표준 마련 시급…이행 여부 확인
정보보호 및 개인정보보호 관리체계(ISMS-P) 인증 의무화가 일정 수준의 보호체계를 갖추도록 하는 최소한의 안전장치라는 점에서 도입 취지에 대한 이견은 크지 않다. 다만 현장에서는 의무화 효과를 높이려면 제도를 정교하게 설계해야 한다는 지적이 나온다.
ISMS-P는 과학기술정보통신부와 개인정보보호위원회가 공동 고시하는 국내 최고 수준의 보안 관리체계 인증 제도로 한국인터넷진흥원(KISA)이 운영·관리를 맡고 있다. 2018년 정보보호 관리체계(ISMS)와 개인정보보호 관리체계(PIMS)를 통합해 시행됐다. ISMS 80개 기준(관리체계 16개, 보호대책 64개)에 개인정보 처리 단계별 요구사항 21개 항목을 더해 평가한다.
업계는 인증 의무화 필요성에 공감하면서도 현실적 부담이 적지 않다고 입을 모은다. 한 공공기관 관계자는 “자체적인 수익 사업을 가진 기관과 달리 국가 예산을 100% 지원받는 기관은 인건비와 사업비 모두 기획재정부와 협의해야 한다”며 “보안 인증을 요구하면서 인력과 예산이 뒷받침되지 않는 구조는 모순적”이라고 말했다.
ISMS-P 인증이 의무화될 경우 복수의 공공시스템을 운영하는 기관은 막대한 비용을 한 번에 감당해야 할 수 있다. 앞선 관계자는 “국민 생활과 밀접하거나 서비스 중단 시 파급력이 큰 시스템부터 인증 의무화를 단계적으로 도입해야 한다”고 제안했다. 정부 행정정보시스템이 중요도에 따라 1~4등급으로 구분되는 만큼 핵심 등급부터 순차 적용하는 방식을 검토할 필요가 있다는 설명이다.
정부가 표준 가이드라인을 마련해 보안 컨설팅 비용 부담을 완화할 필요성도 제기됐다. 김형중 고려대 정보보호대학원 특임교수는 “ISMS-P 인증을 받으려면 무엇을 준비해야 하는지 최소한의 가이드라인을 정부가 제공해야 한다”며 “KISA 등의 유관기관이 공공기관을 대상으로 인증 관련 사전 교육을 진행하면 보안 컨설팅 비용과 준비 기간을 단축할 수 있다”고 강조했다.
기관들의 예산 확보가 쉽지 않을 것으로 예상되면서 ‘개인정보 피해구제기금’을 신설해 보안 강화에 활용해야 한다는 제안도 나왔다. 김도승 개인정보보호법학회장(전북대 로스쿨 교수)은 현행 제도상 국고로 귀속되는 과징금을 피해 배상과 보안 강화의 재원으로 활용하기 위해선 보호기금이 필요하다고 보고 있다.
김 회장은 “공공기관의 경우 인증을 유지하기 위한 보안 컨설팅 및 인프라 구축 비용이 정부 예산의 경직된 구조상 큰 부담이 될 수 있다”며 “개인정보위가 보호기금을 신설해 재정 자립도가 낮은 공공기관의 보안 컨설팅 비용을 직접 지원하거나, 공동 대응 인프라를 구축해주는 방식을 고려해볼 수 있다”고 말했다.
ISMS-P 인증 무용론이 제기되는 만큼 인증 제도 자체의 실효성을 높여야 한다는 지적도 나온다. 황석진 동국대 국제정보보호대학원 교수는 “6개월 혹은 1년에 한 번씩 인증받은 내용을 제대로 이행하고 있는지 확인해야 한다”며 “인증 이후에도 실사 위주의 사고 관리 강화가 중요하다”고 설명했다.
김 회장도 “ISMS-P 의무화에 회의론이 나오는 배경에는 인증 취득을 목적으로 하는 ‘행정적 숙제’로 인식하기 때문”이라며 “조직 내 보안 체계가 실질적으로 내재화될 수 있도록 인증 기준을 유연화하고 최신 위협 대응 중심으로 운영을 고도화할 필요가 있다”고 말했다.
