정부가 연이은 해킹 사고로 실효성 논란을 빚었던 정보보호 및 개인정보보호 관리체계(ISMS‧ISMS-P) 인증제도를 전면 개편하다고 10일 밝혔다.
과학기술정보통신부와 개인정보보호위원회는 이날 정부서울청사에서 열린 경제관계장관회의에서 ‘정보보호 및 개인정보보호 관리체계 인증제 실효성 강화방안’을 발표했다. ISMS‧ISMS-P 인증은 국제표준 기반으로 보안수준을 높이고 사고를 예방하기 위해 기업의 정보보호 및 개인정보보호 관리체계를 점검‧인증하는 제도다.
그러나 지난해부터 통신사와 이커머스 등에서 해킹 사고가 연이어 발생하면서 인증제도에 대한 실효성 논란이 일었다. 이에 과기정통부와 개인정보위는 △인증 대상‧기준 △심사방식 △사후관리 △심사품질확보 등 제도 전반의 개선과제를 이번 강화방안에 담았다.
디지털 환경 변화와 사이버위협이 커지는 상황에도 ISMS-P 취득은 기업‧기관의 자율에 맡겨져 있었고, 기업 및 산업군의 사회 파급력과 무관한 획일적인 인증기준을 적용했던 문제가 지적됐다.
앞으로는 선제적인 예방 관리를 위해 공공‧민간의 중요 개인정보처리시스템을 중심으로 ISMS-P 인증을 의무화한다. 주요 공공시스템운영기관, 이동통신사업자, 본인확인기관, 매출액 및 개인정보 처리규모를 고려한 대규모 개인정보처리자 등을 대상으로 의무화할 예정이며 단계적으로 확대할 계획이다.
인증체계는 ‘강화인증’, ‘표준인증’, ‘간편인증’ 등 3단계로 재편하고, 국민생활에 파급력이 큰 강화인증군은 기존보다 강화된 기준과 심사방식을 적용한다. 강화 인증기준은 주요 보안위협 사례와 주요국 보안 요구 사항을 참조해 개발한다. 강화인증 도입은 이번이 처음이다.
인증대상 서비스와 관련된 장비, 시설 등은 빠짐없이 포함되도록 인증범위를 단계적으로 확대한다. 외부 인터넷과 연결돼 공격 경로로 활용될 가능성이 있는 디지털 자산은 인증범위 내에 반드시 포함해야 한다.
인증심사 방식도 강화된다. 기존 서면 중심의 심사방식을 전면 개편해 실시간 시연 확인 등 현장중심의 심사체계를 구축하고 미흡 기업에 대한 인증을 사전에 차단하기 위해 인증심사 절차를 개선한다.
구체적으로는 본심사 전 예비심사 단계에서 핵심적으로 확인해야 할 인증기준을 사전에 점검하고 본심사 진행 여부를 결정한다. 이어 부실한 관리체계를 개선한 이후에 본격적인 인증절차에 돌입할 수 있으며 취약점진단‧모의침투와 같은 기술심사 방식을 적용한다.
아울러 심사투입 인력과 기간을 확대하는 등 심사팀 구성 체계도 개편한다. 표준인증군은 인증심사원을 추가 투입해 현장실증을 강화하고, 강화인증군은 취약점점검원을 전담 투입한다. 중요도가 높은 정보자산을 기술심사를 통해 정밀하게 점검하고 점검 자산 수도 대폭 늘릴 방침이다.
인증심사 이후에도 보안관리가 유지될 수 있도록 상시 점검을 강화하며 중대 침해사고 발생 기업에 대한 사후관리도 엄격히 실시한다.
상시 점검체계를 확립해 인증의 취득부터 유지‧갱신 등 전 과정에서 안전한 관리체계가 지속 유지되고 있는지를 중점적으로 점검한다. 정부와 인증기관 간 사고 이력을 상시 공유할 수 있는 체계를 구축하고 중대 사고 발생시 기업이 사고복구 및 재발방지에 집중할 수 있도록 인증 심사를 잠정 중단한다.
사고기업에 대한 정부조사와 처분 등이 종료된 이후 인증심사 재개시 심사인력과 기간 투입을 확대해 사고원인과 조치현황, 재발방지 대책 등을 심사한다. 이어 주요 사고 원인 분석 등을 토대로 인증기준 미달 여부를 판단하기 위한 중대 결함 기준을 마련하고 중대 결함에 대한 보완을 기한 내 조치하지 않을 경우 인증취소를 진행한다.
또 부실심사를 방지하고 심사품질을 제고하기 위해 심사기관의 관리책임을 강화하고, 심사원의 전문역량 개발에 집중할 계획이다.
과기정통부와 개인정보위는 이번 실효성 강화방안의 추진과제를 실현하기 위해 시행령, 고시 및 안내서 등을 개정하고 관련 예산을 확보하는 등 후속조치도 철저히 수행할 예정이다.
상시 점검 강화, 인증취소 등 인증 사후관리와 관련된 사항은 올해 하반기부터 실시한다. ISMS-P 의무화·인증 차등 적용 및 강화 인증기준 적용 등은 2027년부터 시행될 수 있도록 상반기에 관련 작업을 추진할 계획이다.
송경희 개인정보위 위원장은 “사이버 공격이 고도화되는 상황에서 ISMS‧ISMS-P 인증제를 통해 국민 피해를 사전에 예방할 수 있도록 제도 전반에 대한 근본적 개편이 필요한 시점”이라며 “오늘 발표된 실효성 강화방안을 시작으로 인증제도를 개인정보 보호의 사전예방 핵심수단으로 개선해 국민이 안심할 수 있는 디지털 환경을 구현하겠다”라고 말했다.
류제명 과기정통부 제2차관은 “정보보호 관리체계 인증제도는 국민이 안심하고 디지털 서비스를 이용할 수 있도록 하는 핵심 안전장치”라며 “급변하는 사이버 보안 환경에 대응해 정보보호 관리체계를 보다 엄격하고 내실 있게 운영해 인증제도의 실효성을 높이고, 국민이 신뢰할 수 있는 인증체계로 발전시켜 나가겠다”라고 전했다.
