CloudPNG

ºC

logo
IT/바이오

개인정보 대형사고 나면 ISMS 인증 취소…보안 규제 강화 신호탄

한채린 기자
입력

개인정보 대형 유출 사고가 기업 인증 단계에서 직접적인 제재로 연결되는 구조가 만들어지고 있다. 정보보호와 개인정보보호 관리체계 인증을 받은 기업이 1000만명 이상 규모의 개인정보 유출을 일으키거나, 동일한 법 위반을 반복할 경우 인증이 취소되는 방안이 도입된다. 정부는 인증을 단순한 통과 의례가 아닌 실질적인 보안 수준을 유지하는 장치로 바꾸겠다는 구상이다. 업계에서는 사이버 침해 사고가 잇따르는 상황에서 이번 조치가 국내 정보보호 인증 체계의 신뢰 회복과 규제 환경 변화를 가르는 분기점이 될 수 있다는 평가가 나온다.  

 

개인정보보호위원회와 과학기술정보통신부는 29일 서울정부청사에서 ISMS와 ISMS-P 인증 취소 기준과 절차를 논의하는 관계기관 대책회의를 열고, 사이버 침해와 개인정보 유출 사고에 대한 인증 취소 세부 방안을 공개했다. 두 부처가 공동으로 기준을 제시한 것은 대형 사고가 연달아 발생한 뒤 인증 제도의 실효성에 대한 의문이 커진 데 따른 대응이다.  

ISMS-P는 2018년부터 운영 중인 통합 인증 제도로, 정보보호 관리체계 인증인 ISMS에 개인정보보호 관리체계 요소를 결합한 형태다. 기본이 되는 ISMS는 관리체계 16개, 보호대책 64개 등 총 80개 기준을 점검한다. ISMS-P는 여기에 수집, 보관, 이용, 파기에 이르는 개인정보 처리 전 단계에 걸친 요구사항 21개를 추가로 평가한다. 서버와 네트워크 보호뿐 아니라 개인정보 최소 수집, 내부 접근 통제, 파기 절차 등까지 포함해 기업의 전반적인 정보보호 체계를 보는 구조다.  

 

정부는 우선 개인정보보호법 위반이 발생한 인증 기업에 대해 위반 행위의 중대성을 기준으로 인증 취소 여부를 판단하기로 했다. 핵심은 피해 규모와 위반의 성격이다. 1000만명 이상의 개인정보 유출 피해가 발생한 경우, 반복적인 법 위반이 확인된 경우, 그리고 고의나 중과실에 따른 위반으로 사회적 파장이 큰 경우에는 원칙적으로 인증을 취소한다는 방침을 세웠다. 특정 기업의 사고가 국민 다수의 신뢰를 훼손하는 수준에 이르면, 더 이상 인증 유지 자격이 없다고 보는 셈이다.  

 

정보통신망법 영역에서도 유사한 기준이 마련된다. 정부는 정보통신망법을 개정해 망법 등 관련 규정을 위반하고 그 행위가 중대하다고 판단될 경우 ISMS 인증을 취소할 수 있도록 법적 근거를 보완하고 있다. 개정이 마무리되면 개인정보보호법과 망법 모두에서 중대 사고에 대응하는 세부 기준을 확정해 적용할 계획이다. 온라인 서비스와 통신 인프라 전반에 걸쳐 동일한 수준의 책임 기준을 맞추겠다는 의미로 해석된다.  

 

사후 관리 강화도 이번 대책의 핵심 축이다. 정부는 연 1회 실시하는 인증 사후심사에서 실제 사고와 직접 연관된 핵심 항목을 집중 점검하기로 했다. 구체적으로는 외부 인터넷 접점 자산 식별, 내부와 외부 사용자의 접근 권한 관리, 취약점 패치 관리 등이 중점 대상이다. 최근 공격 패턴이 주로 인터넷 노출 자산과 미적용 패치를 노리는 만큼, 형식적 문서 검토가 아닌 기술·운영 실태를 직접 들여다보겠다는 것이다.  

 

사후심사 과정에서 기업이 점검을 거부하거나, 요구 자료를 제출하지 않거나 허위 자료를 제출하는 경우에는 바로 인증 취소에 착수한다. 점검 결과에서 중대한 결함이 발견될 때도 인증위원회 심의를 거쳐 취소 여부를 결정한다. 인증을 받은 이후에도 최소 수준의 관리체계를 지속적으로 유지하지 않으면, 인증 효력이 사라지는 구조다.  

 

인증 취소 이후 관리 방안도 함께 제시됐다. ISMS 또는 ISMS-P 인증 의무 대상 기업이 인증을 잃었을 경우, 취소 시점부터 1년간 재신청이 제한된다. 정부는 이 기간을 통해 기업이 보안 체계를 전면 재정비하도록 유도한다는 입장이다. 다만 인증 의무 불이행에 부과되는 과태료는 이 1년 동안 면제해, 사고 수습과 시스템 개선에 자원을 집중할 수 있게 하겠다는 설명이다.  

 

의무 대상이 아닌 자율 인증 기업에 대해서도 관리 체계 유지를 위한 조치가 병행된다. 정부는 이들 기업이 인증이 취소되거나 만료된 뒤에도 내부 보안 체계를 계속 운영하도록, 재취득을 적극 권고한다. 클라우드, 전자상거래, 핀테크 등 대규모 이용자 데이터를 처리하는 플랫폼 기업이 많은 만큼, 시장 신뢰를 확보하려면 자율 인증의 실질적 수준을 높여야 한다는 판단이 깔려 있다.  

 

업계에서는 강도 높은 제재가 도입되면 단기적으로 기업 부담이 커질 수 있지만, 장기적으로는 인증 제도의 신뢰성과 사이버보안 투자 확대에 긍정적 영향을 줄 수 있다는 관측이 나온다. 최근 글로벌 시장에서도 개인정보 유출과 랜섬웨어 공격이 잦아지며, 각국이 인증제 강화와 과징금 상향을 병행하고 있기 때문이다.  

 

개인정보보호위원회 관계자는 인증 기준 미달이나 중대한 위반이 있는 기업이 인증을 유지하지 못하도록 관리 강도를 높이겠다고 밝혔다. 그는 지속적인 협력을 통해 인증 제도 신뢰성을 회복해 나가겠다고 덧붙였다. 과학기술정보통신부 관계자도 사후 심사에서 기준을 충족하지 못하는 기업에 대해 인증 취소를 적극적으로 집행해, 정부 인증제의 실효성을 끌어올리겠다는 의지를 나타냈다. 산업계는 강화된 기준이 실제 보안 수준 개선과 제도 신뢰 회복으로 이어질지 주시하고 있다.

한채린 기자
share-band
밴드
URL복사
#개인정보보호위원회#isms#isms-p