언스플래쉬

정부가 잇단 해킹 사고로 실효성 논란을 빚었던 정보 보호 및 개인정보보호 관리체계(ISMS·ISMS-P)를 전면 개편하기로 했다. 인증 심사는 까다롭게 하고, 사후 관리도 강화한다.

개인정보보호위원회와 과학기술정보통신부는 10일 정부서울청사에서 열린 경제관계장관회의에서 정보보호 및 개인정보보호 관리체계 인증제 실효성 강화 방안을 발표했다.

ISMS·ISMS-P는 국제 표준 기반으로 보안 수준을 높이고 사고 예방을 위해 기업의 정보보호 및 개인정보 보호 관리 체계를 점검·인증하는 제도다. 그러나 쿠팡, KT 등 이미 인증을 받은 기업들조차 대규모 개인정보 유출 사고를 피하지 못하면서 제도의 실효성을 놓고 우려가 커졌다.

손질은 인증 대상과 기준, 사후 관리, 심사 품질 확보 등 제도 전반에 걸쳐 이뤄졌다.

먼저 그동안 기업·기관의 자율에 맡겨져 있던 ISMS-P 인증을 의무화한다. 주요 공공 시스템 운영기관이나 이동통신사업자, 본인 확인 기관 등 대규모 개인정보 처리자부터 시작해 단계적으로 확대해나갈 계획이다.

기존의 획일적인 인증 체계는 3단계(강화인증·표준인증·간편인증)로 나눠 차등 관리한다. 국민 생활에 큰 영향을 끼치는 분야일수록 강화된 기준과 심사 방식을 적용한다는 것이다.

심사 방식에도 변화를 준다. 기존에는 서면 중심으로 심사가 이뤄졌다면 앞으로는 현장 중심으로 바꿔 실효성을 더하기로 했다. 취약점 진단이나 모의 침투와 같은 기술 심사 방식을 활용해 보안 관리를 실질적으로 확인한다는 방침이다.

인증 심사 이후에도 보안 관리가 유지될 수 있도록 상시 점검도 강화한다. 중대 침해 사고가 발생한 기업에 대해서는 특별 사후 심사를 해 중대 결함이 확인될 경우 인증을 취소한다. 심사원의 전문 역량을 개발해 부실 심사를 막고 심사 품질을 끌어올리는 방안도 포함됐다.

정부는 관련 법령 등을 정비해 개편 내용을 단계적으로 시행한다는 계획이다. 상시 점검 강화와 인증 취소 등은 올해 하반기부터, ISMS-P 인증 의무화는 내년부터 시행하는 것이 목표다.

송경희 개인정보위 위원장은 “ISMS·ISMS-P 인증제도를 개인정보 보호의 사전예방 핵심수단으로 개선해 국민이 안심할 수 있는 디지털 환경을 구현하겠다”고 밝혔다.

류제명 과기정통부 제2차관은 “정보보호 관리체계를 보다 엄격하고 내실 있게 운영해 인증제도 실효성을 높이겠다”고 밝혔다.