CloudPNG

ºC

logo
IT/바이오

ISMS-P 의무화 확대…정부, 해킹사고 땐 인증 취소 검토

권혁준 기자
입력

개인정보보호 관리체계인 ISMS와 ISMS-P 제도가 전면 손질된다. 최근 쿠팡을 포함한 대형 온라인 플랫폼에서 대규모 개인정보 유출 사고가 연이어 발생하면서, 기존 인증제도가 실질적인 안전장치 역할을 하지 못했다는 비판이 커졌기 때문이다. 정부는 자율에 맡겨졌던 인증을 의무화하고, 사고 발생 시 인증 취소까지 가능하도록 제도를 강화해 통신과 플랫폼 중심의 데이터 경제에서 보안 리스크를 줄이겠다는 구상이다. 업계에서는 기술 경쟁과 더불어 보안 규제 준수가 디지털 비즈니스의 핵심 변수로 부상하고 있다는 분석이 나온다.

 

과학기술정보통신부와 개인정보보호위원회는 6일 오후 송경희 개인정보보호위원장 주재로 관계부처 대책 회의를 열고 ISMS·ISMS-P 인증제 개선 방향을 논의했다. 회의에는 과기정통부 2차관, 한국인터넷진흥원장 등 관련 기관 책임자들이 참석해 제도 개편 방안을 조율했다. 두 기관은 향후 개인정보보호법과 정보통신망법 개정을 통해 개선안을 제도화한다는 계획을 세웠다.

정부는 우선 지금까지 기업 자율에 맡겨졌던 ISMS-P 인증을 주요 공공시스템, 통신사업자, 대형 온라인 플랫폼 등 핵심 개인정보처리시스템에 대해 의무화하기로 했다. 그동안 일부 대형 사업자를 중심으로 자발적 인증이 이뤄졌지만, 이용자 규모와 파급력이 큰 서비스에서 조차 보안관리 수준이 들쭉날쭉하다는 지적이 제기돼 왔다. 의무화가 완료되면 일정 규모 이상의 데이터 인프라는 상시적인 정보보호 관리체계를 유지해야 한다.

 

특히 통신사와 대규모 플랫폼처럼 국민 생활 전반에 영향을 미치는 기업에는 일반 기업보다 강화된 인증기준을 별도로 마련해 적용할 방침이다. 예를 들어 접속 로그 관리, 암호화 수준, 침해사고 대응 절차 등에서 보다 엄격한 기준을 부과해, 대량의 개인정보를 다루는 사업자의 보안 수준을 한 단계 끌어올리겠다는 것이다. 글로벌 차원에서 데이터 보호 규제가 강화되는 흐름에 발맞추겠다는 의미도 담겼다.

 

심사 방식도 손질된다. 예비심사 단계에서 핵심 항목을 먼저 검증하는 구조로 바꾸고, 기술심사와 현장실증 심사의 비중을 높인다. 서류 위주의 형식적 확인이 아니라 실제 시스템 구성과 운영 상태를 중심으로 살펴보겠다는 취지다. 또 분야별 인증위원회를 운영해 금융, 유통, 통신, 공공 등 산업 특성을 반영한 심사를 추진하고, 심사원을 대상으로 인공지능 등 신기술 관련 교육을 강화해 복잡해지는 IT 인프라 환경을 제대로 평가할 수 있도록 전문성을 높일 계획이다.

 

제도 개선의 또 다른 축은 사후관리 강화다. 앞으로 인증기업에서 개인정보 유출사고가 발생하면 곧바로 특별 사후심사를 실시해 인증기준 충족 여부를 재점검할 수 있도록 한다. 이 과정에서 중대한 결함이 발견될 경우 인증위원회 심의와 의결을 거쳐 인증을 취소하는 제재도 도입한다. 사고 기업에 대해서는 사후심사 투입 인력과 기간을 2배로 확대해 사고원인 분석과 재발방지 조치를 집중 점검할 예정이다.

 

개인정보보호위원회는 이미 이달부터 유출사고가 발생한 인증기업을 대상으로 현장 점검에 착수했다. 특히 쿠팡 등 현재 조사가 진행 중인 기업에 대해서는 과기정통부 민관합동조사단, 개보위 자체 조사와 연계해 인증기관이 주관하는 별도 점검을 진행한다. 이를 통해 기존에 획득한 ISMS-P 인증이 실제 현장의 보안수준을 제대로 반영했는지, 인증 기준과 절차에 구조적 허점은 없었는지 집중적으로 들여다볼 계획이다.

 

과기정통부는 지난 10월 22일 관계부처 합동으로 발표한 정보보호 종합대책의 후속 조치로, 통신사와 온라인 쇼핑몰 등 약 900개 ISMS 인증기업에 모든 인터넷 접점에 대한 보안 취약점 점검을 요구한 상태다. 각 기업이 수행한 자체 점검 결과에 대해서는 내년 초부터 정부와 인증기관이 직접 현장 검증에 나선다. 클라우드, 사물인터넷, 엣지단 기기 등 인터넷 연결 지점이 폭발적으로 늘어난 상황에서, 전 구간을 대상으로 한 취약점 점검이 유지돼야 사고를 줄일 수 있다는 판단이다.

 

두 기관은 지난달부터 과기정통부, 개인정보보호위원회, 인증기관이 함께 참여하는 제도 개선 태스크포스를 운영 중이다. 이 TF에서 마련되는 최종 개선 방안과 특별 사후점검 결과를 반영해 내년 1분기 중 관련 고시를 개정하고 단계적으로 새 제도를 시행할 계획이다. 데이터 기반 비즈니스가 확대되는 만큼, 정보보호 인증이 단순한 형식 요건이 아니라 실질적 리스크 관리 도구로 작동해야 한다는 공감대가 정부와 업계 모두에서 확산되는 분위기다.

 

업계에서는 강화된 인증 기준이 단기적으로는 비용 부담을 키우겠지만, 장기적으로는 신뢰 기반의 플랫폼 경쟁력을 뒷받침하는 요소가 될 수 있다는 평가가 나온다. 개인정보 침해에 대한 사회적 민감도가 높아진 상황에서, 산업계는 강화된 ISMS-P 제도가 실제 현장에서 작동하며 디지털 서비스에 대한 이용자 신뢰를 회복할 수 있을지 주시하고 있다.

권혁준 기자
share-band
밴드
URL복사
#개인정보보호위원회#과학기술정보통신부#쿠팡