글로벌 반도체 가격 급등으로 국내 정보기술(IT) 기업의 보안인증 유지에 차질이 발생하고 있다. 서버 교체 비용이 급증하면서 인증 기준을 충족하지 못하는 기업이 나올 수 있다는 우려가 나온다.
19일 업계에 따르면 국내 정보기술(IT) 서비스 중소기업 A사는 최근 정보보호 인증 대응을 위해 추진하던 서버 인프라 교체 투자를 보류했다.
해당 기업은 '정보보호 관리체계(ISMS)' 인증 유지를 위해 기술지원이 종료된 EOS(End of Support) 서버 교체를 계획했으나, 예상치 못한 부품 가격 급등으로 투자 집행이 연기했다.
ISMS는 기업의 정보보호 체계가 기준에 맞게 운영되고 있는지를 심사하는 인증으로, 최초 취득 시 3년의 유효기간이 부여된다. 다만 인증 기간 동안에도 매년 사후심사를 받아야 하고, 기준을 충족하지 못하거나 사후심사를 이행하지 않으면 인증이 취소될 수 있다.
A업체는 지난해 사후 심사에서 EOS 서버를 지적받고 투자 계획을 제출해 인증을 유지했다. 이에 하이퍼컨버지드 인프라(HCI) 서버 교체를 포함한 인프라 고도화 계획을 수립하고 약 20억원 규모의 예산을 책정했다. 그러나 올해 반도체 가격이 급등하면서 필요 투자액이 80% 이상 증가했다.
A사 관계자는 “64GB 메모리는 약 5배 수준으로, 3.84TB SSD는 6배 가까이 가격이 상승했다”며 “중앙처리장치(CPU) 가격 역시 상승세를 보이면서 전체 서버 구축 비용이 급증했다”고 토로했다.
대기업도 서버 교체 부담은 마찬가지다. 비용을 감내하더라도 일괄 교체시 차년도 보안투자액이 역성장한다는 점은 경영진에게 또 다른 고민거리다.
최근 국내 제조 대기업 B사는 ISMS-P 심사에서 EOS 자산에 대한 지적을 받았다.
B사 관계자는 “제조업 특성상 레거시 시스템이 많아 EOS 비율이 상당히 높다”며 “작년에 사고가 많아 EOS 자산에 대한 해결방안을 명확히 제시하라는 요구를 받은 상태”라고 전했다.
반도체 가격 급등은 메모리 공급 축소와 생성형 인공지능(AI) 확산에 따른 서버 수요 증가가 복합적으로 작용한 결과다. 그래픽처리장치(GPU) 서버와 고대역폭 메모리(HBM) 수요가 증가하면서 일반 서버용 부품 가격까지 연쇄적으로 상승한 구조다.
문제는 보안인증 구조상 서버 교체가 사실상 필수라는 점이다. ISMS는 자산 관리와 취약점 대응을 핵심 통제 항목으로 요구하고 있으며, EOS 장비는 교체 또는 별도 통제가 필요한 대상으로 분류된다. 투자 지연 시 인증 기준 충족에 어려움이 발생할 수 있다.
이 같은 상황은 중소 IT 기업으로 갈수록 부담이 커진다. 서버 교체 비용을 감당하기 어려운 기업의 경우 인증 유지 자체가 어려워질 가능성도 제기된다. 보안의 중요성이 커지면서 ISMS는 공공뿐 아니라 민간에서도 요구돼 인증이 취소될 경우 사업에 차질이 불가피하다.
KISA 관계자는 “ISMS에 중대한 영향을 미치지 않는 결함 사항에 대해서는 대표이사 확인 등을 거쳐 일정 기간 유예가 가능하다”며 “다만 이는 심사 과정에서 개별적으로 판단되는 사안으로, 모든 기업에 일괄 적용되는 것은 아니다”고 말했다.
박진형 기자 jin@etnews.com
