과기부-개인정보위, 6일 대책회의 개최
심사 강화하고 심사원 전문성 강화
사후심사 과정 거쳐 인증 취소도 고려
심사 강화하고 심사원 전문성 강화
사후심사 과정 거쳐 인증 취소도 고려
앞으로 통신사, 대형 온라인 플랫폼은 개인정보 보호 관리 체계를 갖추고 있음을 보여주는 ISMS-P 인증이 의무화 된다. 특히 국민 파급력이 큰 기업에 대해선 강화된 인증기준을 마련해 적용키로 했다. ISMS-P 인증을 보유한 쿠팡에는 인증기준 적합성을 알아보기 위한 현장점검을 실시한다.
과학기술정보통신부와 개인정보보호위원회는 6일 관계부처 대책회의를 열고 인증 실효성 강화를 위한 제도의 전면적 개편 방안을 추진한다고 밝혔다. 최근 ISMS-P 인증기업에서 해킹이나 대규모 개인정보 유출 사고가 반복적으로 발생함에 따라 이 같은 조치를 취하게 됐다.
먼저 자율적으로 운영되던 ISMS-P 인증을 공공·민간 주요 개인정보처리시스템에 대해 의무화해 상시적인 안전 체계를 구축키로 했다. 주민등록번호 등 주요 개인정보를 대규모로 다루는 주요 공공시스템과 통신사, 온라인 플랫폼 등이 대상이 될 것으로 보인다.
 |
송경희 개인정보보호위원회 위원장이 6일 오후 정부서울청사에서 개최된 ISMS-P 인증 개선 관련 회의에서 모두발언을 하고 있다. 개인정보위 제공 |
과학기술정보통신부와 개인정보보호위원회는 6일 관계부처 대책회의를 열고 인증 실효성 강화를 위한 제도의 전면적 개편 방안을 추진한다고 밝혔다. 최근 ISMS-P 인증기업에서 해킹이나 대규모 개인정보 유출 사고가 반복적으로 발생함에 따라 이 같은 조치를 취하게 됐다.
먼저 자율적으로 운영되던 ISMS-P 인증을 공공·민간 주요 개인정보처리시스템에 대해 의무화해 상시적인 안전 체계를 구축키로 했다. 주민등록번호 등 주요 개인정보를 대규모로 다루는 주요 공공시스템과 통신사, 온라인 플랫폼 등이 대상이 될 것으로 보인다.
특히 국민 파급력이 큰 기업에 대해 강화된 인증기준을 마련해 적용한다. 과기정통부와 개인정보위는 이를 위한 개인정보보호법 및 정보통신망법 개정을 추진할 예정이다.
심사방식도 전면 강화한다. 예비심사 단계에서 핵심항목을 선검증하고, 기술심사 및 현장실증 심사를 강화하도록 개선한다. 분야별 인증위원회 운영 및 심사원 대상 인공지능(AI) 등 신기술 교육을 통해 인증의 전문성을 높인다.
 |
아울러 사후관리를 대폭 강화한다. 인증기업의 유출사고 발생 시 적시에 특별 사후심사를 실시해 인증기준 충족 여부를 확인할 수 있도록 한다. 사후심사 과정에서 인증기준의 중대 결함이 발견되는 경우 인증위원회 심의·의결을 거쳐 인증을 취소하기로 했다. 사고기업에 대해선 사후심사 투입 인력·기간을 2배로 확대하고, 사고원인 및 재발방지 조치를 집중 점검한다.
개인정보위는 유출사고가 발생한 인증기업에 대해 이달부터 현장점검을 실시하기로 했다. 특히 쿠팡 등 현재 조사가 진행 중인 기업의 경우 민관합동조사단·개인정보위 조사와 연계해 인증기관 주관으로 인증기준 적합성에 대해 점검한다. 인증기관은 인증심사 및 인증서 발급 등 인증 관련 업무를 수행하는 한국인터넷진흥원(KISA)과 금융보안원이다.
김보경 기자 bkly477@asiae.co.kr
<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>
이 기사의 카테고리는 언론사의 분류를 따릅니다.