[서울이코노미뉴스 박희만 기자] 정부가 기존에 자율 운영되던 ISMS-P(정보보호 및 개인정보보호 관리체계) 인증을 의무화하기로 하면서, 통신사들의 전면적인 보안투자 확대가 불가피해졌다.
전문가들은 통신사들이 보안 운영전반을 이전보다 한층 정교하게 구축해야 하는 만큼, 인력·시스템·운영비용 전반에서 상당한 부담이 발생할 것으로 전망했다.
이 과정에서 CISO(정보보호최고책임자)뿐 아니라 CPO(개인정보보호책임자)의 권한과 책임을 강화해 지배구조를 재정비해야 한다는 지적이다.
8일 업계에 따르면 과학기술정보통신부와 개인정보보호위원회가 지난 6일 발표한 ‘인증 실효성 강화 제도개편안’은 통신사·대규모 플랫폼 등 국민 영향력이 큰 주요 개인정보처리시스템에 대해 ISMS-P 인증을 의무화하고, 사전·사후 심사를 강화하는 내용을 담고 있다.
최근 ISMS 인증을 받은 기업에서도 잇따라 개인정보 유출사고가 발생하면서 기존 인증체계의 실효성에 대한 비판이 커진 데 따른 조치이다.
정부는 유출사고가 발생한 인증기업을 대상으로 이달부터 현장점검을 진행하고, 내년 1분기 관련고시 개정을 통해 단계적 시행에 들어갈 계획이다.
이에 따라 통신 3사의 내년 보안 로드맵과 투자계획도 재정비가 불가피해졌다.
SK텔레콤·KT·LG유플러스가 향후 5년간 2조4000억원 규모의 투자를 예고했지만, 보다 정교해진 보안기준을 충족하기 위해 인프라와 인력구조 전반의 재설계가 필요해졌다.
특히 정부가 사후심사에서 ‘중대 결함’이 적발될 경우, 인증을 취소할 수 있도록 한 점은 통신사에 큰 부담으로 작용한다.
인증취소는 곧 ‘보안 관리체계 미달’이라는 평가로 이어져 기업 신뢰도에 악영향을 미칠 뿐 아니라, 재인증 비용·시간 증가, 공공·민간 사업에서의 불이익 등 후폭풍도 예상된다.
통신사들은 실제 침해사고 발생을 가정한 기술적 방어체계 강화에 집중할 것으로 보인다.
정부가 예비심사 단계부터 취약점 진단, 모의침투, 현장실증 평가를 확대하고, 본 심사에서도 서면점검에 더해 코어시스템 중심의 현장실사 비중을 늘리기로 하면서 이에 대한 대응이 요구되기 때문이다.
우선 KT처럼 보안자산을 정확히 파악하지 못해 논란이 발생하는 사태를 방지하기 위해 CMDB(자산관리 자동화 스템) 구축에 속도가 붙을 전망이다.
KT는 과거 일부 서버 폐기·신고 지연의혹을 받으며 자사 보안자산 관리체계의 허점이 지적된 바 있다.
아울러 AI, 클라우드, 5G 인프라 보안 등 전문인력 수요도 확대될 것으로 보인다. ‘제로 트러스트’ 및 AI 기반 관제시스템을 구축하려면 이에 대응할 수 있는 보안 전문인력의 역량강화가 필수적이다.
이번 제도개편을 계기로 CISO와 함께 CPO의 역할도 확대될 것이라는 전망이 제기된다. 기업 보안조직은 일반적으로 기술대응을 맡는 CISO와 법무·준법을 담당하는 CPO로 나뉜다.
인증이후 준수해야 할 규정·절차가 대폭 늘어남에 따라 법적·컴플라이언스 대응의 중요성이 더욱 커질 것이란 분석이다.