 지는가. 아니다. KISA가 책임을 지는가. 아니다. 인증은 “해당 시점에 인증기준을 충족했음”을 확인하는 것이지, 보안사고가 발생하지 않음을 보장하는 게 아니라는 논리다.
법적으로 이해는 된다. 어떤 인증도 100% 보안을 보장할 수 없다. 하지만 생각해보자. ISMS는 선택이 아니라 법적 의무다. 법으로 강제하면서, 그 인증을 부여하는 기관은 아무 책임도 지지 않는다. 기업 입장에서는 비용과 시간을 들여 인증을 받아야 하고, 인증을 받아도 사고가 나면 모든 책임은 자기가 진다. 인증기관과 KISA는 인증 사업으로 수익을 얻으면서 위험은 전혀 부담하지 않는다.
이게 공정한 구조인가. 법으로 인증을 강제하려면, 그 인증이 실제로 보안 수준을 담보해야 하고, 담보하지 못했을 때 인증을 부여한 기관도 어느 정도 책임을 져야 하지 않을까. 최소한 인증 심사가 부실했다면, 심사 기관에 제재가 있어야 하지 않을까.
현재 구조에서 인증기관의 인센티브는 심사를 많이 하는 것이지, 엄격하게 하는 게 아니다. 심사를 엄격하게 해서 인증을 거부하면 손해고, 적당히 통과시켜주면 고객도 행복하고 다음 심사도 맡게 된다. 이 구조에서 ISMS 인증이 실효성을 갖기를 기대하는 건 순진한 생각이다.
Trust Center의 부재: 폐쇄적인 보안 문화
해외 SaaS 기업들의 웹사이트를 보면 Trust Center 또는 Security 페이지가 있다. 거기서 SOC 2 리포트 요약, 보안 인증 현황, 데이터 처리 방식, 인프라 보안 아키텍처, 침해사고 대응 절차 등을 공개한다. 고객이 별도로 요청하지 않아도 기본적인 보안 정보를 투명하게 볼 수 있다. Vanta, Drata, Secureframe 같은 플랫폼들이 이런 Trust Center를 자동으로 생성하고 실시간으로 업데이트해주는 서비스를 제공한다.
왜 이렇게 할까. B2B SaaS 시장에서 보안은 구매 의사결정의 핵심 요소이기 때문이다. 엔터프라이즈 고객은 벤더의 보안 수준을 평가하고, 자사 보안 요건에 맞는지 확인하고, 리스크를 판단한다. 보안 정보를 선제적으로 공개하는 건 영업에 도움이 된다. 일일이 보안 질의서에 답변하는 것보다 효율적이고, 투명성 자체가 신뢰를 만든다.
크리밋은 Delve를 통해 Trust Center를 공개하고 있다. 보안 현황, 인증, 정책, 서브프로세서 목록, 침투 테스트 결과 요약까지. 24시간 언제든 누구나 볼 수 있다. 고객이 요청하기 전에 먼저 보여준다. 이게 현대적인 B2B 보안의 방식이다.
한국은 어떤가. ISMS 인증을 받은 기업 중 보안 현황을 공개하는 곳이 몇이나 될까. 인증서 이미지를 웹사이트에 걸어놓는 정도가 전부다. 인증 범위가 뭔지, 어떤 통제를 구현했는지, 실제로 어떻게 운영하는지는 알 수 없다. 고객이 보안 질의서를 보내면 그때서야 답변한다. 그것도 마지못해.
이 폐쇄성은 어디서 올까. 보안 정보를 공개하면 공격자에게 힌트를 준다는 생각이 있다. 틀린 말은 아니지만 과장됐다. 공격자는 어차피 자기 방식으로 정보를 수집한다. 공개된 Trust Center 때문에 공격당했다는 사례는 들어본 적 없다. 오히려 보안에 자신이 없으니까 공개를 꺼리는 것 아닐까.
