 |
송경희 개인정보보호위원회 위원장이 12월 6일 오후 정부서울청사에서 개최된 ISMS-P 인증 개선 관련 회의에서 모두발언을 하고 있다./사진제공=개인정보보호위원회 |
쿠팡, SK텔레콤, KT, 롯데카드 등 ISMS-P(정보보호 및 개인정보보호관리체계) 인증을 받은 기업에서 대규모 개인정보 유출 사고가 속출함에 따라 개인정보보호위원회(이하 개인정보위)와 과학기술정보통신부(이하 과기정통부)가 인증제도 손질에 나섰다.
개인정보위와 과기정통부가 ISMS(정보보호 관리체계)와 ISMS-P(정보보호 및 개인정보보호 관리체계) 인증제 개선 관계부처 대책회의를 개최했다고 6일 밝혔다. 회의는 개인정보위 위원장 주재로 과기정통부 제2차관, 한국인터넷진흥원장 등이 참여해 오후 4시에 열렸으며, 인증 실효성 강화를 위한 전면적 제도 개편 방안이 추진됐다.
먼저 통신사, 대규모 플랫폼, 주요 공공시스템 등 공공·민간 주요 개인정보처리시스템을 대상으로 ISMS-P 인증이 의무화된다. 상시적 개인정보 안전관리체계를 구축하기 위해서다. 기존 ISMS-P는 기업이 자율적으로 임의 신청해 인증을 취득하는 방식으로 운영됐다.
또 통신사, 대규모 플랫폼 사업자 등 파급력이 큰 기업은 강화된 인증기준이 적용된다. 개인정보위와 과기정통부는 이를 위한 개인정보 보호법 및 정보통신망법 개정을 조속히 추진할 예정이다.
 |
심사방식 강화방안 주요내용(안)./사진제공=개인정보보호위원회 |
심사방식도 전면 개편된다. 예비 심사 단계에서 핵심 항목을 선 검증하고, 기술 심사 및 현장 실증 심사를 강화한다. 분야별 인증위원회를 운영하고 기술 심사 및 현증 실증 심사를 강화해 인증 전문성도 높인다.
아울러 사후관리를 강화해 인증기업의 유출 사고 발생 시 적시에 특별 사후 심사를 실시해 인증기준 충족 여부를 재확인하고, 이 과정에서 인증기준 중대 결함이 발견되면 인증위원회 심의·의결을 거쳐 인증을 취소한다. 사고기업에 대해서는 사후 심사 투입 인력·기간을 2배로 확대하고, 사고원인 및 재발 방지 조치를 집중 점검한다.
한편 개인정보위는 유출 사고가 발생한 인증기업에 대해 이달부터 현장점검을 실시한다. 쿠팡 등 현재 조사가 진행 중인 기업은 과기정통부 민관합동조사단·개인정보위 조사와 연계해 인증기관 인증심사, 인증서 발급 등 인증 관련 업무를 수행하는 KISA(법정 인증기관), 금융보안원(금융 분야 인증·심사기관) 주관으로 인증기준 적합성 등을 점검한다.
과기정통부도 지난 10월 발표한 '정보보호 종합대책' 후속으로 통신, 온라인쇼핑몰 등 900여개 ISMS 인증기업들에게 모든 인터넷 접점에 대한 보안 취약점 점검 등 긴급 자체 점검을 실시할 것을 요청했다. 양 기관은 지난달부터 운영 중인 과기정통부·개인정보위·인증기관 합동 제도개선 TF(태스크포스)를 통해 개선방안을 최종 확정하고, 특별 사후 점검 결과 등을 반영해 내년 1분기 중 관련 고시를 개정, 단계적 시행할 예정이다.
이찬종 기자 coldbell@mt.co.kr
Copyright ⓒ 머니투데이 & mt.co.kr. 무단 전재 및 재배포, AI학습 이용 금지.
이 기사의 카테고리는 언론사의 분류를 따릅니다.