종합병원·대학교도 의무적으로 정보보호 인증 받는다
2016.06.01 16:31
수정 : 2016.06.01 16:31기사원문
미래창조과학부는 지난해 12월 1일 공포된 '정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법)'이 2일부터 시행되면서 세입(매출)이 1500억원 이상인 병원과 매출이 1500억원 이상이면서 재학생수가 1만명 이상인 대학교도 정보보호관리체계(ISMS) 인증을 받아야 한다고 1일 밝혔다.
ISMS 인증제도는 기업이나 조직의 보안체계가 잘 갖춰져 있는지 인증하는 제도다. 보안조직이 있는지, 물리적 보안 체계를 갖췄는지 등 총 104개 심사항목이 있다. 해킹 등을 통해 민감한 개인정보가 유출될 수 있으므로, 보안체계를 잘 갖추도록 하는 것이 목적이다. 인증 유효기간은 3년이다.
그동안 정보통신망법에는 ISMS 인증을 받아야 하는 대상에 비영리기관을 제외했으나, 이번 개정으로 약 42~43개 종합병원과 40여개의 대학교가 인증을 받아야 하는 곳에 포함이 됐다. 병원이나 대학교 등은 비영리기관에 해당하지만 민감정보를 많이 다루므로 보안체계를 잘 갖춰야 할 필요성이 있기 때문이다.
ISMS 인증을 의무적으로 받아야 하는데도 불구하고 인증을 받지 않은 곳은 과태료를 내야한다. 과태료도 정보통신망법 개정에 따라 기존 1000만원에서 3000만원으로 상향 조정됐다.
한편 은행 등 금융회사는 이미 금융위원회, 금융감독원으로부터 '정보기술 부문 실태조사 평가'라는 이름의 보안점검을 받기 때문에 중복규제 완화 차원에서 이번 ISMS 인증 의무대상에서 제외됐다.
미래창조과학부 송정수 정보보호정책관은 "ISMS 인증 의무대상이 의료·교육 등 비영리기관으로 확대됨에 따라 정보보호 사각지대를 해소할 수 있게 됐다"며 "또 인증 의무 위반자는 행정처분을 강화해 제도의 실효성을 확보했다"고 말했다.
ronia@fnnews.com 이설영 기자