ISMS가 체크리스트 통과에 집중하는 문화를 만들었다는 점도 한몫한다. 심사 통과가 목표이지, 실제 보안 수준 향상이 목표가 아니니까. 보안 현황을 공개해서 외부 검증을 받겠다는 생각 자체가 없다. 인증서만 있으면 되니까.
정부 주도 보안 인증의 구조적 한계
여기서 한 발 더 들어가보자. ISMS의 문제는 단순히 체크리스트가 구식이라거나 심사가 형식적이라는 차원을 넘어선다. 더 근본적인 문제가 있다. 정부가 보안 인증 체계를 독점하고 있다는 것 자체가 문제다.
ISO 27001과 SOC 2는 어떻게 운영되는지 보자. ISO 27001은 국제표준화기구(ISO)가 표준을 제정하지만, 인증 심사는 전 세계 수많은 민간 인증기관들이 수행한다. BSI, Bureau Veritas, DNV, TÜV 같은 글로벌 인증기관들이 경쟁한다. 심사 품질이 낮으면 시장에서 평판이 떨어지고, 고객이 다른 인증기관으로 간다. 경쟁이 품질을 담보한다.
SOC 2는 더 흥미롭다. AICPA가 프레임워크를 만들었지만, 실제 심사는 CPA 펌들이 수행한다. Big 4 회계법인부터 중소형 펌까지 수많은 선택지가 있다. 그리고 SOC 2 생태계 주변에 Vanta, Drata, Secureframe, Thoropass, Delve 같은 스타트업들이 폭발적으로 성장했다. 컴플라이언스 자동화, 지속적 모니터링, Trust Center 생성, 증적 자동 수집. 민간 시장이 만들어낸 혁신이다. 이 회사들의 기업가치는 수억 달러에서 수십억 달러에 달한다. 보안 컴플라이언스가 하나의 산업이 된 것이다.
한국은 어떤가. ISMS는 KISA가 인증기관을 지정하고, 지정된 기관만 심사를 수행할 수 있다. 경쟁이 제한적이다. 새로운 인증기관이 시장에 진입하려면 정부의 지정을 받아야 한다. 기존 플레이어들과 정부의 관계가 공고하다. 신규 진입의 장벽이 높다.
결과적으로 혁신이 일어나지 않는다. Vanta 같은 컴플라이언스 자동화 플랫폼이 한국에서 성장할 이유가 없다. 어차피 ISMS 심사는 정해진 인증기관이 정해진 방식으로 수행한다. 자동화 도구를 도입해도 심사 방식이 바뀌지 않는다. 증적을 API로 자동 수집해도 심사원은 여전히 문서를 요구한다. 시장이 없으니 스타트업이 없고, 스타트업이 없으니 혁신이 없다.
KISA는 경쟁자가 없다. 심사 품질을 높이거나 새로운 방식을 도입할 시장적 압력이 전혀 없다. 기업들은 ISMS를 받아야 하는 법적 의무가 있으니 어쨌든 인증을 받는다. 심사가 형식적이어도, 체크리스트가 구식이어도, 선택지가 없다. 다른 인증으로 대체할 수도 없다. ISO 27001을 아무리 잘 받아도 ISMS는 별도로 받아야 한다. 독점 구조에서 품질 개선의 인센티브는 없다.
정책과 집행의 이해충돌도 있다. KISA는 정보보호 정책을 수립하는 기관이면서 동시에 ISMS 인증 사업을 운영한다. 규제를 강화하면 인증 대상 기업이 늘어나고, 인증 사업이 커진다. 정책 기관이 동시에 사업자인 구조에서 정책의 중립성을 기대하기 어렵다. 인증 기준을 엄격하게 만들면 심사가 어려워지고 비용이 올라가니 기업들이 반발한다. 느슨하게 만들면 심사는 쉬워지지만 인증의 의미가 퇴색한다. 어느 쪽이든 KISA의 사업에는 영향을 미친다.
