1000만명 정보 유출 땐 '퇴출'… 쿠팡에 칼 빼든 개인정보위

ISMS-P 인증기준 대폭 강화
중대성 따져 박탈, 관리방안도

ISMS·ISMS-P 취소 기준/그래픽=윤선정

개인정보보호위원회(이하 개인정보위)와 과학기술정보통신부가 29일 '정보보호 및 개인정보보호관리체계(ISMS·ISMS-P) 인증취소 관계기관 대책회의'를 개최하고 인증취소 기준을 밝혔다.

ISMS와 ISMS-P는 주요 정보자산 유출 및 피해예방을 위해 일정 수준 이상 기업·기관이 운영 중인 개인정보 및 정보보호체계가 적합한지 인증하는 제도를 말한다. 최근 SK텔레콤, KT, 쿠팡 등 이 인증을 받은 기업에서 대규모 개인정보 유출사고가 발생하면서 엄격한 사후관리와 인증취소제도가 필요하다는 목소리가 일었다.

개인정보위와 과기정통부는 그간 논의한 인증취소 기준 구체화 방안을 최종 심의·확정하고 즉각 시행할 계획이다.

먼저 인증기업이 연 1회 받는 사후심사에서 △외부 인터넷 접점 자산식별 △접근권한 관리 △패치관리 등 실제 사고와 밀접하게 연관된 핵심항목을 집중점검한다. 대상 기업이 자료를 미제출·허위제출하는 경우 인증을 취소한다. 점검결과 중대결함이 발견된 경우에도 인증위원회 심의를 거쳐 인증을 취소한다.

또 인증기업이 개인정보보호법 위반으로 과징금 등 처분을 받은 경우 위반행위의 중대성을 따져 인증을 취소한다. 특히 개인정보위는 △1000만명 이상의 피해발생 △반복적 법 위반 △고의·중과실 위반행위로 사회적 영향이 큰 경우에는 원칙적으로 인증을 취소할 방침이다.

인증취소 후 관리방안도 마련한다. 의무대상 기업은 취소 이후 1년간 재신청 유예기간을 둬 실질적인 보안개선이 이뤄지도록 유도한다. 다만 유예기간에는 인증의무 미이행 과태료를 면제한다. 의무대상이 아닌 기업은 지속적 관리체계 구축을 위해 인증 재취득을 권고한다.

개인정보위 관계자는 "앞으로도 지속 협력해 인증기준에 미달하거나 중대한 위반이 있는 기업은 인증을 유지할 수 없도록 엄격히 관리하겠다"고 밝혔다.

이찬종 기자 coldbell@mt.co.kr

Copyright ⓒ 머니투데이 & mt.co.kr. 무단 전재 및 재배포, AI학습 이용 금지.