[리스크 콕] 인증 받아도 해킹 당하면 취소…기업들, 보안 면죄부 사라졌다

보안 인증을 받았다고 안심하던 시대가 끝났다. 정부가 4월 10일 발표한 ISMS·ISMS-P 인증제 전면 개편안은 기업들에게 조용하지만 묵직한 경고다.
핵심은 두 가지다. 인증받기가 훨씬 어려워졌고, 받은 뒤에도 사고가 나면 취소된다.
지금까지 ISMS 인증은 사실상 '따면 끝'이었다. 3년 유효기간 동안 연간 사후심사가 있긴 했지만 서면 확인 위주였다. 인증을 받은 기업이 해킹을 당해도 인증이 유지되는 구조였다. SK텔레콤, 이커머스 플랫폼 등 인증 보유 기업들의 연이은 침해사고가 이 구조의 민낯을 드러냈다.
이제는 다르다. 과기정통부와 개인정보보호위원회는 심사 방식부터 바꿨다. 서면 확인 대신 실제 시스템에 침투해보는 모의해킹과 취약점 점검이 심사에 들어온다. 심사원이 현장에서 실시간으로 보안 상태를 확인한다. 부실한 관리체계를 가진 기업은 본심사 자체에 들어가지 못하도록 예비심사 단계에서 걸러낸다.
기업 입장에서 가장 뼈아픈 조항은 인증취소다.
중대 결함이 발견됐는데 기한 내 조치하지 않으면 인증이 취소된다. 침해사고가 발생하면 심사가 잠정 중단되고, 재개 시에는 더 강화된 기준으로 다시 심사를 받아야 한다. 인증 취소는 단순한 행정 처분이 아니다. 공공 조달 자격 박탈, 금융·의료 등 규제 산업에서의 서비스 제한, 계약 해지 사유 발생으로 이어질 수 있다. 인증 하나가 사업 존립과 연결되는 구조에서 취소는 사실상 영업 타격이다.
의무 인증 대상도 대폭 늘어난다. 이동통신사업자, 본인확인기관은 물론 매출액과 개인정보 처리 규모를 고려한 대규모 개인정보처리자까지 ISMS-P 인증이 의무화된다. 지금까지 자율에 맡겨뒀던 영역이 규제권 안으로 들어오는 것이다. 의무 대상이 되는 순간 인증 획득 비용과 유지 비용이 고정 지출로 굳어진다.
비용 부담도 현실적인 문제다.
강화인증, 표준인증, 간편인증 등으로 나뉘는 3단계 체계에서 통신사·데이터센터처럼 파급력이 큰 사업자는 강화인증 대상이 된다. 전담 취약점점검원이 투입되고 심사 인력과 기간이 늘어나면, 심사 비용도 오른다. 정부가 심사원 인건비를 현실화하겠다고 밝힌 만큼 그 비용은 결국 기업이 부담한다. 중소 규모 사업자일수록 이 고정비 증가의 충격이 크다.
특히 개정 개인정보 보호법이 올해 9월 시행되는 상황과 맞물린다. 고의·중과실로 1000만명 이상의 정보를 유출하면 전체 매출액의 최대 10%를 과징금으로 내야 한다. ISMS-P 인증 의무화는 2027년부터지만, 인증 없이 사고가 나면 '사전 예방 투자를 하지 않았다'는 근거로 과징금 감경 혜택조차 받지 못할 수 있다. 인증이 비용이 아니라 보험이 되는 구조다.
정부 발표의 행간을 읽으면 메시지는 하나다. 앞으로는 인증이 있어도 사고가 나면 책임을 진다. 인증이 없으면 더 큰 책임을 진다. 보안을 비용으로 보던 기업들은 이제 선택지가 줄었다. 제도가 바뀌었고, 유예기간도 길지 않다.







