[PEDIEN] 정부가 정보보호 및 개인정보보호 관리체계 인증제도를 전면 개편한다. 최근 잇따른 통신사, 이커머스 기업의 해킹 사고로 인증 제도의 실효성에 대한 우려가 커진 데 따른 조치다.
과학기술정보통신부와 개인정보보호위원회는 4월 10일, '정보보호 및 개인정보보호 관리체계 인증제 실효성 강화방안'을 발표했다. 이번 강화방안은 인증 대상 확대, 심사 방식 개선, 사후 관리 강화 등 제도 전반에 걸친 개선 과제를 담고 있다.
특히 개인정보 유출 사고 발생 시 국민 생활에 큰 영향을 미치는 사업자를 중심으로 인증 기준을 강화하고, 인증 의무 대상을 확대하는 데 초점을 맞췄다.
그동안 ISMS-P 인증은 기업의 자율에 맡겨져 있었다. 하지만 앞으로는 주요 공공시스템 운영기관, 이동통신사업자, 본인확인기관, 대규모 개인정보처리자 등을 대상으로 ISMS-P 인증이 의무화될 예정이다. 단계적으로 의무 대상을 확대한다는 방침이다.
인증 체계도 3단계로 재편된다. '강화인증', '표준인증', '간편인증'으로 나뉘며, 특히 국민 생활에 파급력이 큰 '강화인증' 대상은 기존보다 강화된 기준과 심사 방식을 적용받게 된다. 주요 보안 위협 사례와 주요국의 보안 요구 사항을 참조해 강화 인증 기준을 개발할 계획이다.
심사 방식 또한 대폭 바뀐다. 기존 서면 심사 위주에서 벗어나, 현장 중심의 심사 체계를 구축하고, 취약점 진단, 모의 침투와 같은 기술 심사 방식을 도입한다. 심사 투입 인력과 기간도 확대한다.
인증 이후의 관리 감독도 강화된다. 인증 획득부터 유지, 갱신에 이르는 전 과정에서 보안 관리 체계가 지속적으로 유지되는지 상시 점검한다. 중대 침해 사고 발생 기업에 대해서는 인증 심사를 잠정 중단하고, 정부 조사 및 처분 이후 심사 재개 시 사고 원인과 재발 방지 대책 등을 철저히 심사할 예정이다.
심사 기관에 대한 관리 책임도 강화한다. 매 인증 심사 종료 후 심사 기관에 대한 신뢰도 조사를 실시하고, 그 결과를 차년도 인증 심사 배분 시 반영한다. 심사 품질 관련 항목을 지정, 재지정 평가에 반영하여 부실 심사를 방지한다는 방침이다.
송경희 개인정보위 위원장은 “ISMS-P 인증제를 통해 국민 피해를 사전에 예방할 수 있도록 제도 전반에 대한 근본적 개편이 필요한 시점”이라고 강조했다. 류제명 과기정통부 제2차관은 “정보보호 관리체계를 보다 엄격하고 내실 있게 운영해 인증 제도의 실효성을 높이고 국민이 신뢰할 수 있는 인증 체계로 발전시켜 나가겠다”고 밝혔다.
정부는 이번 실효성 강화방안의 추진 과제를 빈틈없이 실현하기 위해 관련 법령 개정 및 예산 확보 등 후속 조치를 철저히 수행할 계획이다. 상시 점검 강화, 인증 취소 등 인증 사후 관리와 관련된 사항은 올해 하반기부터, ISMS-P 의무화, 인증 차등 적용 및 강화 인증 기준 적용 등은 2027년부터 시행될 수 있도록 상반기에 관련 작업을 추진한다.
저작권자 © PEDIEN 무단전재 및 재배포 금지
