“보안 사고 내고 로그 없으면 인증 취소”…정부, IT 대기업 ISMS-P 대체제 도입 예고

정부가 정보보호 관리체계(ISMS-P) 인증 제도를 전면 개편한다고 공식 발표했다. 이번 정책 변동은 최근 대형 IT기업에서 빈번히 발생한 보안 사고와 부족한 로그 관리 실태가 사회적으로 이슈가 된 이후 나온 것으로, 과기정통부와 한국인터넷진흥원(KISA)이 ISMS-P 인증 요건에 대한 근본적 강화 방안을 밝힌 데 따른 것이다. 특히, 사고 당사 기업이 필수 보안 로그를 남기지 못하는 경우 ISMS-P 인증 취소나 정지 등 강력한 제재가 초기 검토됐다. 작년 한 해 동안 ISMS-P 인증 유지 기업 중 16.2%(148개사)에서 보안 로그 미흡 사례가 적발된 사실이 KISA 자료에서 확인된다. 사고 발생 건수도 매년 증가해 2024년 기준 국내 정보보호 사고 신고 건수는 1,189건으로, 2022년(755건) 대비 57.5% 증가했다. 사고의 65.4%는 시스템 접근 권한 관리 미흡, 23.1%는 로그 보관 소홀로 현황 분석된다.

ISMS-P 인증 기업 수는 2024년 3분기 기준 2,355곳으로 전년 동기 대비 8.5% 증가했다. 그러나 동일 기간 내 인증 유예 및 정지 판정 기업도 112건으로, 전년(61건) 대비 83.6% 증가세를 기록했다. 현행 ISMS-P 기준의 실효성에 각계 의문이 제기된 바, 정책 전환의 배경이 된 것으로 풀이된다. 사례 분석 결과, IT 대기업 중 다수는 로그 기록·보관을 아웃소싱하거나, 로그 서버 통합관리를 타 계열사에 위임하는 경우가 적지 않았다. 2025년 1~3월 KISA 점검에서 상위 20대 IT 서비스 기업 중 35%에 해당하는 7곳이 로그 미작성 혹은 일부 데이터 삭제 정황으로 경고 조치를 받았다. 반면, 자체적 보안 감사와 이중 로그 보존 체계를 구축한 일부 기업은 단 한 건의 미흡 사례도 발견되지 않은 것으로 집계된다.

정보보호 분야 글로벌 동향과의 비교에서도 한국의 로그 관리 내규는 상대적으로 취약하다는 평가가 많다. 미국 NIST(국립표준연구소) 800-53 가이드라인은 13개 세부 항목에 대한 로그 생성·분석·보관·폐기 정책을 요구하지만, ISMS-P는 기존에 2개 항목에 국한되어 있었다. 정부는 2026년 내 관련 법령을 개정, 로그 미보관 및 조작 적발 시 인증 취소를 명문화하고, 모든 IT 서비스 운영자에게 최소 1년 이상 전자적 로그 원본 보관 의무를 부여할 계획이다.

이에 따라 대기업 IT 인프라의 구조적 변동이 예상된다. 2025년부터 국내 100대 IT기업은 연간 1조3천억 원 규모의 보안 예산 증액을 편성했다. 이는 2021~2024년 평균 대비 37.4% 증가한 수치다. 컨설팅 업계에 따르면, 로그 솔루션 시장의 연평균 성장률은 15%에 달해 2027년엔 9,800억 규모로 확대될 전망이다. 정부의 인증 취소 방침이 현장에 원활히 이행될 경우, 글로벌 수준의 사이버보안 체계 도입과 동시에 SMB(중소형 기업) 부담이 급격히 늘 가능성도 존재한다. 실제 2026년 시점 전체 인증 기업 중 SMB 비율은 74%로, 보안 인력 부족·예산 한계 지적이 잇따른다.

정량적 데이터에 따르면 2025년 ISMS-P 인증 취소 사례는 약 30~60건(전체 대비 1.2~2.5%) 발생할 것으로 보안업계는 예측했다. 기존 제도의 문제점에서 자동 로그 모니터링, 상시 감사 체계로 전환하려면 1개사당 평균 3~5억원의 추가 비용이 들 전망이다. 대형 플랫폼사의 수익 구조나 기존 인력 구성, 그리고 사용자 개인정보처리 정책에도 영향이 불가피하다. 이번 조치로 실질적 보호 수준은 크게 높아지겠으나, 기준 이하 기업의 운영 중단 리스크, 중복 인증 비용 증가, 현장 혼란 등의 부작용도 도출될 가능성이 크다.

최근 5년간 ISMS-P 인증 기업 중 보안사고 신고 비율은 연평균 4.4%에서 2024년 5.2%로 소폭 증가했다. 로그 미작성 사고의 재발 가능성을 차단하는 조치가 마련되지 않으면 인증제의 신뢰도가 지속 하락할 수 있다. 정부 대책의 1차 평가 및 통계 집계는 2026년 4분기에 이루어질 계획이다. 업계 대다수는 증거 기록 기반 보안 강화 필요성엔 공감하나, 기술적·재정적 이행 방안 마련을 위한 세부 로드맵이 시급하다는 의견이 우세하다.

이상과 같이, 보안 사고와 로그 관리 미흡에 근거한 인증 취소제 강화는 글로벌 보안 트렌드와 현장 데이터 모두에 부합하는 개혁이다. 그러나 모든 지표가 제도의 일방적 강화보다는 현실적 보완이 병행되어야 실질적으로 정책 효과가 구현될 수 있음을 시사한다.

— 정세라 ([email protected])