IT 정보통신

종합병원·대학교도 정부 보안인증 의무화

이설영 기자

파이낸셜뉴스

입력 2016.06.01 18:12

수정 2016.06.01 18:12

미래부, 80여곳 포함시켜
종합병원이나 대학교가 정부의 보안인증을 받아야 하는 곳에 포함됐다. 그동안 종합병원과 대학교는 환자와 학생의 민감한 개인정보를 많이 갖고 있었지만 비영리기관이라는 이유로 보안인증 의무 대상이 아니었다. 이에 따라 개인정보 보호와 관련한 사각지대가 일부 해소될 것으로 보인다.

미래창조과학부는 지난해 12월 1일 공포된 '정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법)'이 2일부터 시행되면서 세입(매출)이 1500억원 이상인 병원과 매출이 1500억원 이상이면서 재학생수가 1만명 이상인 대학교도 정보보호관리체계(ISMS) 인증을 받아야 한다고 1일 밝혔다.

ISMS 인증제도는 기업이나 조직의 보안체계가 잘 갖춰져 있는지 인증하는 제도다. 보안조직이 있는지, 물리적 보안 체계를 갖췄는지 등 총 104개 심사항목이 있다.
해킹 등을 통해 민감한 개인정보가 유출될 수 있으므로, 보안체계를 잘 갖추도록 하는 것이 목적이다. 인증 유효기간은 3년이다.

그동안 정보통신망법에는 ISMS 인증을 받아야 하는 대상에 비영리기관을 제외했으나, 이번 개정으로 약 42~43개 종합병원과 40여개의 대학교가 인증을 받아야 하는 곳에 포함이 됐다. 병원이나 대학교 등은 비영리기관에 해당하지만 민감정보를 많이 다루므로 보안체계를 잘 갖춰야 할 필요성이 있기 때문이다.

ISMS 인증을 의무적으로 받아야 하는데도 불구하고 인증을 받지 않은 곳은 과태료를 내야한다.
과태료도 정보통신망법 개정에 따라 기존 1000만원에서 3000만원으로 상향 조정됐다.

한편 은행 등 금융회사는 이미 금융위원회, 금융감독원으로부터 '정보기술 부문 실태조사 평가'라는 이름의 보안점검을 받기 때문에 중복규제 완화 차원에서 이번 ISMS 인증 의무대상에서 제외됐다.


미래창조과학부 송정수 정보보호정책관은 "ISMS 인증 의무대상이 의료.교육 등 비영리기관으로 확대됨에 따라 정보보호 사각지대를 해소할 수 있게 됐다"며 "또 인증 의무 위반자는 행정처분을 강화해 제도의 실효성을 확보했다"고 말했다.

이설영 기자

fnSurvey