'유명무실' 보안제도 싹 뜯어 고친다…유출 사고시 '인증 취소'까지

[아이뉴스24 윤소진 기자] 정부가 최근 반복되는 대규모 개인정보 유출사고에 대응해 정보보호 및 개인정보보호 관리체계(ISMS·ISMS-P) 인증제도를 전면 개편한다. 통신사와 대형 플랫폼 등에 대해서는 인증을 의무화하고 강화된 기준을 적용하는 한편, 사후관리를 대폭 강화해 인증 실효성을 높인다는 방침이다.

통신사·플랫폼 인증 의무화…기술심사 강화

과학기술정보통신부와 개인정보보호위원회는 6일 개인정보위원장 주재로 관계부처 대책회의를 열고 이같은 내용의 ISMS 인증제도 개선방안을 발표했다.

ISMS(Information Security Management System)와 ISMS-P(Personal Information & Information Security Management System)는 기업·기관이 구축·운영 중인 정보보호·개인정보보호 체계가 적합한지 정부가 인증하는 제도다.

ISMS는 정보통신망법 제47조에 따라 정보통신망서비스제공자(ISP), 집적정보통신시설사업자(IDC) 등 법정 의무대상자에게 적용되고, ISMS-P는 개인정보보호법 제32조의2에 근거해 기존에는 기업이 임의로 신청해 취득하는 자율 인증이었다.

정부는 우선 기존 자율적으로 운영되던 ISMS-P 인증을 공공·민간 주요 개인정보처리시스템에 대해 의무화한다. 주요 공공시스템, 통신사, 온라인 플랫폼 등이 대상이다. 이를 통해 상시적 개인정보 안전관리체계를 구축하도록 한다는 계획이다.

특히 통신사, 대규모 플랫폼 등 국민 파급력이 큰 기업에 대해서는 강화된 인증기준을 마련해 적용한다. 양 기관은 이를 위한 개인정보보호법 및 정보통신망법 개정을 조속히 추진할 예정이다.

심사방식도 전면 강화된다. 예비심사 단계에서 핵심항목을 먼저 검증하고, 핵심항목 미충족 시 본심사를 진행하지 않는다. 최초인증의 경우 신청을 반려하고, 사후심사에서는 인증효력을 취소한다.

ISMS 고위험 기업이나 사고기업, ISMS-P 인증기업에 대해서는 취약점진단, 모의침투 등 기술심사 방식을 적용한다. 본심사에서는 기존 서면 위주 샘플링 점검에서 벗어나 코어시스템 중심의 현장실증형 심사로 전환한다.

인증 신청 시에는 기존 관리체계 운영명세서 외에 인증범위 자산현황을 추가로 제출해야 한다. 분야별 인증위원회 운영 및 심사원 대상 AI 등 신기술 교육을 통해 인증의 전문성도 높인다.

사고기업 특별 사후심사…중대 결함 시 '인증 취소'

사후관리가 대폭 강화되는 것도 이번 개편의 핵심이다. 인증기업의 유출사고 발생 시 적시에 특별 사후심사를 실시해 인증기준 충족 여부를 확인한다. 사후심사 과정에서 인증기준의 중대 결함이 발견되면 인증위원회 심의·의결을 거쳐 인증을 취소한다.

사고기업에 대해서는 사후심사 투입 인력과 기간을 2배로 확대하고, 사고원인 및 재발방지 조치를 집중 점검한다. 사후심사도 기존 심사팀장 1인 방문에서 결함발생 수준별로 심사인력을 추가 투입하는 방식으로 바뀐다.

개인정보위는 유출사고가 발생한 인증기업에 대해 이달부터 현장점검을 실시한다. 특히 쿠팡 등 현재 조사가 진행 중인 기업의 경우 과기정통부 민관합동조사단·개인정보위 조사와 연계해 한국인터넷진흥원(KISA) 주관으로 인증기준 적합성 등을 점검한다.

과기정통부도 10월 발표한 정보보호 종합대책 후속으로 통신, 온라인쇼핑몰 등 900여개 ISMS 인증기업을 대상으로 모든 인터넷 접점에 대한 보안 취약점 점검 등 긴급 자체 점검을 요청했으며, 내년 초부터 현장 검증을 실시할 예정이다.

양청삼 개인정보위 개인정보정책국장은 "국감과 최근 쿠팡 사고 등을 거치면서 국회에서도 인증을 획득한 기업에서 사고가 많이 발생해 실효성에 문제가 있다는 지적이 나왔다"며 "양 부처가 지난달부터 키사까지 포함해 제도 개선 방안을 검토해왔다"고 설명했다.

그는 이어 "인증받았다고 사고가 없는 것은 아니지만, 건강검진처럼 기본적인 보안 관리 체계 수준을 높이는 데 의미가 있다"며 "순기능은 살리되 실효성을 강화하기 위해 인증 기준과 심사 방식, 사후관리를 대폭 개선할 것"이라고 밝혔다.

양 기관은 지난달부터 운영 중인 과기정통부·개인정보위·인증기관 합동 제도개선 TF를 통해 개선방안을 최종 확정하고, 특별 사후점검 결과 등을 반영해 2026년 1분기 중 관련 고시를 개정해 단계적으로 시행할 예정이다.

/윤소진 기자(sojin@inews24.com)

'유명무실' 보안제도 싹 뜯어 고친다…유출 사고시 '인증 취소'까지

통신사·대형 플랫폼에 강화된 기준 적용…핵심항목 미충족 시 본심사 중단
사고기업 특별 사후심사·인력 확대…쿠팡 등 조사기업 현장점검 즉시 착수

통신사·플랫폼 인증 의무화…기술심사 강화

사고기업 특별 사후심사…중대 결함 시 '인증 취소'

주요뉴스

댓글 쓰기 ^제목 '유명무실' 보안제도 싹 뜯어 고친다…유출 사고시 '인증 취소'까지

댓글-

뉴스톡톡 _{인기 댓글을 확인해보세요.}

정렬 인기순 최신순

통신사·대형 플랫폼에 강화된 기준 적용…핵심항목 미충족 시 본심사 중단 사고기업 특별 사후심사·인력 확대…쿠팡 등 조사기업 현장점검 즉시 착수

통신사·플랫폼 인증 의무화…기술심사 강화

사고기업 특별 사후심사…중대 결함 시 '인증 취소'

주요뉴스새로고침

댓글 쓰기 제목 '유명무실' 보안제도 싹 뜯어 고친다…유출 사고시 '인증 취소'까지

뉴스톡톡 인기 댓글을 확인해보세요. 정렬 인기순 최신순

통신사·대형 플랫폼에 강화된 기준 적용…핵심항목 미충족 시 본심사 중단
사고기업 특별 사후심사·인력 확대…쿠팡 등 조사기업 현장점검 즉시 착수

주요뉴스

댓글 쓰기 ^제목 '유명무실' 보안제도 싹 뜯어 고친다…유출 사고시 '인증 취소'까지

뉴스톡톡 _{인기 댓글을 확인해보세요.}

정렬 인기순 최신순