정보보호 ISMS-P 인증 전면 강화…주요시스템 의무화
인증 취소도…쿠팡 등 인증기업 잇단 유출 계기
사후심사 인력·기간 2배 확대…내년 1분기 고시 개정
인증 취소도…쿠팡 등 인증기업 잇단 유출 계기
사후심사 인력·기간 2배 확대…내년 1분기 고시 개정
|
6일 개인정보보호위원회와 과학기술정보통신부는 관계부처 대책회의를 열고 이같은 인증제 개선 방안을 논의했다고 밝혔다.
개편안에 따르면 기존에 자율 신청 방식으로 운영돼 온 정보보호 관리체계(ISMS)와 정보보호·개인정보보호 관리체계(ISMS-P) 인증을 공공·민간 주요 개인정보처리시스템에 의무화해 상시적 안전관리체계를 갖추도록 할 계획이다. 이를 위해 개인정보보호법과 정보통신망법 개정도 조속히 추진한다.
심사 방식도 바뀐다. 예비심사 단계에서 핵심 항목을 먼저 검증하고, 기술심사와 현장실증 심사 역시 강화한다. 분야별 인증위원회를 운영하고 심사원에 대한 AI 등 신기술 교육을 확대해 전문성도 높인다.
사후관리는 더욱 엄격해진다. 인증기업에서 유출 사고가 발생하면 즉시 특별 사후심사를 해 인증기준 충족 여부를 확인하고, 중대한 결함이 드러날 경우 인증위원회 심의·의결을 거쳐 인증을 취소할 수 있도록 한다. 지금까지 ISMS-P 인증을 받았다가 취소된 기업은 없다. 만일 쿠팡의 인증이 취소될 경우 최초 사례가 된다.
사고기업에는 사후심사 인력과 기간을 기존보다 두 배로 투입해 사고원인과 재발 방지 조치를 집중 점검한다.
개인정보위는 유출 사고가 발생한 인증기업에 대해 이달부터 현장점검을 실시한다. 특히 쿠팡 등 현재 조사가 진행 중인 기업은 과기정통부 민관합동조사단 및 개인정보위 조사와 연계해 한국인터넷진흥원(KISA)과 금융보안원이 인증기준 적합성 등을 점검한다.
