[디지털데일리 김보민기자] 정부가 개인정보 유출 사고가 발생한 기업을 대상으로 보안 인증을 취소할 수 있는 제도 개선안을 발표했다. 올해 KT와 쿠팡 등 보안 인증을 받은 기업에서 보안 사고가 이어지자 이에 대한 대책을 마련한 것이다.

개인정보보호위원회와 과학기술정보통신부는 '정보보호 및 개인정보보호 관리체계(ISMS·ISMS-P) 인증 취소 대책 회의를 개최했다고 29일 밝혔다. 회의에는 한국인터넷진흥원(KISA), 금융보안원 등 인증기관 및 민간 전문가로 구성된 인증위원회가 참여했다.

이번 회의는 쿠팡을 비롯해 ISMS-P 인증을 획득한 기업에서 대규모 보안 사고와 유출이 이어진 가운데 개최됐다. '국내 보안 인증이 유명무실해졌다'는 평가가 제기된 만큼 제도 실효성을 높이기 위한 논의가 이어졌다.

개인정보위와 과기정통부는 태스크포스(TF) 방식으로 인증 기준을 도출했고, 향후 인증 취소를 엄격히 적용할 계획이라고 밝혔다. 먼저 인증기업이 개인정보보호법 위반으로 과징금 등 처분을 받은 경우 위반 행위 중대성을 따져 인증을 취소하기로 했다. 특히 1000만명 이상 피해가 발생하거나 반복적으로 법을 위반해 사회적 영향을 낳은 경우 원칙적으로 인증을 취소할 방침이다.

법 개정도 병행한다. 정부는 정보통신망법에서도 망법 등을 위반하고 그 행위가 중대한 경우 인증을 취소할 수 있도록 개정을 진행하고 있다. 개정이 완료될 경우 관련 세부 기준을 수립할 예정이다.

외부 인터넷 접점 자산 식별, 접근권한 관리, 패치 관리 등 실제 사고와 연관된 항목을 인증기업이 연 1회 받는 사후심사에서 집중 점검을 진행하기로 했다. 사후 관리를 이행하지 않거나 거부할 경우, 자료를 제출하지 않거나 허위로 제출할 경우에도 인증이 취소된다.

관리 방안도 마련했다. 정부는 의무대상 기업에 대해서는 취소 이후 1년간 재신청 유예기간을 두고 보안 개선이 이뤄지도록 유도할 계획이다. 해당 기간에는 인증의무 미이행 과태료를 면제한다. 의무대상이 아닌 기업의 경우에도 관리 체계를 구축하도록 인증 재취득을 권고하기로 했다.

개인정보위 관계자는 "인증 기준에 미달하거나 중대한 위반이 있는 기업이 인증을 유지할 수 없도록 엄격히 관리해 인증제도 신뢰성을 회복할 것"이라고 말했다. 과기정통부 관계자는 "인증 취소를 적극 실시해 정부 인증제도 실효성을 높이겠다"고 강조했다.

- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -