[서울=뉴스핌] 양태훈 기자 = 개인정보보호위원회(이하 개인정보위)와 과학기술정보통신부(이하 과기정통부)가 정보보호 관리체계(ISMS) 및 정보보호·개인정보보호 관리체계(ISMS-P) 인증의 실효성을 높이기 위해 제도를 전면 개편한다.

6일 개인정보위와 과기정통부는 정부서울청사에서 인증제 개선 관계부처 대책회의를 열고, 최근 ISMS·ISMS-P 인증을 보유한 기업에서 해킹 및 개인정보 대량 유출 사고가 잇따른 가운데 인증제도 강화 방안을 논의했다.

양 기관은 우선 자율 신청제로 운영되던 ISMS-P 인증을 공공·민간 주요 개인정보처리시스템(주요 공공시스템, 통신사, 대규모 플랫폼 등)에 대해 의무화해 상시적인 개인정보 안전관리 체계를 갖추도록 할 예정이다. 아울러 통신사와 대규모 플랫폼 기업 등 국민 피해 파급력이 큰 기업에는 강화된 인증 기준을 적용하는 방안도 추진한다. 이를 위해 개인정보보호법과 정보통신망법 개정을 조속히 추진한다는 계획이다.

또한 인증심사 방식도 대폭 개편한다. 예비심사 단계부터 핵심 항목을 우선 검증하고, ISMS 고위험군·사고 기업 및 ISMS-P 인증에는 취약점 진단, 모의침투 등 기술심사를 적용한다. 핵심 항목을 충족하지 못하면 본심사 자체가 불가능하며, 최초 인증은 반려, 사후심사의 경우 인증 효력이 취소될 수 있다.

본심사에서는 서면 중심 점검에서 벗어나 기업의 핵심 시스템을 대상으로 실증형 현장 점검을 강화한다. 분야별 인증위원회 운영과 심사원 대상 인공지능(AI) 등 신기술 교육을 통해 인증의 전문성도 높이기로 했다.

사후관리도 크게 강화된다. 인증 기업에서 유출 사고가 발생할 경우 즉시 특별 사후심사를 실시하며, 심사 과정에서 중대한 결함이 확인되면 인증위원회 심의를 거쳐 인증을 취소한다. 사고 기업에는 투입 심사인력과 점검 기간을 기존보다 2배로 확대해 사고 원인과 재발 방지 조치를 집중 점검한다.

개인정보위는 이달부터 유출 사고가 발생한 인증 기업을 대상으로 현장점검을 실시한다. 특히 쿠팡 등 현재 조사 중인 기업은 과기정통부 민관합동조사단 조사와 연계해 인증기관이 인증기준 적합성을 별도로 점검하게 된다.

송경희 개인정보위 위원장은 "최근 통신사와 대형 플랫폼 기업에서 정보보호 및 개인정보 관리체계 미흡으로 인한 사고가 반복되고 있다"며 "주요 개인정보처리시스템에 대한 ISMS-P 인증 의무화와 인증 기준 강화를 위한 법 개정을 추진하고, 예비심사 단계 핵심 항목 선(先)검증과 현장 중심 심사 방식 보강을 통해 인증제도를 전면 개선하겠다"고 밝혔다.

또한 "법규 위반이나 보호체계 운영에 중대한 결함이 확인될 경우 인증 취소도 적극 검토할 것"이라며 "쿠팡 등 유출 사고 기업에 대해서는 특별점검을 포함한 사후관리를 강화해 ISMS·ISMS-P의 신뢰성을 높이겠다"고 강조했다.

과기정통부는 지난 10월 발표한 '정보보호 종합대책'의 후속 조치로, 통신·온라인쇼핑몰 등을 포함한 약 900개 ISMS 인증 기업에 전체 인터넷 접점 보안 취약점에 대한 긴급 자체 점검을 요청했으며, 내년 초부터 현장 검증에 나설 예정이다.

류제명 과기정통부 2차관은 "최근 이동통신사와 플랫폼 기업에서 해킹과 개인정보 유출 사고가 잇따르며 국민 불안이 커지고 있다"며 "특히 인증을 받은 기업에서도 사고가 반복되는 문제는 제도 실효성 점검이 필요한 시점"이라고 말했다. 이어 "점검 항목, 방식, 인증기관의 운영, 사후관리 등 인증 과정 전반을 다시 점검해 제도가 실질적으로 기능하도록 개선해야 한다"며 "이번 논의를 통해 인증 기업이 스스로 체계를 재점검해 사고 재발을 막는 계기가 되어야 한다"고 강조했다.

한편, 양 기관은 지난달부터 운영 중인 개인정보위·과기정통부·인증기관 합동 제도개선 TF를 통해 최종 개선안을 확정하고, 특별 사후점검 결과를 반영해 내년 1분기 중 관련 고시를 개정해 단계적으로 시행할 계획이다.

dconnect@newspim.com