[성지은기자] 올해 12월 개인정보보호인증체계(ISMS)의 확대 시행을 앞두고, 인증서비스 심사체계의 투명성 확보, 심사위원들의 역량 향상 등 종합적인 점검이 필요하단 주장이 나왔다.
21일 미래창조과학통신위원회 소속 김성태 새누리당 의원이 미래부와 한국인터넷진흥원(KISA)으로부터 제출받은 자료에 따르면, 현재 ISMS 인증심사원 1천307명 중 44%에 달하는 577명은 단 한 차례도 심사에 참여하지 않은 것으로 나타났다.
김 의원은 "ISMS가 2013년 의무시행된 이후 대상기업이 지속적으로 확대되고 개인정보보호 인증의 중요성이 대두되고 있지만, 실제 심사를 하지 않는 인원이 대다수"라면서 "심사에 참여하지 않는 심사원들의 재교육 및 역량강화에 국가 예산이 투입되는 만큼 자격 유지를 위한 요건으로 의무심사 횟수를 부여해야 한다"고 강조했다.
미래부에서 ISMS 인증심사원 자격요건으로 제시한 기준들은 기술사, 기사, 산업기사 소지자 및 관련 학위 취득자 등이다. 그러나 실무경험이 부족한 상태로 배정받아 나오는 경우가 대부분이고 인증심사에 적합하다고 말하기 어렵다는 지적이다.
미래부에서는 이를 보완하기 위해 ISMS 인증심사원 자격검정 심사를 지난해부터 시행하고 있으나 한 해에 선발되는 인원이 50여명에 불과하다. 50여명으로 부족한 인력을 보충하기에는 극히 제한적이며, 자격검정을 확대해야 한다는 주장이다.
현재 ISMS 심사를 담당하고 있는 실무기관은 ▲한국인터넷진흥원(KISA) ▲한국정보통신진흥협회(KAIT) ▲한국정보통신기술협회(TTA) ▲금융보안원이다. ISMS 인증심사를 신청하면, 해당기관과 선발된 인증심사원이 기업에 나가 인증심사를 진행한다.
김 의원은 "정보통신망법 제47조제4항에 따르면, 인증심사기관의 인증 유효기간을 3년으로 명시하고 있지만, 많은 기관에서 심사인증기관을 모집한다는 사실조차 모르고 있다"면서 "심사비용이 해당 협회 및 기관으로 들어가는 만큼 심사기관 선정 과정에서 투명한 절차가 필요하다"고 말했다.
이어 "KAIT의 경우 내년 4월 인증 유효기간 3년을 채우는 만큼 다음 심사기관을 선정하는 데 있어 미래부가 자격요건과 심사일정 등을 홍보해 많은 기업들이 공개적으로 입찰할 수 있는 기회를 제공해야 할 것"이라고 지적했다.
ISMS 인증심사는 기업 매출액과 규모에 따라 적게는 2일 많게는 2주 정도의 기간이 소요되며, 이에 따른 수수료를 지급하게 된다. 김 의원은 ISMS가 의무적으로 시행되는 만큼 수수료를 국가에 귀속시켜야 한다고 주장했다.
김 의원은 "해당 기간에 발생하는 수수료는 정부부처인 미래부에서 수령해 심사에 참여했던 심사기관들에게 배분해야 하지만, 현재 심사인증 수수료는 인증기관에서 받아 운영비로 사용하는 것으로 나타났다"면서 "ISMS의 책임부처인 미래부에서 우선적으로 이를 환수하고 심사기간과 실적을 비교해 배분해야 한다"고 주문했다.
또한 김 의원은 올해 6월 ISMS 의무대상 사업자에 상급종합병원과 대학교 80곳이 추가된 것과 관련, 세부적인 심사 방안이 필요하다고 의견을 내놨다. 학교는 각 학교 및 학과 홈페이지, 학사관리시스템 등에 학생들의 정보가 산재돼 있는데 6개월 내에 모든 인증을 마치기 어렵다는 것이다.
김 의원은 "개인정보보호 인증대상이 확대돼야 하는 방향성에 공감하지만, 학교 및 병원의 특수성을 고려해 세부적인 심사방안을 고민해야 한다"면서 "매년 진행되는 사후심사를 통해 인증 범위를 확대하는 방안을 고려할 필요가 있다"고 말했다.
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기