반복되는 개인정보 유출에 ‘철퇴’…정부, 정보보호 인증 대폭 강화

(서울=뉴스1) 장수영 기자 = 송경희 개인정보보호위원회 위원장이 6일 오후 서울 종로구 정부서울청사에서 ISMS-P 인증 개선 관련 회의를 하고 있다. 이번 회의는 최근 쿠팡 등 ISMS-P를 받은 기업들의 해킹 등 개인정보 유출이 발생함에 따라 개최됐다.

정부가 정보보호 관리체계(ISMS)와 정보보호·개인정보보호 관리체계(ISMS-P) 인증 사후 관리와 심사 기준을 대폭 강화하기로 했다. 최근 이 인증들을 받은 쿠팡 등의 기업에서 개인정보 유출 사고가 반복되고 있기 때문이다. 정부는 인증 기업에서 유출 사고가 발생하면 특별 사후 심사를 실시하고, 인증 기준에 중대한 결함이 확인되면 인증을 취소하는 방안도 추진한다.

개인정보보호위원회와 과학기술정보통신부는 지난 6일 관계 부처 대책 회의를 열고 인증제 개선 방안을 논의했다고 밝혔다. 개편안에 따르면 기존에 자율 신청 방식으로 운영돼 온 ISMS-P 인증을 공공·민간 주요 개인정보 처리 시스템에 의무화해 상시 안전 관리 체계를 갖추도록 할 계획이다. 주요 공공 시스템, 통신사, 대형 플랫폼 등이 대상이다. 이를 위해 개인정보보호법 및 정보통신망법 개정을 추진할 예정이다.

심사 방식도 전면 강화한다. 예비 심사 단계에서 핵심 항목을 먼저 검증하고, 기술 심사와 현장 실증 심사를 강화한다. 분야별 인증위원회를 운영하고 심사원에 대한 AI 등 신기술 교육을 확대해 전문성도 높일 계획이다.

사후 관리도 엄격해진다. 인증 기업에서 유출 사고가 발생하면 즉시 특별 사후 심사를 해 인증 기준 충족 여부를 확인하고, 중대한 결함이 드러나면 인증위원회 심의·의결을 거쳐 인증을 취소할 수 있다. 지금까지 해당 인증을 받았다가 취소된 기업은 없다.

유출 사고가 발생한 기업에는 사후 심사 인력과 기간을 기존 대비 2배 투입해 사고 원인과 재발 방지 조치를 집중 점검한다. 개인정보위원회는 유출 사고가 발생한 인증 기업에 대해 이달부터 현장 점검을 실시한다. 특히 쿠팡 등 현재 조사가 진행 중인 기업은 과기정통부 민관 합동 조사단 및 개인정보위 조사와 연계해 한국인터넷진흥원(KISA)과 금융보안원이 인증 기준 적합성 등을 점검한다.