통신·플랫폼 ISMS-P 인증 의무화…중대 결함시 인증 취소

과기정통부·개보위, 인증제 개선 대책 회의 국민생활 파급력 큰 주요 공공·민간 시스템 ISMS-P 인증 의무화 예비심사부터 핵심항목 선검증…실증 강화 사고기업 특별 심사로 인증기준 충족 확인

(출처=뉴시스/NEWSIS)

[서울=뉴시스]박은비 기자 = 최근 대규모 개인정보가 유출된 쿠팡을 비롯해 '개인정보보호 관리체계(ISMS·ISMS-P)' 인증기업의 해킹이 빈번해지자 정부가 인증제 전면 개선에 나선다.

과학기술정보통신부와 개인정보보호위원회는 6일 오후 4시 송경희 개보위원장 주재로 인증제 개선 관계부처 대책 회의를 개최했다고 밝혔다.

이날 회의에는 송 위원장을 비롯해 과기정통부 2차관, 한국인터넷진흥원장 등이 참석했다.

먼저 기존 자율적으로 운영되던 ISMS-P 인증을 주요 공공시스템, 통신사, 온라인 플랫폼 등 주요 개인정보처리시스템에 대해 의무화해 상시적인 개인정보 안전관리체계를 구축하게 한다.

또한 통신사, 대규모 플랫폼 등 국민 파급력이 큰 기업에 대해 강화된 인증기준을 마련해 적용하기로 했다. 두 기관은 이를 위한 개인정보보호법 및 정보통신망법 개정을 추진할 방침이다.

아울러 심사방식을 전면 강화해 예비심사 단계에서 핵심항목을 선검증하고, 기술심사와 현장실증 심사를 강화하도록 개선한다. 분야별 인증위원회를 운영하고, 심사원 대상 인공지능(AI) 등 신기술 교육을 통해 인증 전문성을 높일 계획이다.

사후관리도 강화한다. 인증기업이 유출사고가 발생하면 바로 특별 사후심사를 실시해 인증기준 충족 여부를 확인할 수 있게 한다. 사후심사 과정에서 인증기준 중대 결함이 발견되는 경우 인증위원회 심의·의결을 거쳐 인증을 취소하기로 했다.

사고기업은 사후심사 투입 인력·기간을 2배로 확대하고, 사고원인과 재발방지 조치를 집중 점검할 예정이다.

한편 개보위는 유출사고가 발생한 인증기업에 대해 이달부터 현장 점검을 실시한다. 특히 쿠팡 등 현재 조사가 진행 중인 기업의 경우 과기정통부 민관합동조사단·개보위 조사와 연계해 인증기관 주관으로 인증기준 적합성 등을 점검한다.

과기정통부는 지난 10월 22일 관계부처 합동으로 발표한 '정보보호 종합대책' 후속으로 통신, 온라인쇼핑몰 등 900여개 ISMS 인증기업을 대상으로 모든 인터넷 접점에 대한 보안 취약점 점검 등 긴급 자체 점검을 실시하도록 요청했다. 기업들의 점검 결과에 대해 내년 초부터 현장 검증을 실시할 계획이다.

마지막으로 두 기관은 지난달부터 운영 중인 과기정통부·개보위·인증기관 합동 제도 개선 태스크포스(TF)를 통해 개선방안을 최종 확정하고, 특별 사후점검 결과 등을 반영해 내년 1분기 중 관련 고시를 개정해 단계적으로 시행한다.

☞공감언론 뉴시스silverline@newsis.com <저작권자ⓒ 공감언론 뉴시스통신사. 무단전재-재배포 금지.>