정부, ISMS-P 인증 1200여 기업 전수조사 착수

개보위, 해당 기업에 공문...다음달 31일까지 '비밀번호 관리'· '암호화 적용' 등 파악 나서

(지디넷코리아=김기찬 기자) 정부가 ISMS-P 인증 기업 1200여 곳 전체를 대상으로 전수 조사에 나섰다. 롯데카드 해킹 여파로 ISMS-P 인증 제도에 대한 무용론이 불거지고 있는 만큼 칼을 빼든 것이다. 한국인터넷진흥원(KISA)의 ISMS-P 연도별 인증서 발급 현황에 따르면 15일 기준 ISMS-P 인증 유효기간이 만료되지 않은 곳은 총 1217개로 집계됐다.

ISMS-P(Information Security Management system–Personal information protection)는 정보보호 관리체계(ISMS)와 개인정보보호 관리체계(PIMS)를 통합한 인증이다. 기업이 정보자산 보호(정보보안) 뿐만 아니라 개인정보 보호법 준수까지 충족해야 인증을 받을 수 있다. 인증 유효기간은 3년이다.

ISMS-P를 주관하는 한국인터넷진흥원(KISA)는 14일 공지사항을 통해 'ISMS-P 인증기업 특별 사후점검 관련 FAQ'라는 게시글을 올렸다. 해달 게시글에는 개인정보보호위원회(개보위)가 ISMS-P 인증 기업에 보낸 'ISMS-P 인증기업 특별 사후점검 실시 및 결과 회신 요청의 건'이라는 제목의 공문 파일도 함께 첨부돼 있었다.

개인정보보호위원회가 ISMS-P 인증을 받은 기업을 대상으로 보낸 공문. (사진=한국인터넷진흥원)

공문에 따르면 개보위는 "최근 ISMS-P 인증을 취득한 기업의 해킹사고 등이 빈번하게 발생함에 따라 ISMS-P 인증 무용론까지 제기되며 국민 불안이 가중되는 상황"이라며 "이에 개보위는 대국민 피해 확산 방지와 인증의 실효성 유지를 위해 개인정보보호법 제32조의2에 따라 ISMS-P 인증 기업 및 기관을 대상으로 특별 사후 점검을 실시하고자 한다"고 밝혔다.

KISA의 ISMS-P 연도별 인증서 발급 현황에 따르면 15일 기준 ISMS-P 인증의 유효기간이 만료되지 않은 총 1217곳으로 집계됐다.

개보위는 올해 말까지 ISMS-P 인증 기업 및 기관 전체에 대해 ▲비밀번호 관리 ▲암호화 적용 ▲로그 및 접속기록 ▲패치 관리 ▲사고 대응 및 복구 등 항목의 실태를 전수 조사할 방침이다.

다만 점검 방법은 기업의 자체 점검 형식으로 진행된다. 이후 최고경영자(CEO)에 결과를 보고하는 식이다. 다만 유출사고가 발생한 인증기업의 경우는 내년 1월 현장점검을 통해 조치사항을 이행했는지 여부를 확인한다. 결과는 내년 1월11일까지 제출해야 하는 식이다.

한편 개보위는 실효성 논란을 빚고 있는 ISMS-P 인증을 개선, 1년마다 모의해킹 중심 현장 심사를 하고 문제가 있으면 인증을 취소하는 적극 행정에 나설 예정이다. 또 예비심사제도 새로 도입하고, 공공기관도 순차적으로 ISMS-P 인증 의무화를 추진할 계획이다. 

조사 양식 일부

김기찬 기자(71chan@zdnet.co.kr)