송경희 개인정보보호위원회 위원장이 6일 오후 정부서울청사에서 개최된 ISMS-P 인증 개선 관련 회의에서 모두발언을 하고 있다.(개인정보보호위원회 제공)

<이미지를 클릭하시면 크게 보실 수 있습니다>

쿠팡 등 정보보호 관리체계(ISMS)와 정보보호 및 개인정보보호관리체계(ISMS-P) 인증기업에서 개인정보 유출 사고가 잇따르면서 정부가 실효성 강화를 위해 제도를 전면 개편한다.

앞으로 통신사, 대형 온라인 플랫폼에 ISMS-P 인증을 의무화한다. 인증기업에서 유출 사고가 발생하면 특별 사후심사를 실시하고 인증기준에 중대한 결함이 확인되면 인증을 취소한다.

개인정보보호위원회와 과학기술정보통신부가 6일 오후 관계부처 대책회의를 열고 이러한 인증제 개선 방안을 논의했다.

먼저 기존 자율적으로 운영되던 ISMS-P 인증을 의무화한다. 주요 공공시스템, 통신사, 대규모 플랫폼 등 공공·민간 주요 개인정보처리시스템이 대상이다. 특히 통신사와 대형 플랫폼 사업자 등 국민 파급력이 큰 기업엔 강화된 인증기준을 적용한다. 양 기관은 이를 위한 개인정보보호법과 '정보통신망 이용촉진 및 정보보호 등에 관한 법률'(정보통신망법) 개정을 조속히 추진할 예정이다.

심사방식도 바꾼다. 예비심사 단계에서 핵심항목을 선검증하고, 기술심사 및 현장실증 심사를 강화하도록 개선한다. 나아가 전문성을 높이기 위해 분야별 인증위원회를 운영하고 심사원에게 인공지능(AI) 등 신기술 교육을 실시한다.

사후관리도 대폭 강화한다. 인증기업의 유출사고 발생 시 적시에 특별 사후심사를 실시해 인증기준 충족 여부를 확인할 수 있도록 한다. 사후심사 과정에서 인증기준의 중대 결함이 발견되는 경우 인증위원회 심의·의결을 거쳐 인증을 취소한다. 또 사고기업에 대해선 사후심사 투입 인력·기간을 2배로 확대하고, 사고원인 및 재발방지 조치를 집중 점검한다.

개인정보위는 유출사고가 발생한 인증기업에 대해 이달부터 현장점검을 실시한다. 특히 쿠팡 등 현재 조사가 진행 중인 기업의 경우 과기정통부 민관합동조사단·개인정보위 조사와 연계해 인증기관 주관으로 인증기준 적합성 등에 대해 점검한다.

개인정보위 관계자는 “지난달부터 운영 중인 과기정통부·개인정보위·인증기관 합동 제도개선 태스크포스(TF)를 통해 개선방안을 최종 확정하고, 특별 사후점검 결과 등을 반영해 내년 1분기 중 관련 고시를 개정해 단계적으로 시행할 것”이라고 밝혔다.

조재학 기자 2jh@etnews.com

[Copyright © 전자신문. 무단전재-재배포금지]