과기정통부·개보위, ISMS-P 실효성 논란에 인증제도 개편
국민생활 파급력 큰 주요 공공·민간 시스템 ISMS-P 인증 의무화
중소기업엔 '간편인증' 유지…고위험 대형 시스템만 강화 기준
국민생활 파급력 큰 주요 공공·민간 시스템 ISMS-P 인증 의무화
중소기업엔 '간편인증' 유지…고위험 대형 시스템만 강화 기준
![[서울=뉴시스] 배훈식 기자 = 송경희 개인정보보호위원장이 6일 오후 서울 종로구 정부서울청사에서 ISMS-P 인증 개선 회의를 하고 있다. 2025.12.06. dahora83@newsis.com](https://thumb.zumst.com/780x0/https://static.news.zumst.com/images/9/2025/12/06/NISI20251206_0021087504_web_20251206163641.jpg) |
[서울=뉴시스] 배훈식 기자 = 송경희 개인정보보호위원장이 6일 오후 서울 종로구 정부서울청사에서 ISMS-P 인증 개선 회의를 하고 있다. 2025.12.06. dahora83@newsis.com |
[서울=뉴시스] 신효령 기자 = 쿠팡, SK텔레콤, KT, 롯데카드 등 ISMS-P(정보보호·개인정보보호관리체계) 인증을 받은 기업에서 대규모 개인정보 유출 사고가 발생함에 따라 개인정보보호위원회(개보위)와 과학기술정보통신부(과기정통부)가 인증제도 개편에 나섰다.
기존 자율적으로 운영되던 ISMS-P 인증을 주요 공공시스템, 통신사, 온라인 플랫폼 등 주요 개인정보처리시스템에 대해 의무화해 상시적인 개인정보 안전관리체계를 구축하게 한다. 사후심사 과정에서 인증기준 중대 결함이 발견되는 경우 인증위원회 심의·의결을 거쳐 인증을 취소하기로 했다.
개인정보보호위원회는 과학기술정보통신부와 6일 오후 송경희 개보위원장 주재로 인증제 개선 관계부처 대책 회의를 갖고 이같은 대응책을 마련했다고 밝혔다. 이날 회의에는 송 위원장을 비롯해 류제명 과학기술정보통신부 제2차관, 이상중 한국인터넷진흥원장이 참석했다.
개보위는 유출사고가 발생한 인증기업에 대해 이달부터 현장 점검을 실시한다. 특히 쿠팡 등 현재 조사가 진행 중인 기업의 경우 과기정통부 민관합동조사단·개보위 조사와 연계해 인증기관 주관으로 인증기준 적합성 등을 점검한다. 과기정통부는 지난 10월 22일 관계부처 합동으로 발표한 '정보보호 종합대책' 후속으로 통신, 온라인쇼핑몰 등 900여 개 ISMS 인증기업을 대상으로 모든 인터넷 접점에 대한 보안 취약점 점검 등 긴급 자체 점검을 실시하도록 요청했다. 기업들의 점검 결과에 대해 내년 초부터 현장 검증을 실시할 계획이다.
마지막으로 두 기관은 지난달부터 운영 중인 과기정통부·개보위·인증기관 합동 제도 개선 태스크포스(TF)를 통해 개선방안을 최종 확정하고, 특별 사후점검 결과 등을 반영해 내년 1분기 중 관련 고시를 개정해 단계적으로 시행한다.
다음은 정부 대책회의 내용에 대한 일문일답이다. 이날 브리핑에는 양청삼 개보위 개인정보정책국장, 최광기 과기부 사이버침해대응과장, 김선미 한국인터넷진흥원 보안인증단장, 윤여진 개보위 자율보호정책과장이 참석했다.
-제도 개선안 시행 일정을 말해 달라.
정부는 11월 국정감사 이후 과학기술정보통신부와 개인정보보호위원회, 한국인터넷진흥원이 제도 개선방안 테스크포스(TF)를 운영해왔다. 제도 개선안이 인증심사 기준과 절차에 반영되려면 일부 법 개정이 돼야 한다. 또한 양 부처 고시에 반영돼야 할 요소들이 많다.
-국민 파급력이 큰 기업에 대해 강화된 인증기준을 마련하겠다고 했는데, 실효성을 강구하기 위한 구체적인 기준이 있는가.
