아마존-IBM도 ISMS 인증 받게될까?

아마존웹서비스(AWS)같은 국외 사업자는 정부가 정보보호 강화 목적으로 마련한 '정보보호관리체계(ISMS)' 인증 의무 대상에서 제외된다. AWS도 현행법상 ISMS 인증 의무 대상자인 인터넷데이터센터(IDC) 업체로 볼 여지가 있지만 국내에 IDC가 없을 경우 인증을 행정적으로 강제할 수 없다는 이유에서다.

그러나 내년에는 AWS뿐아니라 IBM같은 회사도 국내에 자체 인프라를 갖추고 클라우드 서비스를 제공할 가능성이 높은 만큼, 외국 업체가 계속해서 의무화 대상에서 제외될지는 미지수다. 경우에 따라 ISMS 인증을 받아야할 수도 있다는 얘기다.

ISMS 인증은 국내 사업자의 정보보호 대응 수준을 심사해 관련 체계를 갖췄다고 인정될 때 미래창조과학부 산하 한국인터넷진흥원(KISA)에서 부여한다. '정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 정보통신망법)'에 따르면 일정 요건에 해당하는 사업자의 경우 의무적으로 ISMS 인증을 받도록 돼 있다.

인증 의무 대상 사업자는 KISA와 한국정보통신진흥협회(KAIT)같은 심사기관을 통해 ISMS 인증 심사를 받고, 현재 유일한 인증기관이기도 한 KISA는 심사 후 인증 여부를 결정한다. ISMS 인증기관인 KISA에서 매년 ISMS 인증 의무 대상 사업자를 파악, 지정해 ISMS 인증을 받도록 통보한다. 그 해 인증 의무 대상 사업자가 ISMS 인증을 받지 못할 경우 1천만원 이하 과태료를 물게 된다.

정보통신망법상 ISMS 인증 의무대상 사업자는 ▲전국에 인터넷 회선이나 인터넷전화 등을 서비스하는 정보통신망서비스제공자(ISP) ▲서버 호스팅이나 코로케이션 서비스를 제공하는 직접정보통신시설(IDC) 사업자 ▲ISP, IDC 사업자에 해당하지 않더라도 전년도 '정보통신서비스' 부문의 매출이 100억원을 넘었거나 전년도 4분기 일평균이용자 100만명을 넘긴 업체 등 3가지로 분류된다.

이 분류에 따르면 국내서 서버 호스팅 또는 클라우드 인프라 및 플랫폼 서비스를 제공하는 사업자들은 IDC업체로 볼 수 있다. 즉 ISMS 인증 의무 대상이다. 그러나 국외 소재 설비를 통해 국내 서비스를 제공하는 퍼블릭 클라우드 인프라 서비스 업체 AWS와 구글은 올해 ISMS 인증 의무 대상 사업자에서 제외됐다.

31일 KISA 지상호 정보보호관리팀장은 올해 ISMS 인증 의무 대상 사업자는 270곳이었고 현재는 내년도 인증 의무 대상 사업자를 선정하고 있다며 문의한 (AWS, 구글 등) 업체들은 올해 인증 의무 대상 사업자로 지정되지 않았고, 내년에도 (이들을 인증 의무 대상에서 제외한 상황이) 달라지진 않을 것 같다고 밝혔다.

지 팀장은 AWS와 구글처럼 국내에 IDC를 갖추지 않은 사업자의 경우 현실적으로 (현장 실사가 필요한) ISMS 인증 업무를 수행하기에 제약이 있다며 국내에 인프라를 갖춰 ISMS 인증 심사 업무 수행이 가능한 경우에 한해 ISMS 인증 의무 대상 사업자로 선정하고 있다고 설명했다.

ISMS 인증은 정보보호를 위해 정책을 수립하고 조직을 갖추며 위험관리, 대책 구현, 사후관리 등의 정보보호 관리과정을 통해 구현된 여러 정보보호 대책을 유기적으로 통합한 체계를 갖췄는지 심사해 부여한다. 이를 심사하려면 담당 기관이 인증 대상 기업을 방문하고 내부 협조를 얻어 현장에 필요한 요건을 갖췄는지 확인할 수 있어야 한다.

쉽게 말해 국내에 IDC 인프라를 보유하지 않은 사업자에게 이처럼 물리적인 점검 절차가 수반되는 ISMS 인증을 강제하긴 어렵다. 따라서 국내 법인을 설립한 국외 사업자가 국내에 IDC 인프라까지 보유해야만 ISMS 인증 의무를 부과할 수 있다는 게 KISA 측의 입장이다.

AWS는 서비스형인프라(IaaS) 사업 확대를 위해 지난 2012년 5월 한국 법인을 설립했고 삼성전자를 우량 고객사로 확보했다. 지금까지 한국 클라우드 수요에는 일본 클라우드 IDC로 대응해왔다. 그러나 업계에 따르면 AWS는 내년에는 국내 통신사 데이터센터 공간을 임대하고 국내에 직접 서비스를 제공할 것이 확실시된다. 이 경우에도 ISMS 인증을 받아야하는 건지는 향후 검토가 필요할 것으로 보인다.

IBM의 행보도 주목된다. IBM은 2015년 국내에 직접 클라우드 데이터센터를 짓고 국내 고객들에게 서비스를 제공한다는 계획이다. 인프라가 있는 만큼 ISMS 인증 의무화 대상이 될수도 있다.

미래부 정보보호정책과 이지형 사무관은 국내 영리 법인이면 차별없이 (ISMS 인증) 의무를 부과하고 위반시 제재할 방침이나, 정보통신망법의 기본 취지는 '국내 정보통신망'의 정보보호 수준을 높이기 위한 것이라며 문의한 사업자들이 법에서 정의한 'IDC' 업체나 다른 인증 의무 대상으로 포함될지 여부나 (제도를) 보완할 여지를 검토할 필요는 있다고 답했다.

정보통신망법은 IDC 인프라를 국내에 두지 않고 사업하는 이들에 대해 따로 언급하지 않고 있다. 집행기관의 해석에 따라 동등한 의무가 국외 사업자에게는 부과되지 않고 시장 영향력과 사업 규모 면에서 영세한 국내 사업자에게만 주어질 수 있다. AWS와 구글처럼 클라우드 인프라의 자원을 판매하는 형태의 사업자가 국내 서버호스팅 및 코로케이션 서비스를 제공하는 IDC사업자와 실질적인 경쟁 관계에 있으면서도 ISMS 인증 의무를 부과받지 않는 상황이 벌어진 근본 원인이다.

이미 국내 IDC사업자들 사이에선 거대 국외 사업자와의 경쟁에 노출된 것에 더해 비용 부담이 큰 ISMS 인증 의무를 지게 된 것에 불만의 목소리가 터져나온 상황이다. 기업 입장에서 실정법을 위반할 수는 없으니 일단 인증 의무를 이행하고는 있지만, 당장 ISMS 인증에 따른 부담을 바라보는 수검기관과 대상업체간 인식차도 커 불만을 가중시키는 분위기다.