CloudPNG

ºC

logo
IT/바이오

ISMS-P 유출시 인증취소 추진…정부, 상시 사후심사 강화

신도현 기자
입력

대형 플랫폼과 통신사를 잇따라 강타한 개인정보 유출 사고가 국내 정보보호 인증제도 전면 손질로 이어지고 있다. 정부가 ISMS-P 인증을 대형 온라인 플랫폼과 통신사, 주요 공공시스템 등으로 의무 확대하고, 사고 발생 시 인증 취소와 특별 사후심사를 병행하는 고강도 관리 방안을 예고했다. 인증을 단순 통과 요건이 아닌 상시 리스크 관리 도구로 재설계하겠다는 구상이다. 업계에서는 인증 유지 비용과 관리 부담이 커지는 대신, 보안 투자를 미룬 기업에는 직접적인 시장 압박이 가해질 수 있다는 분석이 나온다.

 

개인정보보호위원회와 과학기술정보통신부는 6일 오후 송경희 개인정보보호위원장 주재로 제도 개선 관계부처 대책 회의를 열고 ISMS-P와 ISMS 제도 전반을 손질하는 방향에 합의했다. 쿠팡, SK텔레콤, KT, 롯데카드 등 이미 인증을 보유한 기업에서 대규모 유출 사고가 반복된 점을 문제로 보고, 자율 운영 구조에 가까웠던 인증제를 의무·상시 관리체계로 전환하겠다는 것이다. 두 부처와 한국인터넷진흥원은 11월 국정감사 직후부터 테스크포스를 가동해 인증기준과 심사 절차 개편안을 논의해왔다.

핵심은 인증제도의 실효성 강화다. 우선 정부는 주요 공공시스템, 통신사, 대형 온라인 플랫폼 등 국민 파급력이 큰 개인정보처리시스템에 ISMS-P 인증을 의무화하는 방향을 추진한다. 지금까지는 다수 기업이 자율적으로 인증을 받아왔지만, 앞으로는 대규모 트래픽과 민감 데이터를 다루는 사업자는 사실상 필수 요건으로 관리체계를 갖춰야 하는 구조로 바뀐다. 개인정보보호위원회와 과기정통부는 인증범위 내 자산 현황을 명확히 식별하도록 요구해, 어떤 서버와 시스템, 데이터가 보호 대상인지부터 정교하게 파악하도록 유도한다.

 

기술적으로는 기존 인증기준에 담겨 있던 암호키 관리, 접근권한 통제, 퇴직자 계정 회수 등 글로벌 공통 보안 통제 항목을 실제 운영 수준까지 끌어올리는 데 방점을 찍는다. 쿠팡 사고에서 쟁점이 된 암호키 탈취, 퇴사 직원 계정 관리 문제는 이미 기준에는 반영돼 있지만, 심사와 사후관리 단계에서 허점이 드러났다는 판단이다. 이에 따라 인증 유효기간을 3년으로 두되, 매년 인증기관이 운영 실태를 점검하는 연차 심사 개념을 도입해 문서 중심 심사에서 실운영 검증으로 무게 중심을 옮길 계획이다.

 

시장 측면에서는 900여 개 ISMS 인증기업을 대상으로 한 긴급 점검이 정비의 출발점이 된다. 과기정통부는 10월 발표한 정보보호 종합대책의 후속 조치로 통신, 온라인 쇼핑몰 등을 포함한 인증기업에 모든 인터넷 접점에서 보안 취약점을 자체 점검하도록 요청했다. 기업들이 제출한 점검 결과는 내년 초부터 현장 검증으로 이어진다. 단순한 자기 진단 수준에서 벗어나, 실제 서비스 환경에서 공격 경로를 추적하는 수준의 기술적 진단이 병행될 가능성이 크다.

 

정부는 이번 개편을 국내 인증체계를 글로벌 수준에 맞추는 과정으로 규정하고 있다. 양 부처는 ISMS와 ISMS-P를 국제 정보보호 관리체계 표준에 부합하는 규범으로 보고, 해외에서도 공통적으로 요구되는 보안 거버넌스, 위험 분석, 기술 통제 요소를 반영해왔다고 설명했다. 다만 연이은 사고로 기준과 심사, 사후관리의 간극이 드러난 만큼, 인증 취득 단계 못지않게 사후심사와 인증 취소 절차를 강화해 실질적인 책임 구조를 만들겠다는 의도다.

