정보 유출 '나몰라라' 기업 27개..과태료 내면서 버티는 이유

[아시아경제 박소연 기자]정부가 일정 규모 이상의 기업에 정보보호관리체계(ISMS) 인증을 의무적으로 받도록 하고 있지만 상당수 기업이 인증 대신 과태료를 내고 있는 것으로 나타났다. 1억원 가까이 들어가는 비싼 인증료도 문제지만 저렴한 과태료(1000만원)도 문제라는 지적이다. 정부가 과태료를 다음 달부터 3000만원으로 3배 인상했지만 인증 기업이 늘지는 미지수다.

16일 미래창조과학부에 따르면 지난해 ISMS 인증 의무를 이행하지 않아 과태료 부과 처분을 받은 기업이 총 27개에 달하는 것으로 집계됐다.

정부는 정보통신망법에 따라 민감한 정보를 다량 다루는 기관이나 다수 국민이 이용하는 정보통신서비스 제공 업체(정보통신 부문 매출 100억원 이상 또는 접속자 수 100만명 이상) 등은 ISMS 인증을 받도록 지정하고 있다.

ISMS는 기업의 정보보호를 위한 일련의 활동 등이 객관적인 인증 심사 기준에 적합한지를 한국인터넷진흥원, 금융보안원, 한국정보통신진흥협회, 한국정보통신기술협회 등 국가 공인의 인증 기관으로부터 평가심사를 받아 보증받는 제도다. 지난해에는 의무 인증 297개, 임의 인증 118개 등 총 415개 기업이 ISMS 인증을 획득했다.

최병택 미래부 사이버침해대응 과장은 “ISMS 인증 대상인데 인증을 받지 않는 업체들은 주로 쇼핑몰들이 많다”면서 “지난해 휴대폰 등 구매 커뮤니티인 '뽐뿌'가 신규로 의무 인증 대상으로 지정이 됐는데, 인증을 받지 않고 정보유출 사고가 터진 것이 대표적인 케이스”라고 설명했다.

정부는 기업들의 정보보안의식 부재를 지적하지만 업체 쪽에서는 또 다른 볼멘소리가 나온다. 업체들이 ISMS 인증을 받지 않고 미루는 이유는 인증을 받기까지 부담스러울 정도의 절차와 시간, 비용이 소요되기 때문이라는 주장이다.

업계 한 관계자는 “ISMS 인증을 받으려고 준비를 하고 인증을 받는 데까지 비용이 대략 1억원 정도 든다”면서 “정보기술(IT) 분야 특성상 급속하게 성장하는 기업의 경우에는 당장 억 단위의 금액이 부담스러워서 차라리 과태료 1000만원을 내고 말겠다고 하는 데도 많다”고 설명했다.

ISMS 인증은 ▲ISMS 체계 수립 ▲수립된 체계에 따른 이행 ▲인증 심사 ▲결함사항 조치 및 계획 제출 등 통상 준비 기간부터 인증까지 약 6개월 이상이 소요된다. 문제는 이 기간이 다 비용으로 연결된다는 것이다.

ISMS 인증 비용은 크게 '인증 대응 컨설팅'과 '인증 심사 비용'으로 나뉘는데 기업당 컨설팅 비용은 최소 2500만원, 기업 규모에 따라 많게는 1억원 이상 들어간다. 인증 심사 비용의 경우에도 해당 기업의 인력 수, 시스템 수에 따라서 최소 1500만원에서 4000만원 선에서 책정된다. 이 외에도 망 분리·데이터베이스 암호화 등의 비용이 추가로 들어간다.

한편 정부는 정보통신망법을 개정하고 다음 달부터는 정보통신기술(ICT) 매출과 상관없이 연 매출 1500억원 이상 기업이면 ISMS 인증 의무를 지도록 대상을 확대했다. IT 비전문기업 및 비영리기관까지 ISMS 의무 인증 대상이 확대되면서 이런 문제점은 더욱 심화될 전망이다.

박소연 기자 muse@asiae.co.kr