[디지털데일리 김보민기자] 정부가 정보보호 및 개인정보보호 관리체계(ISMS·ISMS-P) 제도를 본격 손질한다. 해당 인증을 획득하고서도 대형 보안 사고를 내는 일이 빈번해지자 이를 예방할 대응 체계를 고도화한다는 취지다.

송경희 개인정보위 위원장은 12일 서울 종로구 HJ비즈니스센터에서 현장 간담회를 열고 "ISMS-P 인증을 받은 통신사, 대형 플랫폼사에서 개인정보 유출 사고가 발생해 제도 실효성에 대한 지적이 계속되는 현실이 굉장히 아프고 무겁다"며 "신뢰를 회복하려면 왜 유출 사고가 발생하는지 냉철한 분석이 필요하다"고 밝혔다.

ISMS·ISMS-P는 기업과 기관이 운영하는 개인정보 및 정보보호 체계가 유출 피해를 예방하는 데 적합한지 검토해 인증을 부여하는 제도다. 정보통신망법과 개인정보보호법에 근거해 운영되고 있고 한국인터넷진흥원(KISA)이 인증 심사와 발급을 맡고 있다. 금융보안원은 금융분야 인증 심사와 인증서 발급을 담당한다.

이날 류제명 과학기술정보통신부 제2차관은 ISMS-P 인증제도를 개선하기 위한 작업이 본격화됐다고 강조했다. 류 제2차관은 "국회 본회의가 시작됐고 과방위와 정무위에서 논의된 인증 제도 실효성 확보를 위한 정보통신망법 개정안이 통과되게 된다"며 "파급력이 큰 고위험군에 대한 심사 기준을 강화하는 등의 내용이 법에 반영돼 국회 본회의를 통과할 것으로 기대된다"고 말했다.

KISA는 인증 제도 개선 방향으로 '인증 의무 대상 확대'를 제시했다. 개정법이 통과될 경우 공공·민간 대규모 개인정보처리자를 대상으로 ISMS-P 인증이 의무화된다. 통신사·대규모 플랫폼 등 인증 기준도 강화된다. 간편 인증, 표준 인증, 강화 인증 등 3단계로 인증 단계를 구분한다는 방침이다.

인증 심사 방식도 강화된다. 기존에는 기업이 제출한 자료를 바탕으로 서면 확인 위주로 진행됐다면, 추후에는 보안 취약점을 직접 점검하는 현장 실증형 심사 체계가 운영된다. 보안사고와 직결되는 핵심 항목과 기술 심사는 검증을 거치게 된다.

인증 사후관리도 강화한다. 대규모 정보 유출 등 문제가 발생할 경우 인증 취소까지 가능하도록 한다는 취지다. 앞서 개인정보위와 과기정통부는 태스크포스(TF) 방식으로 인증 기준을 도출했다. 여기에는 인증기업이 개인정보보호법 위반으로 과징금 등 처분을 받은 경우 위반 행위 중대성을 따져 인증을 취소하는 내용이 담겼다. 특히 1000만명 이상 피해가 발생하거나 반복적으로 법을 위반해 사회적 영향을 낳은 경우 원칙적으로 인증을 취소할 방침이다.

심사기관과 심사원 전문성을 강화하기 위한 제도 개선도 추진된다. 사후관리 점검에서 지정 기준을 미달한 사실이 확인되면 업무 정지와 지정 취소도 고려할 수 있다.

개인정보위와 과기정통부는 이번 간담회에서 논의된 현장 의견을 반영해 '정보보호 및 개인정보보호 인증제 실효성 강화 방안'을 발표할 예정이다.

송 위원장은 "ISMS-P 인증제도는 기업이 운영 중인 개인정보 보호 관리 체계를 선제 점검해 침해를 예방할 정책 중 하나"라며 "현장 목소리를 반영해 인증제도가 우리 사회 전반의 데이터 보호 수준을 높이는 인프라로 기능하도록 개선하겠다"고 말했다.

- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -