정보보호 ISMS-P 인증 전면 강화…자율신청→주요시스템 의무화(종합)

유출 사고 땐 '인증 취소'도…쿠팡 등 인증기업 잇단 유출 계기
사고기업 사후심사 인력·기간 2배 확대…내년 1분기 고시 개정
"ISMS-P, 보안관리체계 수준 높이는 기능…순기능 살려야"

(서울=연합뉴스) 차민지 기자 = 최근 쿠팡 등 정보보호 관리체계(ISMS)와 정보보호·개인정보보호 관리체계(ISMS-P) 인증기업에서 개인정보 유출 사고가 반복되면서 정부가 두 인증제도의 사후관리와 심사 기준을 대폭 강화하기로 했다.

특히 인증기업에서 유출 사고가 발생하면 특별 사후심사를 실시하고, 인증기준에 중대한 결함이 확인되면 인증을 취소하는 방안도 추진된다.

개인정보보호위원회와 과학기술정보통신부는 6일 관계부처 대책회의를 열고 이러한 인증제 개선 방안을 논의했다고 밝혔다.

개편안에 따르면 기존에 자율 신청 방식으로 운영돼 온 ISMS-P 인증을 공공·민간 주요 개인정보처리시스템에 의무화해 상시적 안전관리체계를 갖추도록 할 계획이다.

주요 공공시스템, 통신사, 대규모 플랫폼 등이 대상이며, 특히 국민 파급력이 큰 기업에는 강화된 인증기준을 새로 마련해 적용한다.

이를 위해 개인정보보호법과 정보통신망법 개정도 조속히 추진한다.

심사 방식도 바뀐다.

인증 범위에 자산현황을 추가하는 한편 예비심사 단계에서 핵심 항목을 먼저 검증하고, 기술심사와 현장실증 심사 역시 강화한다.

분야별 인증위원회를 운영하고 심사원에 대한 AI 등 신기술 교육을 확대해 전문성도 높인다.

사후관리는 더욱 엄격해진다.

인증기업에서 유출 사고가 발생하면 즉시 특별 사후심사를 해 인증기준 충족 여부를 확인하고, 중대한 결함이 드러날 경우 인증위원회 심의·의결을 거쳐 인증을 취소할 수 있도록 한다.

지금까지 ISMS-P 인증을 받았다가 취소된 기업은 없다. 만일 쿠팡의 인증이 취소될 경우 최초 사례가 된다.

사고기업에는 사후심사 인력과 기간을 기존보다 두 배로 투입해 사고원인과 재발 방지 조치를 집중 점검한다.

양청삼 개인정보위 개인정보정책국장은 "인증 기업 중 10% 정도에서 사고가 났는데, 이것만 가지고 인증제도가 아무런 의미가 없다는 비판을 받을 정도로 전혀 역할을 못하고 있는 건 아니다"라며 "순기능은 잘 살려야한다"고 말했다.

그는 인증 취소 방침과 관련해서는 "ISMS든 ISMS-P든, 법령상 취소할 수 있도록 되어 있다"며 "사후심사 과정에서 그런 부분들을 찬찬히 봐서 중대한 결함이 발생했을 경우 인증 취소를 적극적으로 검토하려고 한다"고 설명했다.

개인정보위는 유출 사고가 발생한 인증기업에 대해 이달부터 현장점검을 실시한다.

특히 쿠팡 등 현재 조사가 진행 중인 기업은 과기정통부 민관합동조사단 및 개인정보위 조사와 연계해 한국인터넷진흥원(KISA)과 금융보안원이 인증기준 적합성 등을 점검한다.

과기정통부는 지난 10월 발표한 '정보보호 종합대책' 후속 조치로 900여개 ISMS 인증기업에 인터넷 접점 보안 취약점 긴급 자체점검을 요청했다.

내년 초부터 기업 점검 결과에 대한 현장 검증을 실시할 예정이다.

두 기관은 현재 운영 중인 과기정통부·개인정보위·인증기관 합동 제도개선 태스크포스(TF)를 통해 개선방안을 확정한 뒤, 특별 사후점검 결과 등을 반영해 내년 1분기 중 관련 고시를 개정하고 단계적으로 시행할 방침이다.

chacha@yna.co.kr

▶제보는 카톡 okjebo

정치