[KJtimes=이정훈 기자] 한국인터넷진흥원(KISA)이 시행하고 있는 정보보안 인증제도가 제 기능을 하지 못하고 있다는 주장이 제기됐다.
23일 국회 미래창조과학방송통신위원회 소속 유승희 의원(새정치민주연합, 성북갑)은 "정보보안관리체계인증(ISMS) 기업 254개 중 30개 기업이 인증 후에 정보 유출 등 보안상의 허점을 보인 것으로 나타났다"며 "개인정보보안체계인증(PIMS) 기업 24개 중에 5곳도 인증 후 개인정보 유출 사고가 발생했다"고 주장했다.
유 의원은 또 "심사원 인력양성은 5일간 35시간 교육만으로 인증심사원 시험에 응시할 수 있는 자격을 부여해 주고 있다"며 "특히 응시자의 합격률이 80~90%에 달해 이는 통과의례에 불과하다"고 지적했다.
아울러 허술하게 진행되는 보안인증 심사 및 평가 과정도 문제의 원인으로 지목됐다.
인증심사원 5~7명이 1개 팀을 구성해 ISMS의 경우 심사대상 1개 기업당 40시간, PIMS는 56시간의 심사진행 만으로 정보보안 인증을 부여하고 있어 충분한 심사가 이뤄지기 어렵다는 것이 그 이유다.
유 의원은 "기업의 특성과 상관없이 획일적인 심사기간을 적용하는 것은 부실 심사와 평가가 이뤄질 수밖에 없는 구조"라며 "정보보안 문제를 효과적으로 대처하기 위해서는 우수한 심사원 양성은 물론 체계적인 심사와 평가가 함께 이뤄져야한다"고 말했다.