개인정보위·과기정통부, ISMS·ISMS-P 인증제도 실효성 전면 강화...심사 및 사후관리 대폭 강화

개인정보보호위원회와 과기정통부가 인증 기업의 반복적인 유출사고에 대응해 인증제도 전면 개편을 추진한다.

[한국정보기술신문] 개인정보보호위원회와 과학기술정보통신부가 정보보호 관리체계 인증 및 개인정보보호 관리체계 인증 제도의 실효성을 전면 강화하기로 했다. 최근 인증을 받은 기업들에서 해킹과 대규모 개인정보 유출 사고가 반복 발생함에 따른 조치다.

개인정보위 송경희 위원장 주재로 과기정통부 제2차관, 한국인터넷진흥원장 등이 참여한 가운데 6일 오후 4시 인증제 개선 관계부처 대책회의가 개최됐다. 이 자리에서 양 기관은 인증 실효성 강화를 위한 제도의 전면적 개편 방안을 추진한다고 밝혔다.

ISMS-P 인증 의무화 및 강화된 기준 적용

기존에 자율적으로 운영되던 ISMS-P 인증이 공공과 민간의 주요 개인정보처리시스템에 대해 의무화된다. 주요 공공시스템, 통신사, 대규모 플랫폼 등이 상시적 개인정보 안전관리체계를 구축해야 한다.

특히 통신사와 대규모 플랫폼 사업자 등 국민 파급력이 큰 기업에 대해서는 강화된 인증기준이 마련되어 적용된다. 양 기관은 이를 위한 개인정보 보호법 및 정보통신망법 개정을 조속히 추진할 예정이다.

ISMS는 정보통신망서비스제공자와 집적정보통신시설사업자 등 법상 의무대상자가 규정되어 있지만, ISMS-P는 자율적으로 임의 신청하여 인증을 취득하는 방식이었다.

심사방식 전면 강화로 인증 전문성 제고

심사방식도 전면 강화된다. 예비심사 단계에서 핵심항목을 선검증하고, ISMS 고위험 기업이나 사고 기업, ISMS-P의 경우 취약점 진단과 모의 침투 등 기술심사 방식을 적용한다. 핵심항목을 충족하지 못하면 본심사가 불가능하며, 최초 인증의 경우 신청이 반려되고 사후심사의 경우 인증 효력이 취소된다.

본심사도 기존의 서면 위주 샘플링 점검에서 벗어나 코어시스템 중심의 현장실증형 심사로 전환된다. 사후심사에서는 결함 발생 수준에 따라 심사 인력이 추가로 투입된다.

분야별 인증위원회 운영과 심사원 대상 인공지능 등 신기술 교육을 통해 인증의 전문성도 높인다.

사후관리 대폭 강화, 인증 취소도 가능

사후관리가 대폭 강화되는 것도 주요 내용이다. 인증 기업에서 유출사고가 발생하면 적시에 특별 사후심사를 실시하여 인증기준 충족 여부를 확인한다. 사후심사 과정에서 인증기준의 중대 결함이 발견되면 인증위원회 심의와 의결을 거쳐 인증을 취소할 수 있다.

사고 기업에 대해서는 사후심사 투입 인력과 기간을 2배로 확대하고, 사고 원인 및 재발 방지 조치를 집중 점검한다.

개인정보위는 유출사고가 발생한 인증 기업에 대해 이달부터 현장점검을 실시한다. 특히 쿠팡 등 현재 조사가 진행 중인 기업의 경우, 과기정통부 민관합동조사단과 개인정보위 조사와 연계하여 인증기관 주관으로 인증기준 적합성 등을 점검한다.

900여개 ISMS 인증기업 긴급 자체 점검 실시

과기정통부도 지난 10월 22일 발표한 관계부처 합동 정보보호 종합대책의 후속 조치로 통신과 온라인 쇼핑몰 등 900여개 ISMS 인증 기업을 대상으로 모든 인터넷 접점에 대한 보안 취약점 점검 등 긴급 자체 점검을 실시하도록 요청했다. 기업들의 점검 결과에 대해서는 내년 초부터 현장 검증을 실시할 예정이다.

양 기관은 지난달부터 운영 중인 과기정통부와 개인정보위, 인증기관 합동 제도개선 태스크포스를 통해 개선방안을 최종 확정하고, 특별 사후점검 결과 등을 반영하여 2026년도 1분기 중 관련 고시를 개정하여 단계적으로 시행할 계획이다.

한국정보기술신문 정보보안분과 안서진 기자 news@kitpa.org