ISMS-P 개편, 롯데카드 영업 정지, 이상근 교수님 인터뷰, 공격자도 처벌해라

* 아래의 글은 보안컨설턴트를 준비하는 대학생이 작성한 글로 주관적인 해석 및 부정확한 정보를 포함할 수 있습니다.

1. 정보보호 인증제(ISMS-P) 전면 개편

대규모 사업자 검증 의무화

- 해킹 사고가 잇따르는데도 기존 인증제가 실효성이 없다는 비판이 거셈

(로그 관리 미비 등 보안 결함이 있는 기업도 인증을 유지하는 사례 등)

 

- 핵심 변화:

-- 주요 공공시스템, 이통사(ISP), 데이터센터(IDC), 매출 3조 원 이상 사업자 등 국민 생활에 영향이 큰 곳은 ISMS-P 인증이 의무화됨

-- 기업 규모에 따라 강화·표준·간편 3단계로 나누어 적용 (매출 1조 원 이상은 '강화'군)

-- 본심사 전 '예비심사' 도입, 모의 침투 등 기술 심사 확대, 검증 강화

-- 보안 사고 후 로그 미보관 등 중대 결함이 발견됐는데 100일 안에 보완하지 않으면 인증을 취소하는 강력한 제재

(지금까지는 취소 사례가 0건이었음)

-- 상시 점검과 취소 기준 강화는 올해 하반기부터, 의무화 및 차등 체계는 내년부터 시행

2. 롯데카드 '4.5개월 영업정지' 처분 위기

2014년 1억 건 유출 사건에 이어, 지난해에도 고객 297만 명의 정보가 유출되는 사고가 또 터짐.

금융당국은 이를 '내부통제 미흡'에 따른 반복 위반으로 판단

롯데카드 측은 2014년(내부 소행)과 달리 이번엔 '해킹'에 의한 것이며 2차 피해가 없음을 적극 소명하겠다는 입장

 

- 예상 타격:

-- 4.5개월간 신규 회원 모집 및 카드론 영업 금지

-- 2014년 당시 회원 수가 10% 급감했던 전례가 있어 이번에도 대규모 이탈 우려

-- 현재 매각 진행 중인 대주주 MBK파트너스의 계획에 차질 발생

-- 이미 지난해 순이익이 40%나 줄어든 상황에서 신용등급 하락 압박까지 받는 중(실적 악화)

3. 이상근 교수 인터뷰: AI 시대의 새로운 보안 패러다임

- 해커들이 AI를 활용해 침투부터 보고서 작성까지 자동화. AI가 인간의 가이드라인을 교묘히 우회하는 탈옥도 쉬워짐.

- 비대칭성 때문에 완벽한 방어는 불가능하다는 것 인지하고 사이버 복원력에 집중해야함

- 시스템이 뚫리더라도 AI가 스스로 코드를 재작성해 즉각 정상화하는 기술이 미래 보안의 핵심

- 기업들이 보안을 '비용'이 아닌 '투자'로 인식해야 함 (MS는 예산의 20%를 보안에 쓴다)

- 고려대 AI보안연구소가 정책 제안, 표준화 등 산업 전반의 거버넌스를 설계하는 싱크탱크 역할을 수행할 예정

4. 정보보안 업계 간담회: "공격자 처벌도 강화하라"

기업에만 쏠린 책임, 해커에 대한 억제력 확보 요구

- 현재의 법안(개보법 등)이 기업의 보안 투자와 과징금 부과에만 초점이 맞춰져 있어, 실제 범죄를 저지르는 해커에 대한 응징이 부족하다는 현장의 목소리가 존재

- 범죄 시도를 좌절시킬만한 강한 처벌 필요

- 개인정보의 범위가 너무 넓어지고 있어 정부 차원의 구체적인 식별 기준과 가이드라인 필요함

 

- 정부 대응:

-- 특별사법경찰(특사경): 과기정통부 인력에 수사권을 부여해 공격자 처벌 강화

-- 침해사고 조사위원회: 사고 발생 시 즉각 투입되어 심층 조사를 수행하는 체계 가동