정보 유출사고가 매일 신문지면을 장식하는 요즘, 기업 정보보호 담당자들은 바쁘다. 유출사고가 많다는 것은 악의적인 해커에 의한 정보 유출 시도가 많다는 것이고, 침해사고로 인한 징계의 가능성이 높아졌다는 것과 다름이 아니기 때문이다.

잘해야 본전이요, 사고 나면 본전도 건지지 못하는 정보보호 담당자들은 스스로 보호막을 찾기 시작했고, 해결책 중 하나로 정보보호 인증이 부각됐다. 정보보호 인증은 법에서 강제하는 인증제와 기업이 자발적으로 신청해 받는 인증제가 있다. 전자는 '정보통신망 이용촉진 및 정보보호 등에 관한 법률'에서 정한 ISMS(Information Security Management System)가 대표적이다. 후자는 PIMS(Personal Information Management System)와 ISO27001이 가장 유명하다. 대기업, 금융회사, 포털사, 게임사들은 이러한 인증자격 중 1~2개 정도는 획득하고 있는 것이 일반적이다.

왜 인증 획득이 정보보호 담당자의 보호막이 되는가 하면 일정 수준 이상(인증 획득 자격을 유지할 정도)의 정보보호 활동을 해오고 있다는 대외적 증명서 역할을 하기 때문이다. 더구나 정보 유출사고로 인한 법정 소송에서 기업에 유리한 자료로 활용할 수 있으며, 열심히 일하고 있다고 임원진에게 보여줄 수 있는 좋은 도구이기도 하니 일석삼조의 역할을 하는 셈이다.

이렇게 유용한 정보보호 인증제도이니 인증을 획득한 기업의 정보보호가 잘되어야 하는 것이 당연한 듯 보이나 실상은 기대에 미치지 못하는 경우가 있다. 기업들 중 일부는 인증을 획득하고 자격을 유지하기 위한 단편적인 작업들만 수행하기 때문이다. 사나흘 정도 머무는 심사원들은 기업의 인증 자격을 판단하기 위해 각종 문서자료들을 검토하며, 문서를 토대로 자격 획득과 유지 여부를 판단한다.

이를 악용해 일부 정보보호 담당자는 정보보호 활동 수행보다는 문서를 만드는 작업에만 치중해 인증자격을 획득ㆍ유지하고 있다. 대부분 관련 작업을 낮은 가격에 전문업체에 발주하며, 1년치 결과물을 1~2개월 만에 뚝딱 만들어내는 기염을 토함으로써 인증심사에 대응하고 있다. 이 과정을 통해 기업은 아무런 문제없이 자격을 획득ㆍ유지하고 있는 것이 작금의 현실이다.

그렇다면 '인증심사를 엄격하게 하면 되지 않는가'라는 의문이 생기게 된다. 일견 맞는 말이다. 그러나 인증업체들 역시 매출을 위한 비즈니스 목적으로 인증제도를 운영하고 있어 계약상 '갑'인 인증 대상 업체에게 엄격하고 까다로운 심사를 적용하기에는 다소 무리가 있는 것이 현실이다. 그러므로 인증을 획득하였다는 것은 인증심사를 신청할 정도의 보안수준을 확보했음을 증명할 수는 있겠으나 딱 거기까지만 인 것이다.

정보보호 인증제도는 기업의 정보보호 수준을 대외적으로 알릴 수 있는 유용한 수단이다. 소비자들은 이를 통해 기업의 정보보호에 대한 수준을 판단하게 된다. 그러나 인증을 획득하고도 정보유출 등 침해를 당하는 것에서 알 수 있듯 많은 인증을 보유하는 것이 침해사고 예방을 의미하지는 않는다. 인증을 획득하고 유지하기 위해 꾸준히 노력하는 그 과정이 정보보호 인증제도의 진정한 목적임을 기업들은 명심해야 할 것이다.