 

규제 측면에서는 법과 고시 개정이 동반된다. 정보통신망 이용촉진 및 정보보호 등에 관한 법률 개정안에는 인증제도 실효성을 높이기 위한 조항이 포함돼 법제사법위원회까지 통과한 상태다. 최종 개정안에는 개인정보 관리체계의 성숙도를 높이기 위한 인증 기준 현실화, 상시 운영 점검 절차 등이 반영될 전망이다. 개인정보보호위원회와 과기정통부는 내년 1분기 중 관련 고시를 개정해 단계적으로 시행한다는 방침이다. 이미 두 기관과 인증기관이 참여하는 합동 태스크포스에서 세부 조정 작업이 진행 중이다.

 

제재 수단도 강화된다. 현행 법령상 중대한 법규 위반이나 관리체계의 중대한 하자가 확인되면 ISMS·ISMS-P 인증을 취소할 수 있도록 규정하고 있어, 정부는 사후심사 과정에서 중대 결함이 드러난 경우 인증위원회 심의·의결을 거쳐 인증 취소를 적극 검토하기로 했다. 여기에 더해 개인정보보호법과 정보통신망법 상의 과징금 부과에 더해 이행강제금 도입 등 제재 장치를 보강하는 방안도 병행 추진된다. 개인정보 유출 사고 발생 시 인증 취소와 금전적 제재가 동시에 작동하는 구조가 되면, 인증 자체가 기업 평판과 사업 지속 가능성을 좌우하는 규범으로 자리 잡을 수 있다.

 

다만 인증범위에 자산 현황 식별까지 포함시키는 조치는 대형 플랫폼과 통신사 등 복잡한 인프라를 가진 기업에 상당한 부담을 줄 수 있다. 정부는 모든 자산을 일시에 심사 대상에 올리기보다는 연차별·영역별로 범위를 확대하는 단계적 접근을 검토하고 있다. 기업이 스스로 네트워크, 서버, 클라우드, 단말 등 자산 지도를 구축하고, 그 중 핵심 서비스와 데이터 흐름부터 관리체계에 편입하도록 유도하는 방식이다.

 

AI 기술 확산에 따른 보안 이슈 증가도 향후 인증제도 개편의 주요 변수로 떠오르고 있다. 생성형 AI와 대규모 데이터 분석 모델이 일상 서비스에 적용되면서 학습 데이터 안전성, 모델 접근 통제, 알고리즘 단계에서의 보안 설계까지 통합적으로 관리해야 할 필요가 커지고 있기 때문이다. 정부도 AI 관련 데이터 처리와 보안 요소를 인증 기준에 어떻게 반영할지 검토 중이라고 밝혔다. 향후에는 AI 개발·운영 환경이 별도 체크리스트로 분리되거나, 데이터 거버넌스 항목이 강화될 수 있다는 관측이 나온다.

 

국회에서 거론된 특사경 제도와 관련해서는 정보보호 인증제도와는 별개의 형사 집행 영역으로 선을 그었다. 한국인터넷진흥원 등 전문기관에 특별사법경찰 권한을 부여하는 방안은 개인정보보호법 위반 등 형사법 집행 체계를 바꾸는 사안이어서, 인증 심사나 제도 운영과 직접 연계하기는 어렵다는 입장이다. 정부는 현재로서는 인증제도 내에서의 취소와 사후심사 강화, 과징금과 이행강제금 등 행정제재 수단 확충에 집중하고 있다.

 

전문가들은 ISMS-P 의무화와 인증 취소 강화가 단기적으로는 기업의 규제 부담을 키우겠지만, 중장기적으로는 정보보호 투자를 구조화하고 사고 발생 시 책임 소재를 명확히 하는 계기가 될 수 있다고 본다. 반면 일부에서는 인증 획득을 둘러싼 형식 논리가 되풀이되지 않으려면, 심사기관의 전문성 제고와 이해충돌 방지, 결과 공개 수준 상향 등 제도 신뢰성을 높이는 조치가 병행돼야 한다는 지적도 제기된다. 산업계는 새 기준이 실제 현장의 보안 수준을 끌어올리면서도 과도한 행정 부담으로 작용하지 않을 수 있을지 예의주시하고 있다.

신도현 기자
share-band
밴드
URL복사
#개인정보보호위원회#isms-p#쿠팡