보안 인증 무용론...정부, ISMS-P 의무화 등 5가지 대책 발표
정부가 무용론이 나오는 보안 및 개인정보보호 인증을 개선하기 위해 다섯 가지 대책을 내놨다. 우선 현재 자율적으로 운영하는 'ISMS-P 인증'을 의무화한다. 대상은 주요 공공시스템, 통신사, 대규모 플랫폼 등이다. 또 통신사, 대규모 플랫폼 사업자 등 국민 파급력이 큰 기업에 대해 강화된 인증기준을 마련, 적용한다. 뿐 만 아니라 심사방식을 전면 강화해 예비심사 단계에서 핵심항목을 선(先)검증하고, 기술심사 및 현장실증 심사를 강화한다. 분야별 인증위원회 운영 및 심사원 대상 AI 등 신기술 교육을 통해 인증 전문성도 높인다. 특히 사후관리를 대폭 강화, 인증기업의 유출사고 발생 시 적시에 특별 사후심사를 실시해 인증기준 충족 여부를 확인할 수 있게 하고, 사후심사 과정에서 인증기준의 중대 결함이 발견되는 경우 인증위원회 심의·의결을 거쳐 인증을 취소하며, 사고기업에 대해서는 사후심사 투입 인력·기간을 두 배로 확대하는 등 사고원인 및 재발방지 조치를 집중 점검하기로 했다. 정부는 6일 송경희 개인정보위 위원장 주재로 류제명 과기정통부 제2차관, 이상중 한국인터넷진흥원장 등이 참여한 가운데 이러한 5가지 정보보안 및 개인정보보호 관련 인증제 개선 방안을 마련, 추진한다고 밝혔다. 최근 정보보호 관리체계(ISMS) 인증과 정보보호 및 개인정보보호 관리체계(ISMS-P) (Personal Information & Information Security Management system) 인증을 획득했음에도 기업에서 해킹과 대규모 개인정보 유출사고가 반복 발생함에 따른 조치다. 현재 'ISMS' 인증은 법상 정보통신망서비스제공자(ISP)와 집적정보통신시설사업자(IDC) 등은 의무적으로 획득해야 하지만 'ISMS-P' 인증은 자율적으로 임의 신청, 취득하고 있다. 한편, 개인정보위는 유출사고가 발생한 인증기업에 대해 이달부터 현장점검을 실시한다. 특히 쿠팡 등 현재 조사가 진행 중인 기업의 경우, 과기정통부 민관합동조사단·개인정보위 조사와 연계해 인증기관 인증심사 및 인증서 발급 등 인증 관련 업무를 수행하는 KISA(법정 인증기관), 금융보안원(금융분야 인증·심사기관) 주관으로 인증기준 적합성 등을 점검한다. 또 과기정통부도 '정보보호 종합대책(10.22., 관계부처 합동)' 후속으로 통신, 온라인쇼핑몰 등 900여개 ISMS 인증기업들을 대상으로 모든 인터넷 접점에 대한 보안 취약점 점검 등 긴급 자체 점검을 실시하도록 요청했고, 기업들의 점검 결과에 대해 내년 초부터 현장 검증을 실시할 예정이다. 정부는 지난달부터 운영 중인 과기정통부·개인정보위·인증기관 합동 제도개선 태스크포스(TF)를 통해 개선방안을 최종 확정하고, 특별 사후점검 결과 등을 반영해 내년 1분기 중 관련 고시를 개정, 단계적으로 시행할 계획이다.
