[CIOCISO매거진 김은경 기자] 월패드 해킹 등 첨단 아파트의 보안위협이 더욱 커지고 있음에도 불구하고, 국내 주요 건설사들의 보안체계 강화 노력은 아직까지 소극적인 것으로 드러났다. <보안뉴스>에서 국내 10대 건설사들의 ‘정보보호 및 개인정보보호 관리체계 인증(ISMS-P)’ 취득 현황을 살펴본 결과, 우리나라 10대 건설사 가운데 GS건설, 롯데건설, SK에코플랜트 3곳만이 ISMS-P 인증을 취득한 것으로 드러났다.

과학기술정보통신부와 개인정보보호위원회는 ISMS-P를 운영하고 있다. 정보통신망법 제47조2항에 따르면, ISMS-P 인증은 ‘전기통신사업법’이나 ‘정보통신망법’에 따라 관련된 서비스를 제공하는 기업의 경우 의무적으로 인증을 받도록 했다. 이에 건설사는 ISMS-P 인증이 필수는 아니다. 하지만 아파트 건설 분야에서도 스마트 기술이 속속 도입되고 있어 ‘정보보안’은 아파트 가치 평가에 있어 중요한 기준으로 자리매김하고 있다.

특히, 2021년 10월 크게 이슈화된 이후, 최근까지도 아파트 입주민들의 불안감을 키우고 있는 월패드(Wall-Pad) 해킹 사고가 건설사의 보안체계 강화 필요성을 부각시켰다. 월패드는 가정의 주방이나 거실 벽면에 부착된 홈 네트워크 핵심 기기로, 방범, 방재, 가전·조명기기 제어와 함께 세대 간 화상통화, 인터넷 접속, TV 수신 등 다양한 기능을 수행하고 있다. 이러한 월패드가 사이버 범죄자들에 의해 해킹을 당하면서 아파트 내부를 비추는 다양한 영상이 다크웹에 공유돼 큰 충격을 줬던 사건이다.

이에 본지에서는 국내 주요 건설사들의 보안수준을 평가하기 위해 도급순위 1~10위까지의 ISMS-P 인증 취득현황을 살펴봤다. ISMS-P 인증이 해당 기업의 보안실태를 체크할 수 있는 절대적 척도는 아니지만, 보안체계 강화를 위해 적극 노력한다는 측면에서 평가할 부분이 있기 때문이다.

국토교통부는 매년 7월 말~8월 초, 전국 건설사 1년(전년도 8월 1일부터 당해연도 7월 31일까지)의 △최근 3년간 공사실적의 연 평균액 △경영 및 재무상태 △기술능력 △신인도 등을 종합평가해 시공능력평가(이하 ‘도급순위’)를 공시한다.

지난해 발표된 2022년 도급순위(토목건축 분야)에서 상위 10개사는 ①삼성물산(평가액 21조9,472억원) ②현대건설(12조6,041억원) ③디엘이앤씨(DL E&C, 구 대림산업, 9조9,588억원) ④포스코건설(9조6,123억원) ⑤지에스건설(GS건설, 9조5,642억원) ⑥대우건설(9조2,305억원) ⑦현대엔지니어링(9조1,185억원) ⑧롯데건설(7조2,954억원) ⑨SK에코플랜트(구 SK건설, 5조3,560억원) ⑩HDC현대산업개발(4조9,160억원) 등이다.

이 가운데 도급순위 5위 GS건설과 8위 롯데건설, 그리고 9위 SK에코플랜트가 ISMS-P 인증을 취득했다. 5위 GS건설은 자사의 대표 아파트 브랜드인 자이(Xi)를 대상으로 ‘XI 및 GS SPACE 대고객(온라인 회원) 서비스’에 대해 2022년 11월 초 ISMS-P 인증을 취득했다.

도급순위 8위를 유지하고 있는 롯데건설은 ‘분양(롯데캐슬) 및 임대(Elyes) 시스템 운영’과 관련해서 ISMS-P 인증을 취득해 2022년 8월부터 2025년 8월까지 유효기간을 보유하고 있다.

마지막으로 SK에코플랜트(구 SK건설, 도급순위 9위)는 ‘분양, 입주, 하자보수, 고객지원(문의) 서비스’를 범위로 2021년 12월 ISMS-P 인증을 취득했다.

한편, 건설사 CISO 모임을 이끌고 있는 롯데건설은 건설사 중 최초로 ISMS-P 인증을 취득했다. 롯데건설 장흥순 CISO는 “고객 입장에서는 ‘개인정보’와 관련된 보안이 촘촘하게 관리되는 것이 전체 브랜드 이미지에도 긍정적인 영향을 주고 신뢰를 높이는 방법이라고 생각한다”며 “이번 ISMS-P 인증 취득 과정에서는 고객 개인정보와 함께 임직원 개인정보도 추가했다”고 밝혔다. 이어 “ISMS-P 인증은 ‘고객 서비스’ 관점에서 심사가 진행된다”며 “기존 롯데캐슬 콜센터 시스템은 신규 ISMS-P 기준에서는 미흡한 점이 있었는데, 새로운 기준에 맞춰 시스템을 업그레이드했다”고 말했다.

특히, 롯데건설은 ISMS-P 심사를 준비하는 과정에서 개인정보 흐름도와 흐름표를 세부적으로 만들어 일일이 체크했다고 밝혔다. 신입사원 교육에 있어서도 고객 개인정보의 ‘수집-이용-보관-확인’ 등의 순서로 명확하게 관리할 수 있도록 체계적인 절차를 마련했다. 올해는 분양 부문 보안관리를 ‘청약-분양-계약-입주’ 등 단계별로 세분화해 개인정보 라이프사이클에 따라 더욱 체계화할 계획이다.

롯데건설 장흥순 CISO는 “지난해 11~12월에 사이버보안 기업 ‘스틸리언’을 통해 롯데캐슬 홈네트워크 시스템이 구축된 전국 64개 단지, 5만 세대 이상의 보안 취약점을 모두 점검했다”며 “올해는 준공을 앞둔 아파트 단지와 신규 단지의 보안체계를 점검하는 한편, 내년에는 정보보호 분야에서 가장 권위 있는 국제표준 정보보호 인증인 ISO 27001 인증도 취득할 계획”이라고 덧붙였다.