이름만 정보보호 인증…인증기업 사이버 침해 8월까지만 77건

이름만 정보보호 인증…인증기업 사이버 침해 8월까지만 77건
1~8월 사고 작년 연간 2배…장경태 "디지털저작권 관리 등 인증 기준 없어"



(서울=연합뉴스) 최현석 기자 = 정보보호 관리체계(ISMS) 인증업체를 대상으로 한 해킹 등 사이버 침해사고가 급증하고 있다.
12일 국회 과학기술정보방송통신위원회 소속 더불어민주당 장경태 의원이 한국인터넷진흥원(KISA)으로부터 제출받은 자료에 따르면 올해 들어 8월까지 ISMS 인증 기업의 사이버 침해사고 신고는 77건으로 집계됐다.
이는 작년 연간 신고 건수 39건의 2배이자, 2019년 18건의 4.3배에 이르는 수준이다.
유형별로는 분산서비스거부(DDoS·디도스) 공격이 36건을 기록해 작년(10건)의 3.6배, 2019년(6건)의 6배였다. 시스템해킹은 34건이었으며 악성코드 감염·유포는 7건이었다.


ISMS 인증은 정보통신망 이용촉진 및 정보보호 등에 관한 법률에 따라 재학생 수 1만 명 이상의 학교, 상급종합병원, 매출액 100억원 이상이거나 일평균 이용자 100만 명 이상인 정보통신 서비스 제공자는 의무적으로 받아야 한다.
이처럼 이용자와 매출액이 큰 인증 기업에서 정보보안 사고가 발생할 경우 대형 피해로 이어질 수 있다.
지난 5월에는 고등학생이 포함된 일당이 '디지털 저작권 관리 기술'(DRM) 해제 등 해킹 기법을 사용해 알라딘, 메가스터디[072870] 등 인터넷 서점과 입시학원에서 203억원어치의 전자책 215만 권과 강의 동영상 700개를 빼내기도 했다. 피해를 본 업체 네 곳 중 세 곳이 ISMS 인증을 받은 것으로 확인돼 정보보호 인증제도의 실효성에 대한 의문이 제기됐다.
장경태 의원은 ISMS 인증기준 80개 중 DRM이나 서버 이중화 관련 항목이 존재하지 않아 인증제도가 정보보안 현안에 제대로 대응하지 못하고 있다고 지적했다.
장 의원은 "현 정보보호 인증제도의 취약성이 드러난 것"이라며 "ISMS 인증업체 수 늘리기에 집중할 것이 아니라 인증기준 세분화 등 제도 전반을 개선해 신뢰성을 확보해야 할 것"이라고 지적했다.

harrison@yna.co.kr
(끝)


<저작권자(c) 연합뉴스, 무단 전재-재배포 금지>