송경희 개인정보보호위원회 위원장이 10일 오전 서울 종로구 세종대로 정부서울청사에서 열린 비상경제본부회의 겸 경제관계장관회의에서 정보보호 및 개인정보보호 관리체계 인증제 실효성 강화방안 관련 발언을 하고 있다. 뉴스1

정부가 실효성 논란을 빚어온 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증 제도를 전면 개편한다. 자율에 맡겨졌던 인증을 의무화하고, 인증 체계도 3단계로 세분화해 한층 강화했다.

과학기술정보통신부와 개인정보보호위원회는 10일 정부 서울청사에서 열린 경제관계장관회의에서 ‘정보보호 및 개인정보보호 관리체계 인증제 실효성 강화방안’을 발표했다.

강화방안에 따르면 우선 대규모 개인정보를 처리하는 공공·민간의 주요 시스템을 중심으로 ISMS-P 인증을 단계적으로 의무화한다. 홈택스나 국민건강보험 등 주요 공공시스템 운영기관을 비롯해 이동통신사, 본인확인기관 등이 대상이다. 그간 자율에 맡겨졌던 인증을 의무로 전환하는 것이다. 동시에 개인정보위는 기존 획일적 인증체계를 기업 규모에 따라 ‘강화·표준·간편’ 3단계 구분해 운영한다. 주요 보안 위협과 해외 사례를 반영해 구체적인 강화 인증 기준 등을 마련할 계획이다.

대규모 개인정보 유출사태를 일으킨 쿠팡이 ISMS-P 인증을 받은 사실이 알려지면서 인증제에 대한 실효성이 의심됐다. 김성태 객원기자

아울러 인증 범위도 단계적으로 확대된다. 가령 지금까진 A사의 고객 대응시스템만 인증받으면 됐지만, 앞으로는 해당 서비스와 연계된 장비와 시스템 전반으로 인증 대상이 넓어진다. 특히 외부 인터넷과 연결돼 공격 경로로 악용될 가능성이 있는 디지털 자산은 인증 범위에 반드시 포함하도록 했다.

심사 방식도 서면에서 현장 중심으로 달라진다. 예비 심사 단계에서는 개인정보 처리시스템 암호화 수준과 취약점 관리 등 핵심 항목을 우선 점검해 부실기업을 걸러낼 방침이다. 기술심사와 현장 실증 평가도 한층 강화한다. 인증을 받기 위해서는 모의 침투(해킹) 테스트를 통과해야 한다. 심사의 전문성을 높이기 위해 투입 인력과 심사 시간도 확대된다.

이와 함께 사후 관리를 엄격히 시행하는 내용도 이번 강화 방안에 담겼다. 심사 때 특정 시점만 확인하는 ‘스냅샷’ 방식에서 벗어나 인증 이후에도 보안 관리가 유지되도록 상시 점검을 확대한다. 특히 인증 과정에서 중대한 침해 사고가 발생할 경우 심사 인력과 기간을 추가 투입해 사고 원인과 조치 현황, 재발 방지 대책 등을 집중적으로 점검할 계획이다. 강화한 ISMS-P 의무화·인증 기준은 내년 시행이 목표다.

송경희 개인정보위 위원장은 “사이버 공격이 고도화되는 상황에서 국민 피해를 예방하기 위해 ISMS-P 인증제도 전반의 근본적 개편이 필요한 시점”이라며 “이번 실효성 강화 방안을 계기로 인증제도를 개인정보 보호의 핵심 사전 예방 수단으로 발전시키겠다”고 밝혔다. 류제명 과기정통부 제2차관은 “정보보호 관리체계 인증제도는 국민이 안심하고 디지털 서비스를 이용할 수 있도록 하는 핵심 안전장치”라며 “급변하는 보안 환경에 대응해 제도를 보다 엄격하고 내실 있게 운영해 나가겠다”고 말했다.