“형식적 인증 끝낸다”… 정부, ISMS 전면 개편

‘실효성’ 중심 보안으로 전환

정부가 '형식적 인증'이라는 비판을 받던 정보보호 인증제도를 전면 개편해 '실질적 보안 관리 체계'로 전환한다. 지난해 인증을 받은 기업에서도 잇따라 해킹 사고가 발생하면서 제도의 실효성 논란이 커진 데 따른 조치다. 

과학기술정보통신부와 개인정보보호위원회는 10일 경제관계장관회의에서 '정보보호 및 개인정보보호 관리체계(ISMS·ISMS-P) 인증제 실효성 강화 방안'을 발표했다. 인증 대상 확대부터 심사 방식, 사후관리, 심사 품질까지 전반을 손보는 구조적 개편이 담겼다.

우선 인증 의무 대상이 확대된다. 앞으로는 통신사, 데이터센터, 주요 공공 시스템 운영기관, 대규모 개인정보처리자 등 국민 생활에 영향이 큰 사업자에 대해 ISMS-P 인증을 단계적으로 의무화한다. 기존처럼 자율 취득에 맡기지 않고, 중요 정보 인프라를 중심으로 선제적 관리 체계를 구축하겠다는 취지다. 

인증 체계도 획일적 기준에서 벗어나 '위험 기반 차등 구조'로 바뀐다. 강화·표준·간편 인증 등 3단계로 재편하고, 파급력이 큰 사업자는 더 엄격한 기준과 심사를 적용한다. 또한 서비스뿐 아니라 관련 장비와 외부 연결 자산까지 인증 범위를 확대해 실제 공격 경로까지 점검하도록 했다. 

기술심사(취약점 점검) 수행 절차(안) / 과학기술정보통신부

심사 방식도 실효성에 초점을 맞춰 개편된다. 기존 서면 중심 '스냅샷 평가'에서 벗어나, 현장 중심 실증형 심사가 도입된다. 예비심사 단계에서 핵심 보안 항목을 사전 점검해 부실 기업의 진입을 차단하고, 본심사에서는 취약점 진단과 모의침투 테스트 등 기술 검증을 강화한다. 실시간 시연 확인 등 운영 상태를 직접 검증하는 방식도 적용된다. 

사후관리도 강화된다. 인증 이후에도 상시 점검 체계를 구축해 보안 수준 유지 여부를 지속적으로 확인하고, 중대 사고 발생 기업에 대해서는 인증 심사를 일시 중단한 뒤 재심사를 강화한다. 특히 중대 결함 기준을 마련해 보완이 이뤄지지 않을 경우 인증 취소까지 추진한다. 

심사기관과 심사원의 책임성과 전문성도 높일 방침이다. 심사기관에 대한 신뢰도 평가를 도입하고 결과를 인증 배분에 반영하며, 취약점 점검 등 기술 심사 역량 강화를 위한 교육과 처우 개선도 병행한다. 

정부는 올해 하반기부터 사후관리 강화 조치를 우선 시행하고, 인증 의무화와 차등 인증체계는 2027년부터 적용할 계획이다.

송경희 개인정보위원장은 "오늘 발표된 실효성 강화방안을 시작으로 인증제도를 개인정보 보호의 사전예방 핵심수단으로 개선해 국민이 안심할 수 있는 디지털 환경을 구현하겠다"고 말했다.

류제명 과기정통부 제2차관은 "급변하는 사이버 보안 환경에 대응해 정보보호 관리체계를 보다 엄격하고 내실 있게 운영함으로써 인증제도의 실효성을 높이고, 국민이 신뢰할 수 있는 인증체계로 발전시켜 나가겠다"고 밝혔다.

정종길 기자
jk2@chosunbiz.com