정부, 개인정보보호관리체계 인증 전면개편⋯의무대상 확대•심사 강화 나선다
중대결함 시 인증 취소 기준도 마련
정부가 정보보호 및 개인정보보호 관리체계(ISMS•SMS-P) 인증제도를 전면 개편할 계획이다. 최근 잇따른 기업 보안사고에 대응해 ‘인증 의무 대상’을 확대 등 정보보호 관리체계를 제고하는 취지다.
개인정보보호위원회와 과학기술정보통신부는 10일 정부서울청사에서 개최된 경제관계장관회의서 이같은 내용을 담은 ‘정보보호 및 개인정보보호 관리체계 인증제 실효성 강화방안’을 발표했다.
개보위에 따르면 방안에는 인증 의무화 및 기준 강화, 심사 방식 개편, 사후관리 강화, 심사 품질 제고 등 4대 과제 추진 내용이 담겼다.
먼저 국민 생활에 미치는 영향이 큰 사업자를 중심으로 인증 의무 대상을 늘린다. 주요 공공시스템 운영기관과 이동통신사업자, 본인확인 기관, 매출액과 개인정보 처리 규모 등을 고려한 대규모 개인정보처리자 등에 대해 ISMS-P 인증을 의무화한다. 이를 단계적으로 확대할 방침이다.
ISMS-P 인증은 정보보호 및 개인정보보호 관리체계 인증의 약자로, 한국에서 기업의 정보보안과 개인정보 보호를 통합적으로 관리하는 체계를 인증하는 제도를 일컫는다.
또 ‘강화인증•표준인증•간편인증’ 3단계 체계 도입하며, 국민 생활에 파급력이 큰 강화인증군에는 강화된 기준과 심사방식을 적용한다는 방침이다.
인증 범위도 늘려 인증대상 서비스와 관련된 장비•시설 등은 빠짐없이 포함되도록 인증범위를 단계적으로 넓힌다. 외부 인터넷과 연결돼 공격 경로로 활용될 가능성이 있는 주요 디지털 자산에 대해선 반드시 인증 범위에 포함토록 한다.
심사 방식은 서면 중심에서 현장 중심으로 바뀐다. 본심사 전 예비심사를 통해 핵심 보안 항목을 사전에 점검하고, 취약점 진단•모의침투 등 기술심사를 확대한다. 현장 실증 방식도 도입(실시간 시연 확인 등 )해 실제 보안 관리 수준을 점검할 방침이다.
심사 인력과 기간도 늘려 표준인증군은 현장 점검을 제고한다, 강화인증군에는 취약점 점검 인력을 전담 배치, 중요 정보자산을 정밀 점검한다.
사후관리도 역시 강화된다. ‘스냅샷’ 방식(심사 시 특정 시점만 점검)에서 탈피해 인증 이후에도 보안 수준이 유지될 수 있게 상시 점검 체계를 마련한다.
또 정부와 인증기관 간 사고 이력을 공유하는 체계를 마련과 더불어 점검 결과를 지속적으로 관리, 인증 유지의 실효성을 제고한다는 구상이다.
이와더불어 인증 취소 기준도 구체화한다. 인증기준 미달 여부를 판단하기 위한 중대 결함 기준을 마련하고, 이를 기한 내 개선하지 않을 때에는 인증을 취소할 수 있게 했다.
심사품질을 제고키 위해 심사기관의 관리책임을 강화하고 심사원의 전문역량 개발에 집중할 방침이다. 매 인증심사 종료 후 심사기관에 대한 신뢰도 조사를 실시하고 그 결과를 차년도 인증심사 배분 시 반영, 심사기관이 스스로 품질을 관리하는 체계를 갖출 예정이다.
양 부처는 시행령과 고시 개정 등 후속 조치를 추진할 것으로 보인다. 상시 점검과 인증 취소 기준 강화 등 사후관리 제도는 올해 하반기부터, ISMS-P 의무화와 차등 인증체계는 내년부터 시행 목표다.
세종=곽진성 기자 pen@viva100.com