앞으로 이동통신사 등 매출액이 크거나 대규모 개인정보를 지닌 기업들은 정보보호 및 개인정보보호 관리체계(ISMS-P)를 필수 취득해야 한다. 취약점 진단·모의침투 등 기술심사 방식도 도입한다. SK텔레콤, KT, 쿠팡 등 ISMS-P 인증을 받은 기업에서 연이어 해킹 사고가 발생하면서 정부가 제도 개선에 나섰다.
과학기술정보통신부와 개인정보보호위원회는 10일 서울 종로구 정부서울청사에서 열린 경제관계장관회의에서 '정보보호 및 개인정보보호 관리체계(ISMS·ISMS-P) 인증제 실효성 강화방안'을 발표했다.
ISMS·ISMS-P 인증은 국제표준에 기반해 기업의 보안 체계를 점검하는 제도다. 이번 강화방안에는 △인증 대상·기준 △심사방식 △사후관리 △심사 품질확보 등 개선책이 담겼다.
우선 ISMS-P 인증을 해킹 사고 파급력이 큰 일부 사업자를 대상으로 의무화한다. 그간 이 인증은 자율 취득 방식으로 운영됐다. 대상 사업자는 △주요 공공시스템운영기관 △이동통신사업자 △본인확인기관 △대규모 개인정보처리자(매출액·개인정보 처리규모 기준) 등이다.
또 획일적 처리 기준을 벗어나 '차등화 관리체계'를 마련한다. 양 기관은 '강화인증'을 신설해 기존 '표준인증', '간편인증'과 함께 3단계 관리체계를 구축할 계획이다. 아울러 외부 인터넷과 연결돼 공격 경로로 활용될 수 있는 디지털 자산을 포함시키는 등 인증 범위를 단계적으로 확대한다.
다음으로 서면 중심의 기존 심사방식을 현장 중심의 심사체계로 전면 개편한다. 특히 본심사 전 예비 심사 단계에서 CISO(최고정보보안책임자)·CPO(최고개인정보보호책임자)의 정보보호 정책관리권한 유무, 개인정보 처리시스템 비밀번호·암호화 적용 여부 등 핵심 인증기준을 사전 점검한다. 취약점 점검 전문인력이 점검도구(취약점 스캐너·스크립트·소스코드 진단툴 등)를 활용해 심사하는 기술심사도 도입한다.
사후관리는 인증심사 후 상시 점검을 확대하는 방향으로 강화한다. 특정 시점만 확인하는 '스냅샷' 방식에서 벗어나겠다는 것. 중대 침해사고가 발생한 기업은 특히 엄격히 관리한다. 일단 기업이 사고복구·재발 방지에 집중할 수 있도록 인증 심사를 잠정 중단하되, 추후 정부 조사·처분 등이 종료되면 심사인력·기간을 확대해 사고원인, 조치현황, 재발 방지 대책 등을 철저히 심사한다. 또 인증취소를 현실화한다. 법령에 규정된 인증취소 사유를 구체화하고 관련 법령에 따른 취소를 추진한다.
마지막으로 심사기관의 관리책임을 강화하고 심사원의 전문역량을 개발한다. 양 기관은 매 인증심사 종료 후 심사기관 신뢰도를 조사하고 그 결과를 다음 연도 인증심사에 반영하는 체계를 마련할 계획이다. 심사원은 AI·클라우드 등 전문 분야별 특화 심사가 가능하도록 교육하고 인건비를 현실에 맞게 높여 처우도 개선한다.
양 기관은 올해 하반기부터 순차 시행하는 것을 목표로 시행령·고시·안내서 등을 개정하고 관련 예산을 확보하는 등 후속 조치를 철저히 수행할 예정이다.
송경희 개인정보위 위원장은 "이번 강화방안을 시작으로 인증제도를 개인정보 보호의 사전 예방 핵심 수단으로 개선해 안심할 수 있는 디지털 환경을 구현하겠다"고 밝혔다.
류제명 과기정통부 제2차관은 "급변하는 사이버 보안 환경에 대응해 정보보호 관리체계를 보다 엄격하고 내실 있게 운영하겠다"며 "인증제도의 실효성을 높이겠다"고 말했다.