법제도/정책

[국감2016] 데이터센터 136개 중 ISMS 받은 곳 고작 ‘30개’

최민지

[디지털데일리 최민지 기자] 정보보호관리체계인증(이하 ISMS) 의무 대상을 기관 종류로 특정하지 말고 데이터센터를 보유하고 있는 곳을 우선적으로 인증 의무화해야 한다는 지적이 제기됐다.

7일 국회 미래창조과학방송통신위원회 소속 송희경 새누리당 의원이 미래창조과학부로부터 제출받은 자료에 따르면, 국내 데이터센터 136곳 중 정보보호 인증인 ISMS를 받은 곳은 30곳(22%)에 불과한 것으로 나타났다.

이에 대해 송희경 의원 측은 4차 산업혁명의 시대에 접어들면서 데이터를 활용한 빅데이터의 중요성이 높아지고 있지만, 막대한 데이터가 보관된 데이터센터 보안이 취약한 것이라고 설명했다.

인증을 받지 않은 106곳의 데이터센터를 살펴보면 국방부, 대법원, 서울시, 서울시교육청 등 중앙행정부처와 지방자치단체, 금융권, 병원, 학교 등이 속해 있다.

이는 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제46조에 타인의 정보통신서비스 제공을 위해 집적된 정보통신시설을 운영·관리하는 사업자에 해당하지 않기 때문이다. 이들 기관이 사실상 대국민 서비스업에 종사하고 다수의 개인정보를 보유하고 있는 만큼 보다 촘촘한 관리 감독이 필요하다.

또한, 지능정보사회가 도래하면서 데이터의 활용이 급속도로 늘어나고 사이버 침해 위협이 증대되고 있다.

행정자치부 자료에 의하면 중앙행정기관 부처별 해킹시도 차단건수는 ▲2011년 1만4039건 ▲2012년 2만8797건 ▲2013년 3만5810건 ▲2014년 1만8123건 ▲2015년 5만2795건 ▲2016년(7월기준) 3만7609건으로 증가하고 있다.

국정원 국가사이버안전센터에 따르면 공공기관을 노린 사이버테러 위협은 지난 3년간 4만건에 이를 정도로 침해 빈도가 증가하고 있는 양상이다.

한국인터넷진흥원 자료에 의하면 금융권의 경우 금융감독규정 제58조에 따른 정보기술부분 실태평가의 IT보안 및 정보보호를 받고 있다. 그러나 한국인터넷진흥원이 심사하는 ISMS의 104개 항목 중 위험관리, 정보보호교육 및 훈련, 시스템개발보안, 접근통제, 침해사고관리, IT재해복구 항목은 평가대상에서 대부분 빠져 있다.

이와 관련 송 의원 측은 평가방식 조차도 서류와 담당자 면담 등을 통한 실태평가만 수행하며, 현장 방문 및 시스템 확인 등의 절차도 없다고 지적했다.

송 의원은 “갈수록 다양화·고도화되는 사이버침해에 대응하고, 데이터센터의 활용도를 높이기 위해서는 보안이 먼저 담보돼야 한다”며 “보안은 곧 국방력의 척도”라고 강조했다.

이어 “ISMS 인증을 받는 기관의 부담이 크다는 점도 문제”라며 “기업의 규모와 위치, 실태를 파악해 사이즈에 맞는 인증체제를 새로 정립하는 것 또한 미래부의 과제며 이를 위해 민·관 그리고 당정 협의를 추진할 것”이라고 덧붙였다.

<최민지 기자>cmj@ddaily.co.kr

최민지
cmj@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널