최근 쿠팡의 대규모 개인정보 유출 사고를 비롯해 개인정보 관련 사건·사고가 빈번해지면서 정부가 ‘개인정보 관리체계(ISMS·ISMS-P)’ 인증제 전면 개선에 나서기로 했다. 앞으로 주요 개인정보처리시스템 사업자에게는 ISMS-P 인증이 의무화되며, 개인정보 유출 사고 발생 시 해당 기업에 대한 사후 관리도 강화한다.

과학기술정보통신부와 개인정보보호위원회는 6일 송경희 개인정보보호위원장 주재로 인증제 개선 관계부처 대책회의를 열었다. 이날 회의에서 정부는 기존에 자율적으로 운영되던 ISMS-P 인증을 주요 공공시스템, 통신사, 온라인플랫폼 등 주요 개인정보처리시스템에 의무화하기로 했다. 이를 통해 상시적인 개인정보 안전관리 체계를 구축하겠다는 취지에서다. 특히 국민적 파급력이 큰 기업에는 강화된 인증 기준을 새로 마련해 적용할 예정이다. 이를 위한 개인정보보호법 및 정보통신망법 개정도 조속히 추진한다.

송경희 개인정보보호위원장이 6일 정부서울청사에서 열린 ISMS-P 인증 개선 관련 회의에서 발언을 하고 있다. 개인정보보호위원회 제공

<이미지를 클릭하시면 크게 보실 수 있습니다>

이와 함께 심사방식도 전면 강화한다. 예비심사 단계에서 핵심항목을 선검증하고 기술심사와 현장실증심사를 강화하도록 할 예정이다. 분야별로 인증위원회를 운영하고 심사원 대상 인공지능(AI) 등 신기술 교육도 실시해 인증의 전문성도 높일 계획이다.

인증기업에서 유출 사고가 발생할 경우 바로 특별 사후심사를 실시하는 등 사후관리도 강화하기로 했다. 사후심사 과정에서 인증 기준에 중대 결함이 발견되는 경우 인증위원회 심의·의결을 거쳐 인증을 취소할 예정이다. 사고기업은 사후심사 투입 인력·기간을 2배로 확대하고 사고원인과 재발방지 조치 등을 집중적으로 점검한다는 계획이다.

개인정보보호위는 개인정보 유출 사고 발생 인증기업에 대한 현장 점검도 이번 달부터 실시한다. 특히 쿠팡 등 현재 조사가 진행 중인 기업의 경우 과기정통부 민관합동조사단, 개인정보보호위 조사와 연계해 인증기관 주관으로 인증 기준 적합성 등도 점검할 예정이다.

과기정통부는 지난 10월22일 관계부처 합동으로 발표한 ‘정보보호 종합대책’의 후속으로 통신·온라인쇼핑몰 등 900여개 ISMS 인증기업을 대상으로 모든 인터넷 접점에 대한 보안 취약점 점검 등 긴급 자체 점검을 실시하도록 요청한 바 있다. 기업들의 점검 결과에 대한 현장 검증을 내년 초부터 실시할 계획이다.

마지막으로 두 기관은 지난달부터 운영 중인 과기정통부·개인정보보호위·인증기관 합동 제도 개선 태스크포스(TF)를 통해 개선방안을 최종 확정할 예정이다. 특별 사후점검 결과 등을 반영해 내년 1분기 중으로 관련 고시를 개정하고 단계적으로 시행할 계획이다.

박지원 기자 g1@segye.com

ⓒ 세상을 보는 눈, 세계일보