정부 ‘쿠팡 유출’에 ISMS-P 전면 개편…“유출 사고 땐 인증 취소도”

송경희 개인정보보호위원장이 6일 정부서울청사에서 열린 정보보호 및 개인정보 보호 관리 체계(ISMS-P) 인증 개선 관련 회의에서 발언을 하고 있다. 개인정보보호위원회 제공

쿠팡·케이티(KT)·롯데카드 등 정보보호 관리체계(ISMS)와 정보보호·개인정보보호 관리체계(ISMS-P) 인증기업에서 대규모 개인정보 유출이 반복되면서 정부가 인증제도 사후관리와 심사 기준을 대폭 강화하기로 했다. ‘무늬만 인증’이란 비판에 제도의 실효성을 근본부터 재정비하겠다는 것이다.

과학기술정보통신부와 개인정보보호위원회는 6일 관계 부처 대책회의를 열고 개인정보 유출 사고 발생 때 사후 심사를 거쳐 인증을 취소하는 방안 등을 담은 인증제 개선 방안을 논의했다고 밝혔다.

우선, 개편안은 예비심사 단계에서부터 핵심 항목을 우선 검증하고 기준을 충족하지 못하면 신청을 반려하기로 했다. 기존의 서류·샘플 점검 중심 심사는 핵심 시스템을 직접 점검하는 현장 실증 방식으로 바뀐다. 과거 유출 이력이나 위험도가 높은 기업은 예비 단계부터 취약점 진단과 모의해킹 등 기술 심사를 받는다.

사후 관리도 강화된다. 인증기업에서 유출 사고가 발생하면 즉시 특별 사후심사를 실시하고, 중대한 결함이 확인되면 인증위원회 심의를 거쳐 인증을 취소할 수 있도록 한다. 지금까지 인증 취소 사례는 없으며, 쿠팡이 첫 취소 기업이 될 가능성도 거론된다. 사후심사 인력과 기간은 기존보다 두 배 확대된다.

또 자율 신청 방식이었던 정보보호·개인정보보호 관리체계는 공공·통신사·대형 플랫폼 등 주요 개인정보처리시스템에 의무화된다. 국민 파급력이 큰 기업에는 더욱 강화된 기준이 적용된다. 이를 위해 개인정보보호법·정보통신망법 개정이 추진된다.

양청삼 개인정보위 개인정보정책국장은 “인증기업 가운데 10%에서 사고가 났지만 이것만으로 인증제도가 아무런 의미가 없다고 볼 순 없다”며 “제도의 순기능은 살리되 관리·감독을 강화해 신뢰받는 인증으로 재정비하겠다”고 말했다.

선담은 기자 sun@hani.co.kr

[끝나지 않은 심판] 내란오적, 최악의 빌런 뽑기 ▶

내란 종식 그날까지, 다시 빛의 혁명 ▶스토리 보기

▶▶한겨레 뉴스레터 모아보기