국가정보자원관리원이 화재 나기 한 달 전 재해복구 항목이 포함된 정보보호관리체계(ISMS) 인증을 통과한 것으로 나타나 정보보호 관련 인증제도에 대한 실효성 논란이 일고 있다.

10일 국회 과학기술정보방송통신위원회 이해민 의원(조국혁신당 비례대표)은 “국가정보자원관리원 화재 복구 과정에서 백업 미비로 G 드라이브 공무원 업무자료가 소실되는 등 복구 체계의 심각한 허점이 드러났음에도 해당 기관은 불과 한 달 전 재해복구 항목이 포함된 ISMS 인증을 통과했다”며 “이번 사태가 인증제도의 신뢰성과 실효성에 근본적인 문제가 있음을 보여주고 있다”고 말했다.

국가정보자원관리원은 정부기관으로서 민간 부문의 ISMS 인증 의무 대상이 아니다.

하지만 자율적으로 인증을 신청해 지난 9월 3일 ●운영(대전·대구·광주) ●개인정보처리시스템(방문자관리 통합운영관리지원 출입통제) 부문에 대해 인증을 취득했다.

ISMS 인증은 총 80 개 심사 항목을 평가한다. 이 가운데 △재해·재난 대비 안전조치 (재해유형 식별, 복구 목표시간 정의, 복구계획 수립·이행)와 △재해복구 시험 및 개선(복구시험계획·실시, 정기적 검토·보완), △백업 및 복구관리(백업 대상·주기·방법, 복구 절차 수립·이행, 정기적 복구 테스트) 등이 포함된다.

이 의원은 “이중화·이원화는 커녕 백업도 제대로 하지 않은 상황임에도 이러한 재난·재해 대비 수준을 '적정'하다고 판정해준 ISMS 인증제도를 과연 어디까지 신뢰할 수 있을지 심각한 의문이 든다”고 지적했다.

이어 “정부는 형식적인 인증 건수 늘리기에 급급할 것이 아니라 실제 보안, 재해복구 수준을 담보할 수 있는 근본적인 개선책을 시급히 마련해야 한다”고 강조했다.

고성수 기자 ssgo@naeil.com