정부가 정보보호 및 개인정보보호 관리체계(ISMS·ISMS-P) 인증 제도의 실효성 강화에 나섰다. 인증을 받은 기업에서 정보유출 사고가 잇따르면서 제도 무용론이 제기된 데 따른 것이다. 정부는 인증 의무화를 비롯해 위험수준별 3단계 인증 체계 도입, 핵심 항목 예비심사 등을 담은 제도 강화안을 준비하고 있다.
12일 과학기술정보통신부와 개인정보보호위원회는 서울 중구 HJ비즈니스센터에서 ‘정보보호 및 개인정보보호 관리체계(ISMS·ISMS-P) 인증제 실효성 강화를 위한 현장 간담회’를 개최했다. ‘정보보호 및 개인정보보호 인증제 실효성 강화방안’을 수립하기 전 현장 의견을 청취하기 위해서다.
ISMS·ISMS-P 인증은 과기정통부 소관의 정보보호 관리체계와 개인정보위 소관의 개인정보 보호 요구사항을 결합한 통합 인증제도다. 기업과 기관은 인증 심사 과정을 통해 개인정보 처리 흐름을 체계화하고 잠재적인 보안 위험을 관리해왔다. 그러나 최근 ISMS·ISMS-P 인증을 받은 통신사와 대형 플랫폼 사업자 등에서 보안 및 개인정보 유출 사고가 잇따르면서 인증제도의 실효성 강화 필요성이 제기됐다.
이날 간담회에서는 정부가 마련 중인 인증제 실효성 강화 정책 방향이 소개됐다. 주요 내용은 △인증 의무대상 확대 및 인증 기준 강화 △예비심사 신설과 기술심사·현장실증형 심사 적용 등 심사 방식 개편 △유출 사고 방지를 위한 인증 사후관리 강화 △심사기관 감독 강화와 심사원 전문성 제고 등이다.
발표를 맡은 김선미 한국인터넷진흥원(KISA) 디지털보안인증단장은 “국민 생활에 미치는 파급력을 고려해 위험수준별로 간편인증, 표준인증, 강화인증 등 3단계 인증체계를 도입할 것”이라며 “주요 보안 위협 사례와 주요국 보안 요구 사항을 참고해 강화인증을 개발할 예정”이라고 말했다. 이에 따라 기존 인증제도에는 없던 강화인증 단계가 새롭게 도입된다.
또한 김 단장은 “부실 인증을 방지하기 위해 인증 과정에 예비심사를 도입해 핵심 인증 항목에 대한 기업의 준비 수준을 미리 점검할 계획”이라며 “최근 개인정보 유출 사고의 원인이 된 비밀번호 암호화 등 반드시 조치해야 할 사항을 사전에 확인하겠다”고 설명했다. 이같은 예비심사는 모든 기업에 적용될 예정이다.
서면 중심 심사에 대한 비판을 반영해 기술·현장 심사를 강화하는 방향으로 심사 체계도 개편한다. 김 단장은 “기술심사는 주요 기업을 대상으로 취약점 스캐너나 소스코드 진단 도구 등을 활용해 취약점을 점검하고 모의 침투시험을 진행하는 방식으로 이뤄진다”며 “기술심사를 위한 심사원 실무 교육을 강화하고 심사 가이드를 제공하겠다”고 말했다.
이후 이뤄진 토의에서는 기술심사 강화 등 개선책이 현장에서 실질적으로 작동하기 위한 세부 사항이 제시됐다. 특히 심사의 일관성을 확보하기 위해 기술심사 가이드 마련 등 제도적 보완이 필요하며, 심사 품질을 높이기 위해 심사기관에 대한 모니터링 강화와 심사원 참여 요건 개선 등이 필요하다는 의견이 나왔다.
송경희 개인정보위 위원장은 “ISMS-P 인증제도는 기업이 운영 중인 개인정보 보호 관리체계를 선제적으로 점검함으로써 개인정보 침해를 예방할 수 있는 중요한 사전 예방 정책 중 하나”라며 “현장의 목소리를 적극 반영해 인증제도가 우리 사회 전반의 데이터 보호 수준을 실질적으로 높이는 인프라로 기능할 수 있도록 지속적으로 개선해 나가겠다”고 말했다.
류제명 과기정통부 제2차관은 “최근 사이버 공격이 나날이 고도화되면서 침해사고의 가능성과 그로 인한 파급효과가 더욱 높아지고 있다”며 “ISMS-P 인증제도 개선을 통해 기업의 경각심과 보안 수준을 한 단계 높여, 침해사고로 인한 국민들의 피해를 방지하고 그로 인한 피해를 최소화할 수 있는 기반을 만들겠다”고 강조했다.
