ISMS-P 받고도 털린 쿠팡…정부 "현장심사·인증 취소 강화"

[디지털데일리 김보민기자] 최근 정보보호 및 개인정보보호관리체계(ISMS-P) 인증 기업에서 대규모 유출 사고가 반복되자 정부가 제도를 강화하겠다고 예고했다.

개인정보보호위원회는 6일 과학기술정보통신부, 한국인터넷진흥원(KISA)과 ISMS-P 인증제 개선을 주제로 관계부처 대책 회의를 개최했다.

이번 회의는 쿠팡을 비롯해 ISMS-P 인증을 획득한 기업에서 대규모 보안 사고와 유출이 이어진 가운데 개최됐다. 'ISMS-P 인증이 유명무실해졌다'는 평가가 제기된 만큼 제도 실효성을 높이기 위한 취지다.

정부는 자율 운영되던 ISMS-P 인증을 공공·민간 주요 개인정보처리시스템에 대해 의무화해 상시 안전 관리 체계가 가동될 수 있도록 할 방침이다. 통신사, 대규모 플랫폼 사업자 등 국민 파급력이 큰 기업에 대해 강화된 인증 기준을 마련하기로 했다.

이를 반영한 개인정보보호법 및 정보통신망법 개정도 조속히 추진할 예정이다.

심사 방식도 전면 강화된다. 정부는 예비심사 단계에서 핵심 항목을 선검증하고, 기술 심사 및 현장실증 심사를 강화한다. 분야별로 인증위원회를 운영하고 심사원 대상 인공지능(AI) 등 신기술 교육을 통해 인증 전문성도 높인다.

사후 관리도 개선한다. 정부는 인증 기업에서 유출 사고가 발생할 경우 특별 사후심사를 실시해 인증 기준 충족 여부를 확인할 계획이다. 이 과정에서 중대 결함이 발견된 경우 인증위원회 심의와 의결을 거쳐 인증을 취소할 수도 있다. 사후심사 투입 인력과 기간도 2배 늘린다.

한편 개인정보위는 유출 사고가 발생한 인증 기업에 대해 이달부터 현장 점검을 실시한다. 특히 쿠팡과 같이 조사가 진행 중인 기업의 경우 과기정통부 민관합동조사단 및 개인정보위 조사와 연계해 인증기관 주관으로 기준 적합성 등을 점검할 방침이다.

- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -