유출사고 더는 없도록…정부, ‘싹 바꾼’ 인증제도 공개

과기정통부·개인정보위, 인증제도 전면 개편 주요기관 ISMS·ISMS-P 인증 의무화·강화 등 인증 후 사후 점검 강화·심사기관 전문성 제고 과기정통부 로고. 정부가 정보보호 및 개인정보보호 관리체계(ISMS·ISMS-P) 인증 제도를 강화하기 위한 구체적 방안을 마련했다. 앞으로 통신사 등 대규모 개인정보처리자에 대해서는 개인정보보호 인증이 의무화되고 기업 규모에 따라 인증 기준도 차등 강화될 전망이다. 과학기술정보통신부와 개인정보보호위원회는 10일 정부서울청사에서 열린 경제관계장관회의에서 ‘정보보호 및 개인정보보호 관리체계 인증제 실효성 강화방안’을 발표했다. ISMS·ISMS-P 인증은 국제표준 기반으로 보안수준을 높이고 사고를 예방하기 위해 기업의 정보보호 및 개인정보보호 관리체계를 점검·인증하는 제도다. 하지만 최근 통신사·이커머스 등 인증기업에서 개인정보 유출 사고가 잇따르자 인증제도의 실효성을 개선한다는 취지다. 이번 강화방안에는 크게 △인증 의무대상·기준 △심사방식 △사후관리 △심사품질확보 등 네 가지 측면의 개선 과제가 담겼다. 우선 인증 의무대상 확대 및 기준이 강화된다. 특히 공공시스템 운영기관·이동통신사·본인확인기관 등 대규모 개인정보처리자 등에 대한 ISMS-P 인증을 의무화한다. 적용 대상은 단계적으로 확대할 방침이다. 그동안 기업 규모나 사회적 파급력과 관계없이 ISMS-P 취득을 자율에 맡기고 획일적 인증 기준을 적용했던 한계를 보완했다. 아울러 정부는 기존의 획일적 인증체계를 위험 기반의 차등 관리체계로 개편한다. ‘강화인증·표준인증·간편인증’의 3단계 구조를 도입하고, 국민 생활 영향이 큰 분야에는 강화된 기준과 심사 방식을 적용한다. 인증 기준은 주요 보안 위협 사례와 해외 요구 수준을 반영해 마련된다. 특히 외부 인터넷과 연결돼 잠재적 공격 경로가 될 수 있는 디지털 자산 등은 인증범위 내에 반드시 포함되도록 한다. 인증심사 방식도 서면 중심에서 현장 중심으로 전면 개편한다. 심사 절차는 미흡 기업의 인증을 사전 차단하는 데 방점을 뒀다. 본심사 전 예비심사 단계에서 핵심 기준을 점검해 인증 진행 여부를 결정하도록 했다. 또한 기술심사를 도입해 취약점 점검 전문인력이 취약점 진단과 모의침투 등을 수행하게 한다. 심사팀 규모와 심사 기간도 확대한다. 인증 이후에도 보안 수준이 유지되도록 사후 상시점검도 강화한다. 특히 중대 침해사고 발생 기업에 대한 사후관리를 엄격히 시행한다. 상시 점검체계를 확립해 인증 취득부터 유지·갱신까지 전 과정에 걸쳐 관리체계 지속 여부를 점검하고, 표준화된 점검 기준을 활용할 방침이다. 또한 정부와 인증기관 간 사고 이력 공유 체계를 구축하고 중대 사고 발생 시 인증심사를 일시 중단한다. 사고복구와 정부조사, 처분 등이 종료된 이후 인증심사 재개 시에는 원인과 재발방지 대책을 집중 점검한다. 중대 결함 기준을 마련해 미조치 시 인증을 취소하는 등 제재도 강화한다. 부실심사 방지를 위해 심사기관 및 심사원 전문성도 강화한다. 정부는 매 인증심사 종료 후 심사기관에 대한 신뢰도 조사를 실시하고 그 결과를 차년도 인증심사 배분 시 반영해 지속적인 품질 관리 체계를 마련할 예정이다. 아울러 심사원의 기술역량 강화를 위해 실무교육과 기술심사 가이드를 확대하고, AI·클라우드 등 전문분야별 인력 관리로 심사 전문성을 높인다. 이와 함께 심사원 처우 개선도 병행한다. 류제명 과기정통부 제2차관은 이날 “정보보호 관리체계 인증제도는 국민이 안심하고 디지털 서비스를 이용할 수 있도록 하는 핵심 안전장치”라며 “급변하는 사이버 보안 환경에 대응하여 정보보호 관리체계를 보다 엄격하고 내실 있게 운영하여 인증제도의 실효성을 높이고, 국민이 신뢰할 수 있는 인증체계로 발전시켜 나가겠다”고 밝혔다.