개인정보 유출사고 땐 ISMS-P 인증 취소·특별 사후 심사
뉴시스
2025.12.06 19:36
수정 : 2025.12.06 19:36기사원문
과기정통부·개보위, ISMS-P 실효성 논란에 인증제도 개편 국민생활 파급력 큰 주요 공공·민간 시스템 ISMS-P 인증 의무화 중소기업엔 '간편인증' 유지…고위험 대형 시스템만 강화 기준
[서울=뉴시스] 신효령 기자 = 쿠팡, SK텔레콤, KT, 롯데카드 등 ISMS-P(정보보호·개인정보보호관리체계) 인증을 받은 기업에서 대규모 개인정보 유출 사고가 발생함에 따라 개인정보보호위원회(개보위)와 과학기술정보통신부(과기정통부)가 인증제도 개편에 나섰다.
기존 자율적으로 운영되던 ISMS-P 인증을 주요 공공시스템, 통신사, 온라인 플랫폼 등 주요 개인정보처리시스템에 대해 의무화해 상시적인 개인정보 안전관리체계를 구축하게 한다.
개인정보보호위원회는 과학기술정보통신부와 6일 오후 4시 송경희 개보위원장 주재로 인증제 개선 관계부처 대책 회의를 개최했다고 밝혔다. 이날 회의에는 송 위원장을 비롯해 류제명 과학기술정보통신부 제2차관, 이상중 한국인터넷진흥원장이 참석했다.
개보위는 유출사고가 발생한 인증기업에 대해 이달부터 현장 점검을 실시한다. 특히 쿠팡 등 현재 조사가 진행 중인 기업의 경우 과기정통부 민관합동조사단·개보위 조사와 연계해 인증기관 주관으로 인증기준 적합성 등을 점검한다. 과기정통부는 지난 10월 22일 관계부처 합동으로 발표한 '정보보호 종합대책' 후속으로 통신, 온라인쇼핑몰 등 900여 개 ISMS 인증기업을 대상으로 모든 인터넷 접점에 대한 보안 취약점 점검 등 긴급 자체 점검을 실시하도록 요청했다. 기업들의 점검 결과에 대해 내년 초부터 현장 검증을 실시할 계획이다.
마지막으로 두 기관은 지난달부터 운영 중인 과기정통부·개보위·인증기관 합동 제도 개선 태스크포스(TF)를 통해 개선방안을 최종 확정하고, 특별 사후점검 결과 등을 반영해 내년 1분기 중 관련 고시를 개정해 단계적으로 시행한다.
다음은 양청삼 개보위 개인정보정책국장, 최광기 과기부 사이버침해대응과장, 김선미 한국인터넷진흥원 보안인증단장, 윤여진 개보위 자율보호정책과장과의 일문일답.
-제도 개선안이 26년도 1분기 중 관련 고시 개정이다. 순차적으로 어떻게 진행할 예정인지.
"(양청삼 개보위 개인정보정책국장, 이하 '양') 11월부터 국감 이후 정도 무렵부터 해서 과기정통부, 개보위, 한국인터넷진흥원(KISA)가 제도 개선방안 태스크포스(TF)를 계속 운영하고 있다. 제도 개선방안의 큰 골자들은 벌써 공감대가 있다. 기관들 간에 정확하게 인증심사 기준과 절차에 반영하려면 일부는 법이 개정되어야 하는 부분들이 있고, 대부분의 많은 요소들은 인증과 관련된 양 부처 고시가 있다. 과기부랑 개보위가 공동 운영하는 고시가 있다. 고시에 반영되면 기준이 전부 강화된다든지 사고 발생 시 현장점검한다든지 이런 부분들을 고시에 반영하면 시행이 된다. 12월부터 이제 시작해서 현장점검할 예정이다."
-10월에 종합대책이 나오고 불시에 통신사 점검한다고 과기부에서 발표했다. 그 이후에 쿠팡 이슈가 있었다. 오늘 LG유플러스는 해킹이 아니라고 하는데, (개보위와 과기부 공통으로) 인증제도 강화에 대한 발표가 있었다. 그 과정에서 문제점을 파악한 게 있는지, 파악해 보니 이런 게 개선이 안 돼서 인증제도를 개선해야겠다는 의지를 갖고 발표한 것인지.
