【 청년일보 】 개인정보보호위원회와 과학기술정보통신부(과기정통부)가 정보보호 및 개인정보보호 관리체계(ISMS·ISMS-P) 인증제도를 전면 개편한다. 서류 중심의 형식적 심사에서 벗어나 실제 보안 운영 수준을 현장에서 점검하는 방식으로 바꿔 최근 잇따른 해킹·개인정보 유출 사고를 막겠다는 취지다.

양 부처는 10일 정부서울청사에서 열린 경제관계장관회의에서 '정보보호 및 개인정보보호 관리체계 인증제 실효성 강화방안'을 발표했다. ISMS·ISMS-P는 기업이나 기관의 정보보호·개인정보보호 체계가 적정하게 운영되는지를 인증하는 제도다. 그러나 최근 통신사와 이커머스 기업 등 인증을 받은 업체에서도 해킹 사고가 잇따르면서 제도의 실효성이 떨어진다는 지적이 제기돼 왔다.

정부는 우선 인증 의무 대상을 확대하기로 했다. 앞으로 주요 공공시스템 운영기관, 이동통신사업자, 본인확인기관, 대규모 개인정보처리자 등 국민 생활에 미치는 영향이 큰 사업자는 ISMS-P 인증을 의무적으로 받아야 한다. 현재 자율에 맡겨졌던 대규모 개인정보처리자에 대해서도 단계적으로 인증을 의무화할 방침이다.

인증 체계도 기존의 획일적 방식에서 벗어나 '강화인증·표준인증·간편인증' 3단계로 재편된다. 통신사, 데이터센터처럼 사고 발생 시 파급력이 큰 사업자는 강화인증 대상으로 분류해 보다 엄격한 심사와 기준을 적용한다. 외부 인터넷과 연결된 서버·장비 등 공격 경로가 될 수 있는 디지털 자산도 인증 범위에 반드시 포함된다.

심사 방식 역시 대폭 바뀐다. 지금까지는 서류를 제출받아 특정 시점의 관리 상태만 확인하는 '스냅샷' 방식이 주를 이뤘지만, 앞으로는 본심사 이전에 예비심사를 실시해 핵심 보안 항목을 먼저 점검한다. 여기에는 최고정보보호책임자(CISO)와 개인정보보호책임자(CPO)의 권한 여부, 개인정보 처리 자산 식별, 비밀번호·암호화 적용 여부, 취약점 및 패치 관리 등이 포함된다.

또 취약점 진단과 모의침투 등 기술 심사를 도입해 실제 보안 수준을 검증한다. 심사원은 취약점 스캐너, 스크립트, 소스코드 진단 도구 등을 활용해 시스템을 직접 점검하고, 현장에서 보안 조치가 실제 작동하는지 시연 방식으로 확인하게 된다. 강화인증 대상에는 별도의 취약점 점검 전문인력도 투입된다.

사후관리도 강화된다. 정부는 인증 취득 이후에도 보안 수준이 유지되는지 상시 점검하고, 중대 침해사고가 발생한 기업에 대해서는 인증 심사를 잠정 중단하기로 했다. 이후 정부 조사와 처분이 끝난 뒤 사고 원인과 재발방지 대책을 다시 심사해 인증 유지 여부를 결정한다.

특히 법령상 인증 취소 사유를 구체화해 중대한 보안 결함이 발견됐는데도 기한 내 보완하지 않을 경우 인증을 취소할 방침이다. 정부와 인증기관 간 사고 이력 공유 체계도 구축해 사고 기업에 대한 관리 강도를 높인다.

심사기관과 심사원의 전문성도 강화된다. 정부는 심사기관의 신뢰도를 매년 평가해 다음 해 심사 물량 배분에 반영하고, 부실 심사를 한 기관에는 불이익을 줄 계획이다. 심사원에 대해서는 AI·클라우드 등 전문 분야별 교육을 확대하고, 기술 심사 역량을 높이기 위한 실무교육과 처우 개선도 추진한다.

송경희 개인정보보호위원장은 "사이버 공격이 고도화되는 상황에서 ISMS·ISMS-P 인증제를 통해 국민 피해를 사전에 예방할 수 있도록 제도 전반에 대한 근본적 개편이 필요한 시점"이라며 "오늘 발표된 실효성 강화방안을 시작으로 인증제도를 개인정보 보호의 사전예방 핵심수단으로 개선하여 국민이 안심할 수 있는 디지털 환경을 구현하겠다"고 밝혔다.

류제명 과기정통부 제2차관은 "정보보호 관리체계 인증제도는 국민이 안심하고 디지털 서비스를 이용할 수 있도록 하는 핵심 안전장치"라며 "급변하는 사이버 보안 환경에 대응하여 정보보호 관리체계를 보다 엄격하고 내실 있게 운영하여 인증제도의 실효성을 높이고, 국민이 신뢰할 수 있는 인증체계로 발전시켜 나가겠다"고 말했다.

【 청년일보=조성현 기자 】