SK텔레콤 유심정보 서버 해킹 사고는 보안 인증의 실효성을 다시금 돌아보게 했다. 정보보호관리체계(ISMS) 인증을 받았다고 해서 그 기업이 실제 보안 위협에 대응할 준비가 충분하다고 하기는 어렵다는 불편한 진실이다.
ISMS는 기업이 일정 수준의 보안 정책과 관리 체계를 갖췄는지를 평가해 인증하는 제도다. 겉으로 보기엔 단순한 보안 인증 같지만, 핵심은 기업의 자율 점검과 책임 관리에 있다. 위협을 스스로 식별하고 조직 전체가 협력해 대응 체계를 운영하는 것이 이 제도의 근간이다.
문제는 많은 기업들이 ISMS를 그저 ‘한 번 통과하면 끝나는 절차’로 여긴다는 점이다. 인증을 받은 이후 보안 활동은 느슨해지고, 실질적인 점검이나 협업 체계는 뒷전으로 밀린다. 이번 SKT 사고가 보여준 건 바로 그 경계가 무너졌을 때 어떤 결과가 초래되는지에 대한 생생한 사례다.
SKT 역시 ISMS와 ISMS-P 인증을 모두 받은 상태였다. 그럼에도 AI 개발을 위해 운영된 임시 서버에서 관리자 계정 정보가 암호화 없이 평문으로 저장돼 있었고, 이 서버가 해킹의 출발점이 됐다. 더욱이 추가로 침해된 인증 서버(HSS)에서도 민감한 인증키가 암호화되지 않은 채 저장돼 있었다고 한다.
보안팀은 임시 서버의 존재조차 몰랐고, 개발팀은 별도의 보고 없이 이를 독립적으로 운용했다는 이야기마저 들린다. 조직 내 협업과 점검 체계가 제도로서 존재했을지는 몰라도 실제론 제대로 작동하지 않았던 것이다.
ISMS 제도 자체가 잘못된 것은 아니다. 오히려 이번 사고는 이 제도가 제대로 기능하기 위해서는 인증 이후의 운영 관리가 얼마나 중요한지를 보여준다. 인증은 시작일 뿐이다. 진짜 보안은 그 이후의 지속적인 실천과 조직 내 유기적 협업에서 비롯된다. 서버 하나, 계정 하나, 팀 간 소통 하나가 정보보안의 성패를 가른다. 현장의 보안은 문서로 이뤄지는 것이 아니다. 이번 사건이 남긴 교훈이다.