"(양) 갑자기가 아니고 국감 때부터 시작해서 최근 국민 관심을 끄는 대형사고가 많았다. 일부 기업들은 ISMS-P(정보보호·개인정보보호 관리체계 인증) 인증을 취득했었다. 이런 상태에서 국정감사를 거치고 이번에 쿠팡 사고 때문에 정부 과방위 현안질의도 있었고 정무위 현안질의가 있었다. 거기에서 국회에서도 인증을 획득한 기업에서 사고 발생하다 보니까 실효성이 굉장히 문제 있는 게 아니냐, 이런 게 있어서 이와 관련해서 그간 양 부처, KISA까지 같이 해서 제도 개선방안들을 검토했던 부분들은 좀 더 가속화하고 실효적으로 이걸 나중에 고시에 반영해서 현장에서 이행될 수 있도록 하는 부분을 국민들에게 소상히 알릴 필요가 있겠다 해서 주말인데도 양 부처가 이렇게 논의했다. 원장님도 오셨고 해서 오늘 많은 논의를 해서 연말 제도개선방안 확정하기 위해서 노력들을 많이 한다. 이번엔 근본적으로 인증심사의 범위, 기준, 방식 등 이런 부분들을 철저하게 이렇게 검토해서 인증제도 실효성, 국민에게 신뢰받을 수 있는 인증제도를 만들기 위해서 노력하기로 뜻을 모았다."
-지금까지 여러 가지 개인정보 유출사고를 생각하면 인증이 안 되어 있어서 벌어진 게 아니라, 인증받은 기업들도 개인정보 유출사고가 생긴 거다. 오늘 배포한 자료를 보면 국민 파급력이 큰 기업에 대해 강화된 인증기준을 마련한다고 돼 있다. 이에 대한 실효성을 강구하기 위한 구체적인 기준이 나와 있지 않다. 인증 취소한 기업에 대해서는 취소만 할 뿐이지 과징금이나 행정 벌이라든가 이런 기준을 마련할 계획인지 궁금하다.
"(양) 첫 번째 질문 관련해서는 정보통신망법에 관련 내용이 지금 반영돼서 법령 개정을 추진 중이다."
"(최광기 과기부 사이버침해대응과장, 이하 '최') ISMS(정보보호 관리체계)는 정보통신망법에 따라 국민 파급력이 높은 기업들에 대해서는 강화된 인증기준을 적용할 수 있다는 게 명시가 되어서 망법 개정안이 법사위까지 통과된 상황이다."
"(양) 인증기준 실효성 강화에서 가장 중요한 건 인증 관련 기준을 아주 현실에 적합하게 하는 것이다. 그에 따른 개인정보보호 관리체계의 성숙도가 높아질 수 있도록 인증기준을 촘촘하게 현실에 맞게 작성하는 부분하고, 이걸 현장에서 인증기준대로 내부 관리체계를 잘 운영하는지 점검하는 부분, 한 번 인증하고 끝내는 게 아니라 보통 3년 유효기간이 있는데 매년 인증을 획득한 기업 또는 기관이 인증기준대로 제대로 운영하고 있는지 점검하는 부분, 이런 게 촘촘하게 이뤄져야 인증제도의 실효성을 확보할 수 있는 것이다. 이걸 무슨 처벌이라든지 이런 쪽으로 담보할 수 있는 건 아닌 것 같다."
-인증범위에 자산 현황 추가하는 것도 자료에 있는데, 자산이라는 게 굉장히 많다. KT를 보면 KT조차도 자기 자산을 제대로 파악 못했던 상황이다. 이걸 정부에서 사기업 다 심사를 해서 확인하는 인력이 어떻게 하실 건지 구체적인 계획이 있나.
"(김선미 한국인터넷진흥원 보안인증단장, 이하 '김') 인증범위 내에서 자산이나 이런 것들이 가장 기본적으로 식별돼 있어야 하는데, 그 부분들이 안 돼 있기 때문에 그걸 하겠다는 의미다. 담당이 아마 전체를 하진 못할 것이다. 그래서 기업 의견을 들어보고 올해는 어디까지, 그다음엔 어디까지라는 식으로 단계적으로 시행한다든지, 작은 범위에서는 바로 다 한다든지 이런 식으로 좀 확인하고 다시 식별해서 문제점이 없는지를 스스로 파악할 수 있도록 그렇게 운영할 예정이다."
