[IE 산업] 통신사·이커머스 등 ISMS·ISMS-P 인증 취득 기업의 잇단 해킹 사고에 맞서 정부가 인증제도 전면 개편 착수. 개인정보보호위원회와 과학기술정보통신부(과기정통부)가 10일 경제관계장관회의에서 '정보보호 및 개인정보보호 관리체계 인증제 실효성 강화방안' 발표.
이날 과기정통부가 내놓은 '정부, 유출사고 예방 위해 인증제도 전면 개편'이라는 제하의 보도자료를 보면 이 방안의 핵심은 기존 획일적 인증체계의 '강화인증·표준인증·간편인증' 3단계 재편.
국민생활 파급력이 큰 이동통신사·데이터센터 등은 강화인증군으로 분류해 기존보다 높은 기준과 기술심사 적용. 강화인증 기준은 주요국 보안 요구사항 및 실제 보안위협 사례를 토대 삼아 개발 예정.
그간 ISMS-P 취득은 기업·기관의 자율이었으나 향후 주요 공공시스템 운영기관, 이동통신사업자, 본인확인기관, 매출액·개인정보 처리규모를 고려한 대규모 개인정보처리자 등을 대상으로 의무화하는 동시에 단계적 확대 계획.
심사방식도 서면 확인 위주의 기존 방식에서 벗어나 본심사 전 예비심사 단계를 신설해 핵심 인증기준 사전 점검 후 본심사 진행 여부를 결정하는 등 전면 손질.
이와 함께 취약점 스캐너·소스코드 진단툴 등을 활용한 모의침투·취약점진단 기술심사 도입. 또 강화인증군에는 취약점점검원을 전담 투입해 중요 정보자산 정밀 점검 및 점검 자산 수도 대폭 확대.
사후관리 역시 특정 시점만 확인하는 '스냅샷' 방식의 한계 탈피가 골자. 인증 취득부터 유지·갱신까지 상시 점검체계 확립. 중대 침해사고 발생 시 인증심사를 잠정 중단하고, 정부 조사·처분 종료 후 심사 재개 시 인력·기간 투입을 늘려 사고원인·재발방지 대책 철저 심사 방침. 중대 결함 기준을 별도 마련해 기한 내 미보완 시 인증취소 추진.
심사기관 관리 강화 조치도 병행. 매 심사 종료 후 신뢰도 조사를 실시해 결과를 차년도 심사 배분에 반영하면서 부실심사 자정 유도. 인공지능(AI)·클라우드 등 전문분야별 특화 심사원 관리체계 구축과 심사원 인건비 현실화까지 포함. 시행 일정은 사후관리 강화·인증취소 관련 사항은 올해 하반기, ISMS-P 의무화·차등 적용·강화 인증기준은 오는 2027년 적용 목표.
/이슈에디코 강민호 기자/
|
+플러스 생활정보
ISMS·ISMS-P(Personal Information & Information Security Management System) 인증은 기업이 개인정보와 정보보호 관리체계를 제대로 갖추고 있는지를 정부가 점검·인증하는 제도. 소비자 입장에서 내가 이용하는 서비스의 보안 수준을 가늠할 수 있는 거의 유일한 공적 지표인 만큼 가입 중인 통신사·쇼핑몰·금융앱의 인증 여부 확인이 1차 자기방어 수단.
한국인터넷진흥원(KISA) 홈페이지 내 'ISMS 인증서 조회' 메뉴에서 기업명 검색만으로 인증 취득 여부·유효기간·인증 범위 확인 가능. 이번 개편으로 2027년부터 강화인증 등급이 신설돼 향후 인증 등급까지 비교 확인하는 습관 필요. |
