송경희 개인정보보호위원장이 6일 정부서울청사에서 열린 ISMS-P 인증 개선 관련 회의에서 발언을 하고 있다. 개인정보보호위원회 제공

쿠팡, KT, 롯데카드 등 정부의 정보보호 관리체계(ISMS) 인증을 받은 기업에서 대규모 개인정보 유출이 반복되자 정부가 해당 인증제도를 대폭 손질하기로 했다. 특히 정보 유출 발생 시 사후 심사를 거쳐 인증을 취소하는 방안이 추진된다.

과학기술정보통신부와 개인정보보호위원회는 ISMS 인증과 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증의 실효성 강화를 위해 관련 제도를 전면 개편하기로 했다고 7일 밝혔다.

정부 개편안 핵심은 ISMS와 ISMS-P가 ‘이름뿐인 인증’이 아니라 기업의 보안 능력을 확실하게 끌어올리는 제도로 기능하도록 하는 데 있다. 쿠팡, KT, 롯데카드 등은 ISMS, ISMS-P 인증을 받고 이를 내세워 자사 보안 능력을 홍보해왔으나 대규모 정보 유출이 잇따라 터져 ‘인증 무용론’이 대두됐다.

정부는 먼저 예비심사 단계에서부터 핵심 항목을 우선 검증하고, 기준 미충족 시 인증 신청을 반려키로 했다. 과거 유출 사고 이력이 있거나 사고 위험이 높은 기업이라고 판단되면 취약점 진단, 모의 침투 방식의 기술 심사를 예비 심사 단계부터 적용한다. 본심사는 그간 서류와 샘플 점검 위주였으나 핵심 시스템 중심으로 현장 실증형 검사를 진행한다.

사후 관리도 강화한다. 인증 기업에서 유출 사고 발생 시 특별 사후 심사를 실시해 중대 결함이 확인될 경우 인증위원회 심의·의결을 거쳐 인증을 취소한다. 사후 심사 투입 인력·기간도 지금보다 2배 확대한다. 현 법령으로도 인증 취소는 가능하나 아직까지 적용된 사례는 없다. 국회에선 “3370만명 개인정보를 유출한 쿠팡이 첫 인증 취소 기업이 돼야 한다”는 지적이 잇따르고 있다.

아울러 정부는 대형 온라인 플랫폼이나 통신사 등에 ISMS, ISMS-P 인증을 의무화하는 개인정보보호법·정보통신망법 개정도 추진한다.

양청삼 개인정보위 개인정보정책국장은 “ISMS, ISMS-P 인증을 받은 기업 중 유출 사고가 일어난 곳은 약 10%로 인증이 ‘아무 의미가 없다’고 볼 수는 없다”면서 “순기능을 잘 살려 국민에게 신뢰받는 제도로 만들겠다”고 설명했다.