책임 회피 구조도 정부 주도이기 때문에 가능하다. 민간 인증기관이라면 부실 심사로 인해 고객사가 침해사고를 당하면 소송 리스크가 있다. 평판 리스크도 있다. “저 인증기관한테 심사받으면 안 돼”라는 시장의 평가가 사업에 직접 영향을 미친다. 하지만 정부 기관은 이런 압력에서 상대적으로 자유롭다. ISMS 인증받은 기업이 털려도 KISA가 책임지는 일은 없다. 지정받은 인증기관이 심사를 부실하게 해도 지정이 취소되는 일은 드물다. 시장의 징벌 메커니즘이 작동하지 않는다.
갈라파고스화는 필연적이다. 정부가 만든 한국만의 체계이기 때문에 국제적 호환이 안 된다. ISO 27001과 SOC 2는 민간 주도로 만들어졌고, 전 세계 어디서나 통용된다. 미국 회사가 유럽 고객에게 SOC 2 리포트를 보여주면 된다. 유럽 회사가 아시아 고객에게 ISO 27001 인증서를 보여주면 된다. 국경을 넘어 신뢰가 이동한다. ISMS는 한국에서만 의미가 있다. 한국 기업이 해외에 나가면 ISO나 SOC를 다시 받아야 하고, 해외 기업이 한국에 들어오면 ISMS를 새로 받아야 한다. 정부가 “우리만의 체계”를 고집하는 한 이 비효율은 계속된다.
가장 근본적인 문제는 이것이다. 정부는 보안 혁신을 주도할 수 없다. 보안 위협은 시장보다 빠르게 진화한다. 새로운 공격 기법, 새로운 인프라 환경, 새로운 취약점. 이런 변화에 대응하려면 민첩하게 움직여야 한다. 정부 기관이 민첩하게 움직이는 걸 본 적 있는가. 체크리스트를 업데이트하려면 고시를 개정해야 하고, 고시를 개정하려면 행정 절차를 거쳐야 하고, 행정 절차에는 시간이 걸린다. 그 사이에 위협은 진화하고, 기술은 발전하고, 체크리스트는 구식이 된다.
반면 민간 시장은 빠르다. SOC 2 생태계에서 클라우드 보안이 중요해지자 AICPA는 클라우드 보충 가이드를 발행했고, Vanta 같은 플랫폼은 AWS, GCP, Azure 연동을 내놓았고, 기업들은 클라우드 환경에 맞는 통제를 구현하기 시작했다. 시장의 수요가 공급을 만들고, 경쟁이 혁신을 촉진했다. 정부 주도 체계에서는 이런 일이 일어나지 않는다. 수요가 있어도 정부가 움직이지 않으면 공급이 없다. 경쟁이 없으니 혁신도 없다.
정부 주도의 보안 혁신은 그만해야 한다. 정부의 역할은 표준을 만들고 강제하는 게 아니라, 민간 시장이 건강하게 작동하도록 환경을 조성하는 것이어야 한다. ISO 27001이나 SOC 2 같은 글로벌 스탠다드를 인정하고, 민간 인증기관들이 경쟁하게 하고, 컴플라이언스 자동화 스타트업들이 성장할 수 있는 시장을 만들어야 한다. 정부가 직접 인증을 운영하고, 체크리스트를 만들고, 심사 기관을 지정하는 방식은 한계에 도달했다.
글로벌 스탠다드와의 괴리
한국 기업이 해외 고객을 상대하려면 어떻게 될까. ISMS 인증서를 보여주면 될까. 해외 고객은 ISMS가 뭔지 모른다. ISO 27001이나 SOC 2를 요구한다. 결국 ISMS와 별도로 글로벌 인증을 또 받아야 한다. 비용이 이중으로 든다.