현재 정보통신망 이용촉진 및 정보보호 등에 관한 법률(망법)에 관련 내용을 추가해 법령 개정을 추진 중이다. 현재 관련 개정안이 법사위까지 통과했다. 인증 관련 기준을 현실에 적합하도록 만드는 게 가장 중요하다. 개인정보 관리체계의 성숙도가 높아질 수 있도로 인증 기준을 현실에 맞게 개선하고, 인증 유효기간이 3년이지만 매년 인증획득 기관이 기준에 맞게 제대로 운영하는지 점검하는 등 인증의 실효성을 확보하는 내용이 포함돼 있다.
-인증범위에 자산 현황을 추가한 부분도 있는데, 정부가 민간기업들을 일일이 심사할 수 있는 여력이 되겠나.
인증범위 내에서 자산 등 기본적으로 식별 돼 있어야 하는데, 그 부분들이 안 돼 있어 이를 보완하겠다는 것이다. 올해는 어디까지, 그다음은 또 어디까지 범위를 정해 단계적으로 시행한다든지 범위를 식별해서 문제점이 없는지를 스스로 파악할 수 있도록 운영할 계획이다.
-쿠팡 사고 건을 보면 인증 키를 들고 나간 퇴사 직원이 국외에 있다면 정부 조사가 현실적으로 어렵다. 이에 대한 정부의 대책이 있는가. 아울러 직원들에 대한 관리 강화 방안도 필요해 보이는데.
ISMS(정보보호체계 인증), ISMS-P 인증 기준이 우리나라만의 고유 규제가 아니라 글로벌 스탠다드라고 보면 된다. 쿠팡 정보유출사고에서 문제 됐던 암호키 관리, 접근권한 퇴직자 관리 등의 기준은 이미 마련돼 있다.
-국회에서 특사경(특별사법경찰) 제도를 도입해야 한다는 얘기도 나왔다. KISA에 특사경 제도를 도입하면 되나.
인증 제도 개선과는 무관한 사안이다. 특사경 관련해서는 기본적으로 법 위반, 특히 형사법과 관련된 위반 사안을 따지는 거라 인증과 관련 짓기는 어렵다.
-앞으로 인공지능(AI) 기술 분야로 보안 이슈가 많이 늘어날 것 같은데 인증제도도 이를 반영해야 하는 것 아닌가.
AI 데이터 처리가 확산되면서 그 관련 부분이 적절하게 인증기준에 수용될 필요성은 있다. 어떤 인증요소들을 어떻게 반영할 것인지 검토 중이다.
![[서울=뉴시스] 배훈식 기자 = 송경희 개인정보보호위원장이 6일 오후 서울 종로구 정부서울청사에서 열린 ISMS-P 인증 개선 회의에서 발언하고 있다. 2025.12.06. dahora83@newsis.com](https://thumb.zumst.com/780x0/https://static.news.zumst.com/images/9/2025/12/06/NISI20251206_0021087502_web_20251206163729.jpg) |
[서울=뉴시스] 배훈식 기자 = 송경희 개인정보보호위원장이 6일 오후 서울 종로구 정부서울청사에서 열린 ISMS-P 인증 개선 회의에서 발언하고 있다. 2025.12.06. dahora83@newsis.com |
-실효성을 담보하기 위해서는 인증 받은 기업에서 유출사고가 발생하면 이에 따른 제재가 필요할 것 같은데.
현재 법령에 따라 ISMS든 ISMS-P든 인증을 취소할 수 있도록 돼 있다. 중대한 법규 위반이나 개인정보 관리체계에 중대한 하자가 있을 경우에 해당한다. 사후심사 과정에서 중대 결함이 발생했을 경우에는 인증 취소하는 것을 적극 검토하고자 한다. 개인정보 유출이나 침해 사고가 발생했을 경우 정보통신망법이나 개인정보보호법상에서 과징금 등 제재 조치를 내릴 수 있다. 향후 이행강제금 도입 등 제재 조치를 강화할 계획이다.
![[서울=뉴시스] 배훈식 기자 = 송경희 개인정보보호위원장이 6일 오후 서울 종로구 정부서울청사에서 ISMS-P 인증 개선 회의를 하고 있다. 2025.12.06. dahora83@newsis.com](https://thumb.zumst.com/780x0/https://static.news.zumst.com/images/9/2025/12/06/NISI20251206_0021087505_web_20251206163701.jpg) |
[서울=뉴시스] 배훈식 기자 = 송경희 개인정보보호위원장이 6일 오후 서울 종로구 정부서울청사에서 ISMS-P 인증 개선 회의를 하고 있다. 2025.12.06. dahora83@newsis.com |
☞공감언론 뉴시스 snow@newsis.com
▶ 네이버에서 뉴시스 구독하기
▶ K-Artprice, 유명 미술작품 가격 공개
이 기사의 카테고리는 언론사의 분류를 따릅니다.