정보보호 인증 유명무실 지적에…“ISMS-P도 의무화·현장심사 전면 강화”

[이데일리 권하영 기자] 최근 정보보호·개인정보보호 관리체계(ISMS·ISMS-P) 인증 기업의 대규모 정보 유출 사고가 반복되자 정부가 제도 강화에 나섰다.

송경희 개인정보보호위원회 위원장이 12월 6일 오후 정부서울청사에서 개최된 ISMS-P 인증 개선 관련 회의에서 모두발언을 하고 있다. 사진=개인정보위

개인정보보호위원회(위원장 송경희), 과학기술정보통신부(부총리 겸 과기정통부 장관 배경훈)는 6일 인증제 개선 관계부처 대책회의에서 ISMS·ISMS-P 제도 전면 개편 방안을 추진한다고 밝혔다.

이날 회의는 송경희 개인정보위 위언장 주재로 류제명 과기정통부 제2차관, 이상중 한국인터넷진흥원(KISA) 원장이 참여했다.

먼저, 기존에 자율적으로 운영되던 ‘ISMS-P’ 인증을 의무화한다. 주요 공공시스템, 통신사, 대규모 플랫폼 등 공공·민간 주요 개인정보처리시스템이 대상이다. 특히 통신사와 대형 플랫폼 사업자 등 국민 파급력이 큰 기업에는 강화된 인증기준을 적용한다.

양 기관은 이를 위한 개인정보 보호법 및 정보통신망법 개정을 조속히 추진할 예정이다.

또한, 심사 방식을 강화한다. 기존에는 인증 신청 시 관리체계 운영명세서만 제출하면 됐지만, 앞으로는 인증범위 자산현황을 추가해야 한다.

심사 팀장 1명이 하루 방문하는 수준에 그쳤던 예비 심사는 핵심 항목을 선제 검증하고, 취약점 진단과 모의 침투 등 기술 심사를 적용할 예정이다. 본 심사는 핵심 항목을 충족하지 못하면 아예 불가능하며, 심사 자체도 코어시스템 중심의 현장 실증형 심사를 강화하기로 했다.

분야별 인증위원회를 운영하고 심사원 대상으로 AI 등 신기술 교육을 통해 인증의 전문성도 높일 방침이다.

아울러, 사후관리를 대폭 강화한다. 인증기업임에도 유출사고 발생 시 적시에 특별 사후심사를 실시해 인증기준 충족 여부를 확인할 수 있도록 한다.

특히 사후심사 과정에서 인증기준의 중대 결함이 발견되는 경우 인증위원회 심의·의결을 거쳐 인증을 취소한다. 또한 사고기업에 대해서는 사후심사 투입 인력·기간을 2배로 확대하고, 사고원인 및 재발방지 조치를 집중 점검할 계획이다.

한편, 개인정보위는 유출사고가 발생한 인증기업에 대해 이달부터 현장점검을 실시한다. 특히 쿠팡 등 현재 조사가 진행 중인 기업의 경우, 과기정통부 민관합동조사단·개인정보위 조사와 연계해 인증기관 주관으로 인증기준 적합성 등에 대해 점검한다.

과기정통부도 지난달 22일 발표한 범부처 정보보호 종합대책 후속으로 통신·온라인쇼핑몰 등 900여개 ISMS 인증기업에 긴급 자체 점검 실시를 요청한 상태로, 기업들의 점검 결과에 대해 내년 초부터 현장 검증을 실시할 예정이다.

양 기관은 지난달부터 운영 중인 과기정통부·개인정보위·인증기관 합동 제도개선 TF를 통해 개선방안을 최종 확정하고, 특별 사후점검 결과 등을 반영해 내년 1분기 중 관련 고시를 개정하여 단계적으로 시행할 예정이다.