ISMS-P 인증 개선...현장심사 추가 등 까다로워져

[대한민국 사이버보안 컨퍼런스] 윤여진 개보위 자율보호정책과장 "인증 대상 단계적 의무화"

(지디넷코리아=김기찬 기자)롯데카드가 정보보호 및 개인정보보호 관리체계 인증(ISMS-P)을 획득한지 얼마 지나지 않아 대형 침해사고가 발생하면서 ISMS-P의 실효성에 대한 비판이 나오고 있다. 이에 개인정보보호위원회(개보위)가 ISMS-P 인증의 실효성을 높이기 위해 기존 한계를 개선해 나갈 계획이다.

윤여진 개보위 자율보호정책과장은 30일 서울 코엑스에서 개최된 과학기술정보통신부 공식 AI 주간 'AI페스타 2025' 부대 행사로 개최된 '대한민국 사이버 보안 컨퍼런스'에서 '개인정보 예방체계 구축'을 주제로 발표했다.

윤여진 개인정보보호위원회 자율보호정책과장이 발표하고 있다.

이날 윤 과장은 현행 ISMS-P의 한계점을 지속 개선해 나간다고 밝혔다. 뿐만 아니라 개인정보 영향평가도 공공 부문에만 국한된 점을 개선해 민간에서도 자율적으로 수행할 수 있는 여건을 조성할 계획이다.

우선 윤 과장은 ISMS-P 인증이 위험이 남아있더라도 위험 수용 관리를 위한 보안 대책을 마련하고 있다면 결함으로 보지 않는 한계가 있다고 짚었다. 또 심사 자체가 서면심사를 중심으로 운영돼 해킹 공격 대응에도 한계가 있다고 강조했다.

이에 윤 과장은 ISMS-P 인증의 실효성 강화를 위해 인증 체계를 고도화하고 인증 대상을 단계적으로 의무화하겠다고 밝혔다. 구체적으로 서면 중심의 심사에서 현장심사 체계도 도입하고, 핵심 항목에 대한 심사도 엄격화할 계획이다. 현장심사에는 취약점 점검, 모의해킹 등 항목이 추가된다.

또한 사고 기업에 대한 사후심사도 강화한다. 이 때 중대결함이 발견되면 ISMS-P 인증의 취소까지도 고려된다.

의무화와 관련해서는 민감, 대규모 개인정보를 처리하는 공공기관은 ISMS-P 인증을 반드시 획득하도록 하고, 민간에서도 통신사 등 2차 피해 우려가 큰 업종을 대상으로 인증을 의무화한다.

개인정보 영향평가는 의무 대상 공공기관 범위를 확대하고, 공공기관만 의무화해 서비스 도입 전 위험식별·감경에 한계가 있었던 만큼 민간에서도 자율적·체계적으로 수행할 수 있는 여건을 조성한다. 대규모 개인정보를 처리하거나 중요도가 높은 개인정보를 처리하는 업종, 새로운 데이터 처리 기술을 사용하는 업종도 개인정보 영향평가 대상으로 권고된다.

이 외에도 개인정보 영향평가의 전문성 및 책임성 강화를 위해 ▲영향평가 품질검토 도입 ▲영향평가 전문인력 전문성 제고 ▲공공, 민간의 CPO가 평가결과의 최종 책임자로 서명하고 경영진에 보고하도록 권한 및 책임 강화 등의 방안을 도입한다.

김기찬 기자(71chan@zdnet.co.kr)