대규모 개인정보 유출 땐 ISMS-P 인증 취소한다

"1000만명 이상 개인정보 유출·사회적 영향 크면 인증취소 사유"
인증위원회 심의 거쳐 취소 결정
쿠팡·SKT 등 적용 대상

[파이낸셜뉴스] 정보보호 관리쳬계(ISMS)나 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증을 받은 기업이라도 1000만명 이상의 대규모 개인정보를 유출하거나 사회적 영향력이 큰 보안사고가 발생하면 심의위원회를 거쳐 인증이 취소된다.

구체화된 인증취소 조항은 즉시 발효돼 쿠팡, SK텔레콤, KT, 롯데카드 등 올해 발생한 개인정보 유출기업들이 모두 인증취소 심의 대상이 된다. ISMS·ISMS-P 인증이 취소되면 과징금 감경 등 혜택이 사라진다.

과학기술정보통신부와 개인정보보호위원회는 29일 한국인터넷진흥원, 금융보안원 등 인증 기관과 민간 전문가가 참여한 관계 기관 대책 회의를 열어 ISMS·ISMS-P 인증 취소 기준과 절차를 구체화해 즉시 시행하기로 했다. 지난 6일 열린 ‘인증제 개선 대책 회의’의 후속 조치로, 최근 인증 기업에서 사이버 침해와 개인정보 유출 사고가 잇따르자 사후 관리의 실효성을 높이기 위한 것이다.

우선 정부는 인증 획득 기업에 대해 연 1회 진행하는 사후심사에서 △외부 인터넷 접점 자산 식별 △접근 권한 관리 △보안 패치 관리 등 실제 사고와 밀접한 핵심 항목을 집중 점검할 방침이다. 사후심사에서 중대한 결함이 발견되거나 점검 거부, 자료 미제츨, 허위 제출할 경우 인증위원회 심의를 거쳐 인증을 취소한다.

또 개인정보보호법 위반으로 과징금 등 처분을 받은 기업도 위반의 중대성에 따라 인증취소 대상이 된다. 특히 피해 규모가 1000만명 이상이거나 반복 위반, 고의·중과실 위반행위로 사회적 영향이 큰 경우에는 원칙적으로 인증을 취소한다. 정보통신망법 역시 중대한 위반 시 인증 취소가 가능하도록 개정이 추진 중이다.

인증이 취소된 기업은 최소 1년간 인증을 재신청할 수 없다. 단 정보통신망서비스제공자(ISP), 집적정보통신시설사업자(IDC) 등 ISMS 인증 의무가 있는 기업에 대해서는 인증 재신청 유예기간에 과태료를 면제해 주기로 했다.

과기정통부와 개인정보위원회는 "인증 사후심사 시 기준을 미달하는 등 인증받은 기업이 정보보호관리체계의 수준을 지속 유지하지 않는 경우 인증 취소를 적극 실시하여 정부 인증제의 실효성을 높이겠다”고 밝혔다.

cafe9@fnnews.com 이구순 기자