통신사·대규모 플랫폼 등 국민 파급력 큰 기업 인증 기준 상향
사고 발생 시 즉시 특별 심사...중대 결함 확인되면 인증 취소

[보안뉴스 조재호 기자] 정부는 연이은 보안 사고에 대응해 정보보호 관리체계(ISMS) 인증과 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증 제도를 대폭 손질한다.


[자료: 생성형 AI 이미지]

개인정보보호위원회(위원장 송경희)와 과학기술정보통신부(장관 배경훈)는 6일 관계부처 대책회의를 열고, 인증 실효성을 높이기 위한 제도 전면 개편 방안을 추진한다고 밝혔다. 이는 최근 인증 기업에서 해킹 등 보안 사고가 반복적으로 발생함에 따라 인증 체계에 대한 근본적인 개선이 필요하다는 판단에 따른 것이다.

우선 자율적으로 운영되던 ISMS-P 인증을 공공·민간의 주요 개인정보처리시스템에 대해 의무화한다. 통신사나 대규모 플랫폼 등 국민 파급력이 큰 기업에는 더욱 강화된 인증 기준이 적용될 예정이다. 이를 위해 양 기관은 개인정보 보호법 및 정보통신망법 개정을 조속히 추진하기로 했다.

심사 방식도 한층 까다로워진다. 예비심사 단계에서 핵심 항목을 먼저 검증하고, 미충족 시 본심사 진입 자체를 차단한다. 또한 서면 위주의 점검에서 벗어나 취약점 진단, 모의 침투 등 기술 심사와 핵심 시스템 중심의 현장 실증 심사를 대폭 강화한다.

사후 관리 또한 엄격해진다. 인증 기업에서 유출 사고가 발생하면 즉시 특별 사후심사를 실시하고, 중대 결함이 발견될 경우 인증을 취소하는 강력한 제재 조치가 도입된다. 사고 기업에 대해서는 심사 인력과 기간을 2배로 늘려 원인 분석과 재발 방지 대책을 집중 점검할 방침이다.

개인정보위는 이달부터 유출 사고 발생 기업에 대한 현장 점검에 착수하며, 과기정통부도 900여 개 ISMS 인증 기업을 대상으로 긴급 자체 점검을 요청하고 내년 초 현장 검증에 나설 계획이다.

[조재호 기자(sw@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>