송경희 개인정보보호위원회 위원장이 12일 중구 HJ비즈니스센터에서 열린 '정보보호 및 개인정보보호 관리체계 인증제 실효성 강화를 위한 현장 간담회'에서 발언하고 있다./사진=개인정보위
보안 인증을 받은 기업에서도 개인정보 유출 사고가 잇따르자 정부가 국내 대표 정보보호 인증제도인 ISMS-P 개편에 나섰다. 인증 기준과 심사 방식, 사후 관리까지 전반적인 제도 실효성을 강화하겠다는 취지다.
개인정보보호위원회와 과학기술정보통신부는 12일 서울 중구 HJ비즈니스센터에서 '정보보호 및 개인정보보호 관리체계 인증제 실효성 강화를 위한 현장 간담회'를 열고 제도 개선 방향을 논의했다고 밝혔다.
이날 간담회에는 인증기관인 한국인터넷진흥원과 금융보안원을 비롯해 정보통신기술협회, 정보통신진흥협회, 개인정보보호협회, 차세대정보보안인증원, 한국경영인증원 등 심사기관 관계자와 인증 심사원, 전문가 등 약 20명이 참석했다.
ISMS·ISMS-P 인증은 기업과 기관이 구축·운영하는 정보보호 및 개인정보 보호 관리체계가 적절한지 평가하는 국내 대표 보안 인증 제도다. 과기정통부의 정보보호 관리체계(ISMS)와 개인정보 보호 요구사항을 결합한 통합 인증으로 운영된다.
하지만 최근 인증을 받은 통신사와 플랫폼 기업 등에서도 개인정보 유출 사고가 발생하면서 제도의 실효성 논란이 이어졌다. 일부 기업은 인증 기준에 맞게 보안 체계를 유지하지 않은 사례도 확인되며 '유명무실한 인증'이라는 지적도 제기돼 왔다.
이에 정부는 인증제도가 실제 보안 수준을 높이는 방향으로 작동하도록 개선 방안을 마련할 계획이다. 현재 검토 중인 주요 내용은 ▲인증 의무 대상 확대 ▲인증 기준 강화 ▲예비심사 신설 ▲기술심사와 현장 실증형 심사 도입 ▲유출 사고 방지를 위한 사후 관리 강화 ▲심사기관 감독과 심사원 전문성 강화 등이다.
참석자들은 인공지능(AI) 발전과 해킹 기술 고도화 등 변화하는 환경을 고려할 때 인증제 실효성을 높이는 방향이 필요하다는 데 공감했다. 다만 기술심사 강화가 현장에서 제대로 작동하려면 심사 기준을 구체화하고 심사 품질 관리 체계를 강화할 필요가 있다는 의견도 제시됐다.
송경희 개인정보위 위원장은 “"SMS-P 인증제도는 기업의 개인정보 보호 관리체계를 사전에 점검하는 중요한 정책"이라며 "현장의 의견을 반영해 인증제도가 사회 전반의 데이터 보호 수준을 높이는 인프라로 기능하도록 지속적으로 개선하겠다"고 말했다.
류제명 과기정통부 제2차관은 "사이버 공격이 고도화되면서 침해 사고의 파급력이 커지고 있다"며 "인증제도 개선을 통해 기업 보안 수준을 높이고 국민 피해를 최소화할 수 있는 기반을 마련하겠다"고 밝혔다.
