(서울=뉴스1) 김민수 기자 = 과학기술정보통신부와 개인정보보호위원회가 정보보호관리체계(ISMS)와 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증 제도를 전면 강화한다. 최근 쿠팡 등을 비롯해 인증기업에서 해킹과 대규모 개인정보 유출이 반복되자, 핵심 항목 중심 점검 강화와 사후관리 확대 등 '실효성 있는 인증' 체계로 전환하겠다는 취지다.
6일 개보위 위원장의 주재로 과기정통부 제2차관, 한국인터넷진흥원(KISA) 원장 등이 참석한 관계 부처 대책 회의에서 정부는 인증 전 과정에 대한 강화 방안을 확정하고 법·제도 개편을 추진하기로 했다.
정부는 먼저 ISMS-P를 공공·민간 주요 개인정보 처리시스템에서 사실상 의무화한다. 지금까지 ISMS-P는 기업·기관이 필요에 따라 임의로 신청하는 자율 인증이었으나, 앞으로는 공공시스템·통신사·온라인 플랫폼 등 국민 파급력이 큰 분야는 반드시 인증을 받도록 제도를 개선한다.
심사 방식도 대폭 바뀐다. 예비 심사 단계부터 핵심 항목을 먼저 검증하고 충족하지 못하면 본심사에 진입할 수 없도록 한다.
본심사에서는 기존의 서면 위주·샘플링 방식에서 벗어나 코어시스템 중심의 현장 실증형사를 강화한다. 분야별 인증위원회를 운영하고 심사원에게 AI 등 신기술 교육을 확대해 전문성도 높인다.
사후관리는 더욱 엄격해진다. 인증기업에서 유출 사고가 발생하면 즉시 특별 사후 심사를 실시해 인증 기준 충족 여부를 점검한다. 이 과정에서 중대한 결함이 확인되면 인증위원회 심의를 거쳐 인증이 취소된다. 사고기업에는 기존 대비 2배 규모의 심사 인력과 심사 기간을 투입해 사고 원인과 재발 방지 조치를 집중적으로 점검한다.
개보위는 이달부터 유출 사고 기업을 대상으로 현장점검에 착수한다. 특히 쿠팡 등 현재 조사가 진행 중인 기업의 경우, 과기정통부 민관합동조사단·개보위 조사와 연계해 인증기관 주관으로 적합성을 점검한다.
또한 과기정통부는 지난 10월 발표한 '정보보호 종합대책' 후속으로 통신·온라인쇼핑몰 등 약 900개 ISMS 인증기업을 대상으로 모든 인터넷 접점 보안 취약점 긴급 자체 점검을 요청했다. 기업 점검 결과와 관련해서는 내년 초부터 정부가 현장 검증에 착수한다.
정부는 지난달부터 운영 중인 과기정통부·개보위·인증기관 합동 제도개선 TF 논의 결과와 특별점검 결과를 토대로 관련 고시를 내년 1분기 중 개정해 단계적으로 시행할 계획이다.
※ 저작권자 ⓒ 뉴스1코리아, 무단전재-재배포 금지