공공·민간기업의 ‘정보보호·개인정보보호 관리 체계(ISMS·ISMS-P)’ 인증 의무 대상이 확대된다.

그동안 자율에 맡겼던 인증 제도가 실효성이 없다는 지적이 이어지자, 정부가 파급력이 큰 사업자를 중심으로 인증 의무를 부여하기로 했다. 또 획일적 인증 기준을 3단계로 세분화해, 인증 기준을 강화한다.

과학기술정보통신부와 개인정보보호위원회는 10일 경제관계장관회의에서 이런 내용을 담은 ‘정보보호 및 개인정보보호 관리체계 인증제 실효성 강화방안’을 발표했다.

‘ISMS·ISMS-P’ 인증은 기업의 보안수준을 높이고 사고를 예방하기 위해 기업의 정보보호 및 개인정보보호 관리체계를 점검·인증하는 제도다.

통신사와 쿠팡 등이 해당 인증을 받고도 지난해 연이어 보안사고가 터지자, 인증제도에 대한 실효성 문제가 지속적으로 제기됐다.

이에 정부는 국민 파급력이 큰 공공·민간의 중요 개인정보처리시스템을 중심으로 ISMS-P 인증을 의무화한다. 현재 자율에 맡겨져 있는 인증 제도를 의무화 해 보안 체계를 강화한다는 취지다.

세부적으로 ▷주요 공공시스템운영기관 ▷이동통신사업자 ▷본인확인기관 ▷매출액 및 개인정보 처리규모를 고려한 대규모 개인정보처리자 등을 대상으로 의무화할 예정이다. 이어 단계적으로 대상을 확대할 계획이다.

획일적인 인증체계에서 벗어나 인증체계를 ‘강화인증’, ‘표준인증’, ‘간편인증’ 등 3단계로 재편한다. 국민생활에 파급력이 큰 강화인증군은 기존보다 강화된 기준과 심사방식을 적용한다. 강화 인증기준은 주요 보안위협 사례와 주요국 보안 요구 사항을 참조해 개발할 방침이다.

이와 함께 기존 서면 중심이었던 인증 심사 방식을 현장 중심으로 바꾼다.

구체적으로, 본심사 전 예비심사 단계에서 핵심적으로 확인해야 할 인증기준을 사전에 점검하고 본심사 진행 여부를 결정한다. 부실한 관리체계를 개선한 이후에 본격적인 인증절차에 돌입할 수 있도록 한다는 취지다. 또한 취약점진단·모의침투와 같은 기술심사 방식을 적용한다. 심사투입 인력과 기간을 확대하는 등 심사팀 구성 체계도 개편할 계획이다.

인증 사후 관리도 강화된다.

상시 점검체계를 확립해 인증 취득부터 유지·갱신에 이르는 전 과정에서 안전한 관리체계가 지속 유지되고 있는지를 중점적으로 점검한다. 이를 위해 주기별 점검양식을 표준화하고, 사후심사 시 이를 집중 점검한다.

법령에 규정된 인증취소 사유를 구체화해, 중대 결함에 대한 보완을 기한 내 조치하지 않을 경우 인증을 취소하는 방안도 마련한다. 부실심사를 방지하고 심사품질을 높이기 위해 심사기관의 관리책임을 강화하고, 심사원의 전문역량 개발에도 집중할 방침이다.

박세정 기자