역으로 해외 기업이 한국에 진출하면 어떻게 될까. ISO 27001, SOC 2 Type II를 다 갖고 있어도 한국 법에 따라 ISMS를 또 받아야 한다. 글로벌 스탠다드보다 더 엄격해서가 아니다. 그냥 한국만의 별도 체계이기 때문이다. 국제적 상호인정이 안 된다.
ISMS-P(개인정보보호 관리체계 인증)까지 가면 더 복잡해진다. GDPR 준수, ISO 27701, SOC 2 Privacy Criteria를 다 갖춰도 ISMS-P는 별도다. 한국 개인정보보호법의 특수성을 반영한다는 명목이지만, 실제로는 글로벌 기업에게 진입 장벽이 된다. 한국 기업에게는 해외 진출 시 추가 비용이 된다.
물론 각 나라가 자국 상황에 맞는 보안 프레임워크를 가질 수 있다. 하지만 글로벌 스탠다드와의 상호인정, 또는 최소한의 호환성은 있어야 하지 않을까. ISO 27001 인증을 받으면 ISMS 심사 일부를 면제해준다든지, SOC 2 리포트를 ISMS 증적으로 인정해준다든지. 이런 유연성이 없다.
그래서 ISMS가 의미 없다는 말인가
ISMS 자체가 나쁜 건 아니다. 정보보호 관리체계를 수립하고, 정기적으로 점검하고, 지속적으로 개선하라는 취지는 옳다. 문제는 실행이다.
체크리스트 기반 심사가 형식적 준수를 유도한다. 컨설팅 외주화가 내부 역량 축적을 막는다. 1년에 한 번 “해당 시점” 심사로는 상시 보안을 검증할 수 없다. 기술적으로 가능한 자동화와 실시간 모니터링은 아무도 도입하지 않는다. 인증기관의 책임 부재가 심사 품질을 떨어뜨린다. 느린 업데이트가 현대적 위협에 대응하지 못하게 한다. 폐쇄적 문화가 투명성과 외부 검증을 차단한다. 글로벌 호환성 부재가 이중 비용을 발생시킨다.
이 모든 게 합쳐져서 ISMS는 “보안을 위한 인증”이 아니라 “인증을 위한 인증”이 됐다. 법적 의무니까 받는다. 받으면 면책이 된다고 생각한다(실제로는 안 되지만). 실제 보안 수준 향상은 부차적이다.
무엇이 바뀌어야 하는가
원칙 기반 접근으로 전환해야 한다. 201개 세부 점검항목을 일일이 체크하는 대신, 핵심 보안 원칙을 제시하고 조직이 자신의 맥락에 맞게 구현하도록 해야 한다. “접근권한을 최소화해라”가 아니라 “접근권한 관리를 통해 어떤 위험을 어떻게 통제하고 있는지 보여라.” 방법은 조직이 정하고, 심사는 그 방법이 목표를 달성하는지를 평가한다.
지속적 준수 검증 체계를 도입해야 한다. 1년에 한 번 스냅샷 심사가 아니라, 상시 모니터링과 지속적 검증이 가능한 체계로 전환해야 한다. 클라우드 환경에서는 API를 통해 보안 설정을 실시간으로 검증할 수 있다. 자동화 도구 연동을 인정하고, 지속적 준수 증거를 심사에 활용할 수 있어야 한다. 기술적으로 가능한데 제도가 따라가지 못하는 상황을 바꿔야 한다.
인증기관의 책임을 강화해야 한다. 인증을 부여한 후 일정 기간 내에 중대한 침해사고가 발생하면, 심사가 적절했는지 소급 검토하는 메커니즘이 필요하다. 부실 심사가 확인되면 인증기관에 제재가 있어야 한다. 인증기관이 “통과시켜주는 것”이 아니라 “보안을 검증하는 것”이 자신의 역할임을 인식하게 만들어야 한다.
컨설팅과 심사의 분리를 명확히 해야 한다. 동일 기업이 컨설팅과 심사를 함께 수행하거나, 컨설팅 업체와 심사 기관이 사실상 연결되어 있는 관행을 끊어야 한다. 회계 감사에서 감사인 독립성이 중요하듯, 보안 인증에서도 심사 독립성이 보장되어야 한다.
체크리스트를 현대화하고 지속적으로 업데이트해야 한다. 클라우드 네이티브, 컨테이너, 서버리스, API 보안, 공급망 보안, AI/ML 파이프라인 보안. 현대적 기술 환경을 반영하는 통제 항목이 필요하다. 몇 년에 한 번 대개정이 아니라, 연 단위로 보충 가이드를 발행하고 새로운 위협에 대응하는 통제를 추가해야 한다.
글로벌 스탠다드와의 호환성을 확보해야 한다. ISO 27001 인증을 받은 기업은 ISMS 심사에서 중복 항목을 면제받을 수 있어야 한다. SOC 2 리포트를 ISMS 증적으로 인정해야 한다. 한국 기업의 해외 진출과 해외 기업의 한국 진입 모두에 이중 비용이 발생하지 않도록 해야 한다.
정부의 역할을 재정의해야 한다. 정부가 직접 인증 체계를 운영하고 심사 기관을 지정하는 방식에서 벗어나야 한다. 글로벌 스탠다드를 수용하고, 민간 인증기관들이 경쟁하는 시장을 만들어야 한다. 정부의 역할은 최소한의 보안 기준을 제시하고 민간 시장이 건강하게 작동하도록 감독하는 것이어야 한다. 표준을 직접 만들고, 체크리스트를 직접 관리하고, 인증 사업을 직접 운영하는 건 정부가 할 일이 아니다.
투명성 문화를 장려해야 한다. Trust Center 공개를 의무화하라는 건 아니지만, 공개하는 기업에 인센티브를 주는 방법이 있다. 예를 들어 보안 현황을 공개하고 외부 검증을 받는 기업은 심사 주기를 늘려준다든지. 폐쇄적 문화를 깨고 자발적 투명성이 경쟁력이 되는 환경을 만들어야 한다.
ISMS 인증 제도가 만들어진 취지는 이해한다. 보안 관리체계의 기본 뼈대를 세우고, 정기적으로 점검하고, 지속적으로 개선하게 하려는 것. 법적 강제 없이는 보안 투자를 소홀히 하는 기업들이 많으니까. 의도는 좋았다.
하지만 의도와 결과는 다르다. 체크리스트 기반 형식적 심사, 컨설팅 외주화, 해당 시점 준수만 보는 스냅샷 심사, 기술적으로 가능한 자동화의 부재, 책임 없는 인증기관, 느린 업데이트. 이 모든 게 합쳐져서 ISMS는 보안을 위한 인증이 아니라 인증을 위한 인증이 됐다. 기업들은 비용을 들여 인증을 받지만 실제 보안 수준은 그대로다. 인증서만 늘어난다.
진짜 보안은 체크리스트 통과가 아니다. 위협을 이해하고, 위험을 평가하고, 적절한 통제를 설계하고, 실제로 운영하고, 지속적으로 개선하는 것이다. 그리고 그 과정이 24시간 365일 이루어져야 한다. 1년에 며칠 심사로 보장되는 게 아니다. 인증 제도가 이 과정을 촉진해야지, 방해하면 안 된다. ISMS가 그 역할을 하려면 지금의 구조적 문제들을 직시하고 바꿔야 한다. 인증 기관만의 문제가 아니다. 제도를 설계하고 운영하는 정부, 심사를 수행하는 기관, 컨설팅을 제공하는 업체, 인증을 받는 기업 모두가 함께 바꿔야 한다.
체크리스트를 통과하는 게 목표가 아니라, 실제로 안전해지는 게 목표임을 잊지 말자.
Ben DH Kim - Notes from Building Cyber Security Startup 
Leave a comment