-쿠팡 건을 보면 직원이 인증키 들고 나가서 해외에서 규제라든지 조사라든지 이런 걸 할 때 국외에 있으니 현실적으로 어려움이 있었다. 그런 부분에 대해서 정부에서 이 보안 강화를 위해 가이드나 이런 거 계획하고 있는 게 있나. 직원에 대한 관리 강화, CISO(정보보호 최고책임자)에 대한 권한 강화를 이야기하긴 했었는데, 쿠팡 건을 보면 보안 관련 직원들에 대해서도 약간 그런 게 필요하지 않을까 싶다.
"(양) ISMS, ISMS-P 인증 기준이 로컬 차원에서 우리나라의 독특한 사정을 개별적으로 만든 게 아니라 관련된 국제표준은 굉장히 오래전부터, 그러니까 인터넷이 확산되던 1990년대부터 관련 규정이 형성돼 왔고, 여러 가지 국제 표준이 있다. 그런 것들을 전부 반영해서 지금의 ISMS, ISMS-P 기준이 글로벌 스탠더드 같은 거다. 쿠팡이 문제 됐던 암호키 관리, 접근권한 퇴직자 관리 이런 소상한 게 이미 다 기준이 돼 있다. 제가 보기엔 앞으로 여러 가지 사건 전개 속에서 미흡한 점이 있는지 또는 국제 표준 말고 미국의 유력한 기관이라든지 중요한 내용들을 수용할 만한 기준이 있는지는 점검해 볼 텐데, 현재 인증기준 자체도 그런 부분에 있어서는 수준을 갖추고 있다는 걸 말씀드린다."
"(김) 인증 기준에는 말씀하신 암호화 부분이나 퇴직자 관리 계정 등이 다 있다. 그 부분에 대해 저희가 심사하면서 어디까지 봤었는지에 대한 부분들에 대해서는 차이가 있을 것 같다. 실질적으로 심사를 봤을 때 어떻게 봐야 되는지에 대한 부분을 저희가 좀 더 논의하고 있다. 최근 이슈들에 대해서는 다른 기업들은 어떤 식으로 진행하고 있는지에 대해 심사 때 좀 더 확인한다든지 이런 방식으로 진행돼야 할 것 같다."
-불시 검문에 있어서는 국회에서 특사경(특별사법경찰) 얘기도 나왔다. KISA에 특사경 제도를 도입하면 되나, 인력이 심사를 사기업 대상으로 전반적으로 수시로 하기에는 인력 한계가 있지 않나. 그런 부분에 대해서는 보완책 있나.
"(양) 인증제도와는 좀 다른 얘기다. 성숙도를 정확하게 측정하기 위한 수단에 관련된 부분이다. 특사경 관련해서는 기본적으로 법 위반, 특히 형사적인 법 위반을 따지는 거라서 이 부분은 지금은."
"(최) 특사경에 대해서는 인증과 관련된 내용이 아니고, 사고가 일어났을 때 사고가 났을 때 조사 이런 부분이다. 인증 관련해서는 말씀드리기가 좀."
-인공지능(AI) 에이전트 관련해서 앞으로 이쪽으로 보안 이슈가 많이 늘어날 거다. 인증제도에 그런 내용들이 좀 담겨야 되지 않나.
"(양) 인공지능 데이터 처리가 확산되면서 그 관련 부분이 적절하게 인증기준에 수용될 필요성은 있다."
-그것에 대해서는 정부 계획이라든가 개선안이라든가 그런 거에 반영될 일은?
"(양) 일부 검토되고 있는 건 있다. KISA 중심으로 해서 인공지능 데이터 처리 관련된 어떤 인증요소들을 어떻게 반영할 것인지 검토 중이다."
"(윤여진 개보위 자율보호정책과장, 이하 '윤') 지금 AI를 도입하거나 서비스하는 기업들에 대해서 어떤 식으로 볼지에 대해서 항목들을 도출했다. 거기에 대한 개선 의견 등이 완성되면 나중에 심사할 때도 반영할 예정이다."
-국민 파급력이 큰 기업에 대해서 강화된 인증기준 마련한다고 했는데, 아직 구체적인 건 마련 안 된 것인지.
