[서울=뉴스핌] 이성화 기자 = 정부가 정보보호 및 개인정보 관리체계(ISMS·ISMS-P) 인증을 받은 기업이더라도 1000만명 이상의 대규모 개인정보 유출 사고가 발생한 경우 인증을 취소하기로 했다.

과학기술정보통신부와 개인정보보호위원회는 29일 한국인터넷진흥원(KISA), 금융보안원 등 인증기관 및 민간 전문가들로 구성된 인증위원회와 함께 관계기관 대책 회의를 열고 ISMS·ISMS-P 인증 취소 기준 구체화 방안을 논의했다.

이번 대책회의는 지난 6일 개최된 ISMS·ISMS-P 인증제 개선 관계기관 대책회의의 후속 조치다. 정부는 최근 ISMS-P 인증기업의 사이버 침해, 개인정보 유출 사고 빈발로 사후관리의 엄격성을 높여야 한다는 목소리를 반영해 긴밀한 협력체계를 구축해 왔으며, 이날 심의·확정된 인증 취소 방안을 즉각 시행할 계획이다.

정부는 먼저 외부 인터넷 접점 자산 식별, 접근권한 관리, 패치관리 등 실제 사고와 밀접하게 연관된 핵심항목을 인증기업이 연 1회 받는 사후심사에서 집중적으로 점검할 방침이다. 사후관리를 미이행하는 등 거부하거나 자료를 미제출·허위 제출하면 인증을 취소한다. 점검 결과 중대 결함이 발견된 경우에는 인증위원회의 심의를 거쳐 인증을 취소한다.

또한 인증기업이 개인정보보호법 위반으로 과징금 등의 처분을 받은 경우 위반행위의 중대성을 따져 인증을 취소한다. 특히 1000명 이상의 피해 발생, 반복적 법 위반, 고의·중과실 위반행위로 사회적 영향이 큰 경우에는 원칙적으로 인증을 취소한다.

정부는 인증 취소 이후 1년간 재신청 유예기간을 둬 실질적인 보안 개선이 이뤄지도록 할 방침이다. 해당 기간에는 인증의무 미이행 과태료를 면제한다.

과기정통부 관계자는 "인증 사후심사시 기준에 미달하는 등 인증받은 기업이 정보보호관리체계의 수준을 지속 유지하지 않는 경우 인증 취소를 적극 실시해 제도의 실효성을 높이겠다"고 말했다.

개인정보위 관계자는 "앞으로도 지속적 협력을 통해 인증 기준에 미달하거나 중대한 위반이 있는 기업은 인증을 유지할 수 없도록 엄격히 관리해 인증제도의 신뢰성을 회복해 나가겠다"고 밝혔다.

shl22@newspim.com