ISMS·ISMS-P 취소 기준/그래픽=윤선정

개인정보보호위원회(이하 개인정보위)와 과학기술정보통신부(이하 과기정통부)가 '정보보호 및 개인정보보호 관리체계(ISMS·ISMS-P) 인증 취소 관계기관 대책회의'를 개최했다고 29일 밝혔다. 이날 회의에는 한국인터넷진흥원(KISA), 금융보안원 등 인증심사 및 인증서 발급 업무를 수행하는 인증기관과 민간 전문가로 구성된 인증위원회가 함께 했다.

ISMS와 ISMS-P는 주요 정보자산 유출 및 피해 예방을 위해 일정 수준 이상 기업·기관이 운영 중인 개인정보 및 정보보호 체계가 적합한지 인증하는 제도를 말한다. 최근 SK텔레콤, KT, 쿠팡 등 이 인증을 받은 기업에서 대규모 개인정보 유출 사고가 발생하면서 엄격한 사후관리와 인증 취소 제도가 필요하다는 목소리가 일었다.

이번 대책회의는 지난 6일 개최된 '정보보호 및 개인정보보호 관리체계 인증제 개선 관계기관 대책회의'의 후속 조치다. 개인정보위와 과기정통부는 이번 대책회의를 통해 그간 논의해 온 인증취소 기준 구체화 방안을 최종심의·확정하고 즉각 시행할 계획이다. 개인정보위와 과기정통부는 지난 11월부터 운영 중인 '관계기관 합동 제도개선 TF'를 통해 최근 사이버 침해 및 개인정보 유출 사고의 주요 원인을 분석하고 핵심 항목이 되는 인증기준을 도출했다.

먼저 인증기업이 연 1회 받는 사후 심사에서 △외부 인터넷 접점 자산 식별 △접근권한 관리 △패치관리 등 실제 사고와 밀접하게 연관된 핵심 항목을 집중 점검한다. 대상 기업이 자료를 미제출·허위 제출하는 경우 인증을 취소한다. 점검 결과 중대 결함이 발견된 경우에도 인증위원회 심의를 거쳐 인증을 취소한다.

또 인증기업이 개인정보 보호법 위반으로 과징금 등 처분을 받은 경우 위반행위의 중대성을 따져 인증을 취소한다. 특히 개인정보위는 △1000만명 이상의 피해 발생 △반복적 법 위반 △고의·중과실 위반행위로 사회적 영향이 큰 경우에는 원칙적으로 인증을 취소할 방침이다.

인증 취소 후의 관리 방안도 마련한다. 의무대상 기업은 취소 이후 1년간 재신청 유예기간을 둬 실질적인 보안 개선이 이루어지도록 유도한다. 다만 유예 기간에는 인증 의무 미이행 과태료를 면제한다. 의무대상이 아닌 기업은 지속적 관리체계 구축을 위해 인증 재취득을 권고한다.

개인정보위 관계자는 "이번 회의는 지난 10월 범부처 정보보호 종합대책부터 이어 온 관계기관의 제도 개선 의지를 결집하는 자리"라며 "앞으로도 지속 협력해 인증기준에 미달하거나 중대한 위반이 있는 기업은 인증을 유지할 수 없도록 엄격히 관리하겠다"고 밝혔다.

송경희 개인정보보호위원장이 지난 17일 서울 여의도 국회 과학기술정보방송통신위원회에서 열린 쿠팡 개인정보 유출 사고 관련 청문회에서 의원 질의에 답하고 있다./사진=뉴스1

<이미지를 클릭하시면 크게 보실 수 있습니다>

이찬종 기자 coldbell@mt.co.kr

Copyright ⓒ 머니투데이 & mt.co.kr. 무단 전재 및 재배포, AI학습 이용 금지.