[보안뉴스 조재호 기자] 최근 ISMS-P 인증 기업에서도 랜섬웨어 감염 등 해킹 사고가 빈번해지는 가운데, 정부가 인증 기업 전체를 대상으로 특별 사후 점검에 나섰다.

14일 업계에 따르면 개인정보보호위원회는 ‘정보보호 및 개인정보보호 관리체계 인증’(ISMS-P) 인증 기업을 대상으로 특별 사후 점검을 요청하는 공문을 발송했다. 잇따른 기업 해킹 사고로 국민 불안이 가중되는 상황에서 ISMS-P 무용론까지 제기되자, 개인정보위 차원에서 추가 조치에 나선 것이다.

현재 인증 유지 기업의 수는 1217개사로 집계된다.


▲ ISMS-P 인증기업 특별 사후점검 내용 [자료: 개인정보위]


개인정보위는 ISMS-P 인증기업 전체를 대상으로 발송한 ‘ISMS-P 인증기업 특별 사후점검 실시 및 결과·회신 요청’ 공문에서 “최근 ISMS-P 인증을 취득한 기업의 해킹사고 등이 빈번하게 발생함에 따라 인증 무용론까지 제기되며 국민 불안이 가중되는 상황”이라고 현 상황을 심각하게 진단했다.

이에 “위원회는 개인정보보호법상 인증기관의 관리·감독 기관”임을 분명히 하고, “추가적인 개인정보 피해 확산 방지 및 인증제도 신뢰 유지를 위해” ISMS-P 인증 기업 전체를 대상으로 특별 사후점검을 실시한다고 밝혔다.

이번 점검은 통상적인 연 1회 사후 심사와 별개로 진행되는 ‘특별 점검’이다. 점검 대상은 ISMS-P 인증을 획득한 기업·기관 전체로, 오는 12월 31일까지 점검을 완료해야 한다.

점검 내용은 인증의 기본이자 핵심 보안 조치들로 △비밀번호 관리 △암호화 적용 △로그 및 접속 기록 △패치 관리 △사고 대응 및 복구 등 개인정보 처리 IT 자산에 대한 전수 조사다.

인증 기업이 자체 점검을 실시하고, 최고경영자(CEO)에게 결과를 보고하는 방식이다. CEO 보고는 경영진에게도 사태의 심각성을 인지시키고 필요할 경우 책임을 묻겠다는 의지로 보인다.

개인정보위는 이번 특별점검 이행 여부를 내년도 정기 사후심사에서 다시 한번 확인할 예정이다. 특히 유출 사고가 발생한 인증 기업의 경우 내년 1월 현장점검을 진행할 계획이라고 밝혔다.

이와 관련 한 기업 개인정보 관련자는 “최근 IT 자산 조사 및 취약점 진단을 비롯해 정부 단위의 조사와 요청이 늘어나는데, 과연 실효성 있는 정책인지 의문이다”라며 “단순·반복 조사 요청보다 국가 단위의 보안 수준을 제고할 현실성 있는 보안 거버넌스 및 정책이 필요한 시점으로 보인다”고 말했다.

[조재호 기자(sw@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>