"(양) 작업 중이다."
-인증제도를 전면 개선해서 강화한다고 해서 궁극적으로는 개인정보 유출사고를 막을 수 있냐 했을 때 그게 부족할 수도 있다는 생각이 든다.
"(양) 인증을 받았다고 해서 사고가 없다 이런 건 아니다. 건강검진했다고 해서 병이 안 일어나는 건 아니다. 그렇다고 해서 인증이 무용하냐, 그건 아니라고 보여진다. 보안 통제 항목을 촘촘히 한 번 보시고 KISA에서 나온 인증제도 기준과 관련된 가이드라인을 쭉 보시면 어떻게 보면 보안은 ABC다. 이런 부분들은 기준 충족 여부를 달성하려고 노력하고 외부기관에 점검받는 과정이 인증이다. 이런 과정을 통해서 사실은 그 인증을 획득하고자 하는 기업들은 자신들의 보안 관리체계 수준을 높여 나갈 수 있는 거다. 이런 면에서는 인증제도는 현장에서의 의미는 꽤 있는데, 이제 인증획득 기업이 우리가 ISMS-P 기준으로 한 260개 정도 되면 조사 중인 게 27개이다. 그러니까 한 10% 정도에서 사고가 나는 건데 그런 부분만 갖고 전체 인증제도에 아무런 의미가 없다, 이렇게 비판받을 정도로 역할을 못하고 있는 건 아니다. 그런 순기능들을 잘 살려야 한다는 말씀을 드리고 싶다."
-실효성 담보하기 위해서는 쿠팡처럼 인증받았음에도 유출사고가 있었으면 그거에 대한 제재가 있어야 되는 거 아니냐.
"(양) 그게 취소에 대한 부분이다. 현재 법령상에 ISMS든 ISMS-P든 망법이든 개인정보보호법이든 취소할 수 있도록 돼 있다. 중대한 법규 위반이나 어떤 인증기준에 따른 개인정보 관리체계를 운영함에 있어서 인증기준에 중대하게 미달한 경우들, 이런 부분들에 있어서는 취소할 수 있도록 되어 있다. 저희가 사후심사 과정에 그런 부분들을 찬찬히 봐서 어떤 중대결함이 발생했을 경우에는 인증 취소하는 거를 적극 검토하려고 한다. 그런 내용도 이 제도개선방안에 담고 있다."
"(최) 덧붙이면, 이 사고가 개인정보 유출이나 침해사고가 일어났을 때 정보통신망법이나 개인정보보호법상에서 과징금이나 이런 제재조치들이 있는 상황이다. 이번에 망법 개정안에 있어서도 정보통신망법이 개인정보보호법에 비해 제재 조치 수위라든가 이런 게 조금 낮았는데, 아직 본회의 통과는 안 됐지만 이행강제금 도입이라든가 반복되는 침해사고에 대해서는 과징금 도입하는 거라든가 이런 것들에 대해서 제재조치를 강화하고 있는 측면을 이해해 주면 좋겠다."
-예를 들면 신고제에서 허가제로 바꾼다, 이런 개념처럼 인증 제도를 무조건 의무적으로 받아야 한다, 아니면 어떤 불이익이 있다는 이런 개념인가.
"(윤) 우리 망법에서는 ISMS, 그러니까 80개 항목에 대해서는 일부 기업들이 의무화돼 있다. 안 했을 경우 과태료 조항이 있다. 그런 것처럼 주요 공공시스템이나 주요 플랫폼사 등을 했을 때 그런 부분들을 의무화하겠다는 것이고, 위반 시에는 과태료 제재가 가능하다. "
-기존 취득자는 보안을 강화하는 차원에서 조치를 하면 되는 거고, 기존에 인증받지 않은 기업들은 빨리 인증 취득해야 한다는 맥락으로 이해하면 되나.
"(윤) ISMS까지 받은 경우가 있을 때는 21개 항목을 추가적으로 받는다고 보면 된다."
"(양) ISMS-P 의무화는 법률 개정이 수반되어야 한다."
☞공감언론 뉴시스snow@newsis.com <저작권자ⓒ 공감언론 뉴시스통신사. 무단전재-재배포 금지.>
저작권자ⓒ 공감언론 뉴시스통신사. 무단전재-재배포 금지