지난 15일 오후 3시30분쯤부터 사흘 가까이 서비스 오류가 발생한 카카오와 카카오 먹통사태의 원인이된 화재가 발생한 데이터센터 운영사 SK(주) C&C가 IT시스템의 재해재난 안전성 인증을 통과했던 것으로 나타났다.
카카오는 당초 전원만 복구되면 2시간만에 복구가 가능하다고 했으나 지난 토요일 이후 현재까지 메일 등 일부 서비스의 완벽한 복구가 이뤄지지 않은 상태다. SK C&C는 전쟁이나 테러, 각종 자연 재해 등에도 거뜬히 버텨야 하는 데이터센터를 운영하는 회사임에도 단 한 건의 화재로 시설 전부를 셧다운하는 상황에 처하게 했다는 비판을 받는다. 이와관련 정부 주도로 진행되는 인증 시스템이 허술한 것 아니냐는 비판의 목소리도 크다.
18일 KISA(한국인터넷진흥원)에 따르면 카카오와 SK C&C 양사는 ISMS-P 인증을 취득했다. 카카오 외에도 카카오모빌리티, 카카오게임즈, 카카오페이, 카카오엔터프라이즈 등 다수 카카오 계열사들도 이 인증을 받았다.
ISMS는 ‘정보보호 관리체계'(Information Security management system)를 의미하고 ISMS-P는 ISMS에 개인정보보호를 위한 인증기준까지도 충족했을 때 부여되는 기준이다. 과학기술정보통신부의 ‘정보보호 관리체계 인증 등에 관한 고시’에 따라 이 제도가 운영이 되고 KISA가 인증기준 적합여부를 증명해주는 제도다. 인증을 받으려는 이들은 서류를 제출해 KISA 등으로부터 문서심사를 받은 후 현장심사를 받는다.
정보통신망법에 의해 카카오 및 계열사 및 SK C&C는 모두 ISMS 인증을 의무적으로 취득해야 하는 사업자로 지정돼 있다. 이들이 받은 ISMS-P 인증은 △관리체계 수립 및 운영과 관련한 4개 부문 16개 인증기준 △보호대책 관련 12개 부문 64개 인증기준 △개인정보 처리 관련 5개 부문 22개 인증기준 등을 모두 충족시켜야 받을 수 있다.
이 중 재해·재난 대비 안전조치와 관련한 기준은 △자연재해나 통신·전력 장애, 해킹 등 조직의 핵심 서비스·시스템의 운영 연속성을 위협할 수 있는 재해 유형을 식별하고 △유형별 예상 피해규모와 영향을 분석한 후 △복구체계를 구축할 것을 요구하고 있다. IT 서비스 중단을 초래할 수 있는 재해 유형으로는 화재, 홍수, 지진, 태풍, 해킹, 통신장애, 정전, 시스템 결함, 의도적·악의적 운영 등이 예시로 제시됐다.
KISA가 카카오 및 계열사들과 SK C&C에 인증을 부여할 당시 서류 검토와 현장심사 확인을 거쳤다. 당시만 해도 사고와 관련한 인증기준에 대한 특별한 문제점이 없었다는 게 KISA 측 설명이다. KISA 관계자는 “인증을 부여했다더라도 1년에 1회씩 사후 심사를 나간다”며 “이번 사고에 대해서도 사후 심사 과정에서 사고 대응 과정이 미흡했다거나 인증기준 준수를 못한 부분이 있다고 판단될 때 관련법에 따라 후속조치를 할 것”이라고 했다.
정보통신망법은 인증기준에 미흡할 경우 해당 기업·기관에 대한 인증을 취소할 수 있다고 규정한다. 인증이 취소된 기관은 다음 연도 8월까지 재인증을 받아야 하고 이를 통과하지 못하면 최대 3000만원의 과태료가 부과된다.
<저작권자 © ‘돈이 보이는 리얼타임 뉴스’ 머니투데이, 무단전재 및 재배포 금지>
황국상
- 항공우주업체 파블로항공, NASA와 ‘배송 드론’ 실증 프로젝트 참여
- “IRA 우려 이해···韓 기업들과 전기차·반도체 클러스터 만들 것”
- [Asia오전] 英감세안 철회에 日 0.78%↑…불안한 中은 하락
- 박민 “
오나미와 결혼한 이유? 사랑해서…얼굴 예쁘다” - ‘탈의실 몰카’ 의대생, 산부인과 실습까지…대학 “누군지 몰라서”
