카카오 화재로 ISMS-P 실효성 지적…인증체계 개선 필요해

[테크월드뉴스=이세정 기자] 지난 주말 SK C&C 판교데이터센터 화재로 카카오톡을 비롯한, 카카오페이, 카카오모빌리티 등 카카오 서비스가 먹통이 되며, 카카오의 재난‧장애 대응 부실 논란이 일고 있다.

일각에서는 ‘정보보보 및 개인정보 보호관리체계 인증(Personal Information & Information Security Management System, ISMS-P)’의 실효성이 없다며 개선 필요성도 주장하고 있다.

ISMS-P는 정보통신 서비스 제공자 중 일정 매출액과 사용자 수 기준을 충족하면 의무적으로 받아야 한다. 카카오는 의무 인증 대상으로 지난 2019년 인증을 받았다. ISMS는 2013년부터 매년 받고 있다.

카카오는 ISMS-P 인증을 획득한 후, 기술적, 관리적, 물리적, 조직적인 정보보호 대책을 다양하게 구현했다고 설명했지만, 이번 사태로 제도의 실효성이 도마에 올랐다.

지난 2014년 삼성 SDS 과천데이터센터, 2018년 KT 아현국사 화재가 있었음에도 인증 심사기준을 강화하지 않았기 때문이다.

한국인터넷진흥원(KISA)에 따르면 ISMS-P는 서류심사 및 현장심사를 거쳐 특별한 문제점이 발견되지 않으면 통과한다. 이번 사고 역시 ISMS-P 인증기준에 해당하지만 심사 당시 특별한 문제가 발견되지 않았다는 입장이다.

KISA 관계자는 “(카카오 ISMS-P 인증은) 심사 당시 문제가 없어 인증됐고 이슈가 되지 않았기에 넘어간 것”이라며 “이중화 방식이 어떤 식이든 인증기준에서 요구하는 백업 복구 체계만 만족하면 된다”고 말했다.

이어 “인증 체계는 검강검진와 같이 당시 문제를 보는 것이지 향후 일어날 일을 예상할 수 없다”며 “이슈가 발생 시, 추후 보완심사 등의 과정을 거친다”고 설명했다.

KISA 입장에 대해 보안전문가는 ISMS-P 인증 체계의 실효성이 없다고 강조했다. 비상대응 체계를 구축하지 못한 카카오의 문제도 있지만 인증기준이 행정절차에 불과하다는 지적이다.

류동주 극동대학교 해킹보안학과 교수는 “형식적인 부분은 확인했을 것이지만, 현실적인 요소를 반영하기 어려운 면이 있다”며 “ISMS-P 제도 전체를 볼 수 있는 현실적 실효성 있는 보완이 필요하다”고 설명했다.

익명을 요구한 다른 전문가도 제도의 문제점을 지적했다. 다만 KISA는 운영기관인 관계로 한계가 있다는 의견이다. 특히 서버 이중화와 관련해서는 인증기준에 백업‧복구 체계를 마련한다는 기준 뿐, 다른 장소에 구축해야 한다는 조건은 없고 일반 사기업의 경우 비용 문제 등으로 기준 외 항목을 추가하지 않을 것이라는 설명이다.

카카오 외부 데이터 센터 화재의 경우, 화재에 대비한 실질적 대응 체계가 없었지만 인증을 통과했고 실제 ISMS-P의 재해 복구 항목에 대한 세부 설명에는 ‘IT 서비스 중단을 초래할 수 있는 IT 재해 유형’의 예시로 화재가 있을 뿐이다.

관련 업계에서도 ISMS-P 제도의 미흡함을 지적하고 있다. 재해 복구 부문의 ‘재해‧재난 대비 안전조치’부문은 실제 지켜지기 어렵다는 입장이다. 인증기준도 크게 바뀌지 않았다고 설명했다. 2018년 KT아현국사 화재 당시 ISMS-P로 ISMS와 PIMS 통합되면서 인증체계가 바귀었으나 기존의 ISMS와 재해복구 부문은 크게 달라지지 않았다는 설명이다.

카카오 역시 기준에 따라 ISMS-P 인증을 획득했다. 심사 기준이 보완됐다면 이번 사태에서 대응이 달라졌을 수 있다. 지난주 화재에 대해 양현서 카카오 부사장은 화재의 규모나 발생에 대해 예상할 수 없다는 입장을 밝힌 바 있다.

한편 ISMS-P의 실효성을 떠나서 카카오의 무사안일한 대응이 문제를 키웠다는 지적도 있다. 3만 2000대의 서버를 한 곳에 몰아넣고 대응할 수 있는 백업망이 없었다는 이유다. 네이버의 경우 같은 데이터센터를 이용하고 있지만 수 시간 내 서비스를 정상화하며 피해를 최소화 했다.