주요 공공시스템·통신사·대형 플랫폼에 ISMS-P 의무화 추진
AI 등 신기술 교육 확대…심사원 전문성 제고
 |
송경희 개인정보보호위원회 위원장이 6일 오후 정부서울청사에서 개최된 ISMS-P 인증 개선 관련 회의에서 모두발언을 하고 있다. /개인정보보호위원회 |
[더팩트ㅣ박지웅 기자] 최근 쿠팡을 비롯해 '개인정보보호 관리체계(ISMS·ISMS-P)' 인증 기업에서 대규모 개인정보 유출 사고가 잇따르자 정부가 인증제 전면 개선에 나선다.
과학기술정보통신부와 개인정보보호위원회는 6일 오후 4시 송경희 개인정보보호위원장 주재로 관계부처 대책 회의를 열고 인증제 개선 방안을 논의했다고 밝혔다. 회의에는 송 위원장과 과기정통부 2차관, 한국인터넷진흥원(KISA) 원장 등이 참석했다.
정부는 먼저 자율 운영되던 ISMS-P 인증을 주요 공공시스템, 통신사, 온라인 플랫폼 등 대규모 개인정보처리시스템에 대해 의무화하기로 했다. 이를 통해 상시적인 개인정보 안전관리 체계를 구축한다는 방침이다.
또한 통신사·대형 플랫폼 등 국민 파급력이 큰 기업에는 강화된 인증 기준을 새로 마련해 적용할 예정이다. 이를 위해 개인정보보호법과 정보통신망법 개정도 추진한다.
심사 방식도 대폭 강화한다. 예비심사 단계에서 핵심 항목을 선검증하고, 기술심사·현장실증 심사를 강화해 형식적 심사를 방지한다. 분야별 인증위원회를 운영하고, 심사원에게는 인공지능(AI) 등 신기술 교육을 확대해 전문성을 높이기로 했다.
사후관리 체계도 손질된다. 인증 기업에서 유출 사고가 발생할 경우 즉시 특별 사후심사를 실시해 인증 기준 충족 여부를 확인한다. 사후심사 과정에서 중대한 결함이 확인되면 인증위원회 심의·의결을 거쳐 인증 취소도 가능하도록 규정을 정비한다.
사고 기업에는 사후심사 인력과 기간을 기존의 2배로 확대 배치하고, 사고 원인 및 재발 방지 조치에 대해 집중 점검한다.
개보위는 이달부터 유출 사고가 발생한 인증 기업에 대한 현장 점검을 실시할 계획이다. 특히 쿠팡과 같이 현재 조사가 진행 중인 기업은 과기정통부 민관합동조사단 및 개보위 조사와 연계해 인증기관 주관으로 인증 기준 적합성을 면밀히 점검한다.
앞서 과기정통부는 지난 10월 22일 관계부처 합동으로 발표한 '정보보호 종합대책' 후속 조치로, 통신·온라인쇼핑몰 등 900여 개 ISMS 인증 기업을 대상으로 인터넷 접점 보안 취약점 긴급 자체 점검을 요청한 바 있다. 정부는 기업들의 자체 점검 결과를 바탕으로 내년 초부터 현장 검증에 나설 계획이다.
두 기관은 또한 지난달부터 운영 중인 과기정통부·개보위·인증기관 합동 태스크포스(TF)를 통해 인증제 개선안을 최종 확정하고, 특별 사후점검 결과를 반영해 내년 1분기 중 관련 고시를 개정·단계 시행한다는 방침이다.
christ@tf.co.kr
발로 뛰는 더팩트는 24시간 여러분의 제보를 기다립니다.
▶카카오톡: '더팩트제보' 검색
▶이메일: jebo@tf.co.kr
▶뉴스 홈페이지: http://talk.tf.co.kr/bbs/report/write
이 기사의 카테고리는 언론사의 분류를 따릅니다.