과학기술정보통신부와 개인정보보호위원회가 정보보호관리체계(ISMS)와 정보보호·개인정보보호 관리체계(ISMS-P) 인증 제도를 대폭 강화한다.
최근 쿠팡 등 인증기업에서 해킹과 대규모 개인정보 유출이 반복된 것을 계기로 핵심 항목 중심 점검 강화와 사후관리 확대 등 '실효성 있는 인증' 체계로 전환하겠다는 것이다.
인증기업에서 유출 사고가 발생하면 특별 사후심사를 실시하고, 인증기준에 중대한 결함이 확인되면 인증을 취소하는 방안도 추진된다.
개인정보보호위원회와 과학기술정보통신부는 6일 관계부처 대책회의를 열고 이러한 인증제 개선 방안을 논의했다고 밝혔다.
개편안에 따르면 기존에 자율 신청 방식으로 운영돼 온 ISMS-P 인증을 공공·민간 주요 개인정보처리시스템에서 의무화하기로 했다.
주요 공공시스템, 통신사, 대규모 플랫폼 등이 대상이며, 특히 국민 파급력이 큰 기업에는 강화된 인증기준을 새로 마련해 적용한다. 이를 위해 개인정보보호법과 정보통신망법 개정도 조속히 추진한다.
심사 방식도 수정한다. 인증 범위에 자산현황을 추가하는 한편 예비심사 단계에서 핵심 항목을 먼저 검증하고, 충족하지 못하면 본심사에 진입할 수 없다.기술심사와 현장실증 심사 역시 강화하기로 했다.
분야별 인증위원회를 운영하고 심사원에 대한 AI 등 신기술 교육을 확대해 전문성도 높인다.
사후관리는 더욱 엄격해진다. 인증기업에서 유출 사고가 발생하면 즉시 특별 사후심사를 해 인증기준 충족 여부를 확인하고, 중대한 결함이 드러날 경우 인증위원회 심의·의결을 거쳐 인증을 취소할 수 있도록 한다.
지금까지 ISMS-P 인증을 받았다가 취소된 기업은 없다. 만일 쿠팡의 인증이 취소될 경우 최초 사례가 된다.
사고기업에는 사후심사 인력과 기간을 기존보다 두 배로 투입해 사고원인과 재발 방지 조치를 집중 점검한다.
양청삼 개인정보위 개인정보정책국장은 "인증 기업 중 10% 정도에서 사고가 났는데, 이것만 가지고 인증제도가 아무런 의미가 없다는 비판을 받을 정도로 전혀 역할을 못하고 있는 건 아니다"라며 "순기능은 잘 살려야한다"고 말했다.
개인정보위는 유출 사고가 발생한 인증기업에 대해 이달부터 현장점검을 실시한다. 특히 쿠팡 등 현재 조사가 진행 중인 기업은 과기정통부 민관합동조사단 및 개인정보위 조사와 연계해 한국인터넷진흥원(KISA)과 금융보안원이 인증기준 적합성 등을 점검한다.
과기정통부는 지난 10월 발표한 '정보보호 종합대책' 후속 조치로 900여개 ISMS 인증기업에 인터넷 접점 보안 취약점 긴급 자체점검을 요청했다. 내년 초부터 기업 점검 결과에 대한 현장 검증을 실시할 예정이다.
두 기관은 현재 운영 중인 과기정통부·개인정보위·인증기관 합동 제도개선 태스크포스(TF)를 통해 개선방안을 확정한 뒤, 특별 사후점검 결과 등을 반영해 내년 1분기 중 관련 고시를 개정하고 단계적으로 시행할 방침이다.