보안 사고 폭증에 민간기업 정보보호 의무 강화 검토...등급제·간편인증 도입 방안 수립

ISMS 인증기준

정부가 민간 기업 정보보호 의무 인증인 '정보보호 관리체계(ISMS)' 강화를 검토한다. LG유플러스, 카카오 등 대국민 서비스 제공 기업에서 보안 사고가 잇따르면서 ISMS 실효성 논란이 불거진 데 따른 조치다.

과학기술정보통신부는 최근 ISMS 인증 개편 연구반을 가동했다. ISMS 인증은 정보보호 조치·활동을 위한 체계를 수립하고 인증받는 의무 제도다.

인터넷서비스제공사(ISP), 인터넷데이터센터(IDC), 정보통신부문 매출액 100억원 이상, 정보통신서비스 일평균 이용자수 100만명 이상 사업자 등이 대상이다.

연구반 핵심 과제는 △ISMS인증 등급제 전환 △간편인증제 운용 방안 수립 등이다. ISMS 인증 대상 차등·분류, 영세·중소기업 인증 절차 완화 방안 등을 동시에 도출한다.

등급제 전환은 ISMS 인증 강화가 목적이다. 기업 정보보호 대응능력 제고를 위해 인증 기준을 강화하되 기업 규모에 따라 차등 적용하는 게 골자다.

ISMS 인증 전반에 큰 폭의 변화가 예상된다. 현재 ISMS 인증 기준은 △관리체계 수립·운영(16개) △보호대책 요구사항(64개)으로 구성됐다. 등급제가 적용되면 이동통신사업자, 대형 IDC 등 규모가 크고 가입자가 많은 사업자는 인증·외부자 보안·접근통제·정보시스템 도입·개발 보안 등 ISMS 요소 전 영역에서 더 강화된 기준을 준수해야 할 공산이 크다.

한 기업 ISMS 인증 담당자는 “ISMS 인증은 세부 기준 준수보다는 일정 틀 안에서 기업이 정보보호 대응 체계를 구축하고 이를 검증하도록 하고 있다”면서 “등급제로 전환한다면 지금보다 기준이 세분화되고 항목 또한 늘어날 것으로 보인다”고 말했다.

등급제를 통한 ISMS 강화는 사이버 공격의 폭발적 증가와 최근 불거진 ISMS 인증 실효성 논란에 따른 조처다. 지난해 한국인터넷진흥원(KISA)에 접수된 침해사고 신고는 총 약 1200여건으로 지난해 640건 대비 갑절 가량 증가했다. 이와함께 LG유플러스, 카카오가 해킹·재난 등 사고에 제대로 대응하지 못하면서 ISMS 역할론에 의문을 제기하는 목소리가 커졌다.

등급제와 함께 연구할 간편인증제는 영세·중소기업 등에 ISMS 인증 시 완화한 절차를 적용하는 게 골자다. 정필모 더불어민주당 의원이 대표발의한 '정보통신망법 개정안'과 궤를 같이한다. ISMS 인증 여력이 부족한 기업에 제공할 인증 수수료 등 구축 비용·기술 지원 방안을 수립한다.

과기정통부 관계자는 “등급제·간편인증을 동시에 만족하는 개편 방안을 놓고 연구반을 최근 가동했다”면서 “기업 정보보호 대응 역량 강화가 목적이지만 아직 구체 모델이나 방안을 수립한 것은 아니다”라고 말했다.

최호기자 snoop@etnews.com