[세종=뉴스핌] 김범주 기자 = 정부가 반복되는 개인정보 유출사고를 막기 위해 정보보호 인증제도를 전면 개편한다. 공공·민간의 중요 개인정보처리시스템을 중심으로 정보보호 및 개인정보보호 관리체계(ISMS·ISMS-P) 인증을 의무화하는 등 대상을 확대할 방침이다.

과학기술정보통신부와 개인정보보호위원회는 10일 정부서울청사에서 열린 경제관계장관회의에서 이 같은 내용이 담긴 '정보보호 및 개인정보보호 관리체계 인증제 실효성 강화방안'을 공개했다.

'ISMS·ISMS-P 인증'은 국제표준(ISO27001·27701) 기반으로 보안수준을 높이고 사고를 예방하기 위해 기업의 정보보호 및 개인정보보호 관리체계를 점검·인증하는 제도다. 다만 최근 인증을 받은 기업에서도 해킹 사고가 잇따르면서 제도의 실효성 논란이 커졌다.

이에 정부는 통신사·데이터센터 등 침해사고 발생 시 국민생활에 파급력이 큰 사업자들에 대한 인증기준을 강화하기로 했다.

주요 공공시스템 운영기관, 이동통신사업자, 본인확인기관, 대규모 개인정보처리자 등을 중심으로 ISMS-P 인증 의무화를 단계적으로 확대할 방침이다.

'강화인증'을 신설해 인증체계를 강화인증, 표준인증, 간편인증 등 3단계로 재편한다. 통신사나 데이터센터처럼 사고 발생 시 국민생활에 미치는 영향이 큰 사업자에는 더 엄격한 기준을 적용할 계획이다.

심사 방식도 바뀐다. 지금까지는 서류 확인 위주의 점검이 중심이었지만, 앞으로는 본심사 전 예비심사를 통해 핵심 보안 항목을 먼저 점검하고, 미흡한 경우 이를 개선한 후 본심사가 진행될 수 있게 했다.

심사 시 특정 시점만 확인하는 '스냅샷' 방식도 바뀐다. 인증심사 이후에도 보안관리가 유지될 수 있도록 상시 점검을 강화할 방침이다. 특히 중대 침해사고 발생 기업에 대한 사후관리도 엄격히 실시한다.

중대 침해사고가 발생한 기업은 정부 조사와 연계해 인증심사를 잠정 중단하고, 조사 종료 뒤에는 사고 원인과 재발방지 대책까지 더 엄격하게 다시 심사한다. 기준 미달의 중대 결함이 있고 이를 기한 내 보완하지 않으면 인증취소도 추진한다.

심사기관과 심사원의 전문성도 높이기로 했다. 심사기관에 대한 신뢰도 조사를 실시해 다음 해 심사 배분에 반영하고, 지정·재지정 평가에도 심사 품질 항목을 반영하는 방식이다.

한편 상시 점검 강화·인증취소 등 인증 사후관리와 관련된 사항은 올해 하반기부터, ISMS-P 의무화·인증 차등 적용 및 강화 인증기준 적용 등은 내년부터 시행할 수 있게 할 계획이다.

류제명 과기부 제2차관은 "정보보호 관리체계 인증제도는 국민이 안심하고 디지털 서비스를 이용할 수 있도록 하는 핵심 안전장치"라며 "인증제도의 실효성을 높이고, 국민이 신뢰할 수 있는 인증체계로 발전시켜 나갈 것"이라고 말했다.

wideopen@newspim.com