isms-p 이대로 괜찮은 걸까요?

인력·예산 없는 심사 강화는 또 다른 ‘형식’에 그칠 수 있어
규제 비용 아닌 ‘서비스 품질’로 인식 전환, 민간 자율 점검 생태계 조성해야

쿠팡을 비롯해 국내 주요 기업에서 대형 해킹 사고가 잇따르자 정부가 ‘정보보호 및 개인정보보호 관리체계(ISMS-P)’ 인증 제도의 전면 개편 카드를 꺼내 들었다. “국가 인증까지 받았는데 왜 뚫리느냐”는 제도 무용론에 대응해 의무 대상을 늘리고 기술 심사를 도입하는 등 규제를 강화하겠다는 것이 골자다.

하지만 정보보안·법제 전문가들은 정부의 ‘제도 강화’ 드라이브에 대해 우려 섞인 시선을 보내고 있다. 제도가 허술해서가 아니라, 제도를 뒷받침할 ‘자본’과 ‘인력(전문가)’이라는 보안 생태계 기반이 부실한 것이 문제의 핵심이라는 지적이다.

또한 전문가들은 ‘ISMS-P 인증 만능론’에서 벗어나 기업 스스로 움직이게 만드는 ‘자율 보안 생태계’로의 전환을 주문했다. 곽진 교수는 “국회나 일부 업계에서 오해하고 있는 부분이 있다. 인증만 받으면 사고가 나면 안된다고 잘못 인식하는 것이다. ISMS-P는 해킹을 막아주는 ‘보증서’가 아니라, 최소한의 보안 토대를 갖추게 만드는 제도”라며 “사고가 났다고 제도 탓만 하는 방식으로는 아무것도 나아지지 않는다”고 강조했다.

윤인수 카이스트(KAIST) 전기및전자공학부 교수는 모의해킹, 취약점 점검 도입 등 기술 심사 도입에 대해 “전 세계 어디에도 ‘이 인증만 받으면 해킹 안 당한다’는 제도는 없다”며 “특히 모의침투 같은 기술 심사를 인증에 넣는 것은 좋지만, 한 번의 테스트로 거대한 서비스 전체를 ‘안전하다’고 도장 찍을 수는 없다”고 말했다.

이어 “기초 보안 체계를 인증하는 제도에 모의해킹을 도입하는 게 보안성 강화에 실질적으로 어떤 도움이 될지 의문이 드는 게 사실”이라고 덧붙였다.

https://byline.network/2025/12/8-409/

또 보안 국비 이런식으로 양성한다고하면 별 도움안될텐데 말입니다.

이제는 1년마다 점검으로 바꾼다고하네요

근데 모의해킹 이거는 의무로 하게될까요? 교수들 의견대로 한번 받고 땡치면 나아지는거 없겠죠.

그나저나 국내 cms 중 꽤나 쓰는 영카트/그누보드라는 녀석이 있는데 이거 prepared sql 도 안써서 sql 인젝션을 입력단만 땜빵패치하던데 저런거나 좀 kisa 에서 단속해서 시정명령내리면 안되나요 ㅋㅋ

이번에 넷마블터진것도 sql 인젝션인데 솔직히 이런 초보적인건 좀… 하…