교육·의료 분야 ISMS 인증 의무화...금융권은 자율규제로 사실상 의무화 폐지

[보안뉴스 민세아] 앞으로 금융기관은 ISMS(정보보호 관리체계) 인증 의무화 대상에서 제외될 전망이다.



본지가 취재한 바에 따르면 지난 20일 대통령소속 규제개혁위원회 회의에서 위원들의 격론 끝에 금융기관은 ISMS 인증 의무화 대상에서 제외되고 금융권의 자체적인 자율규제로 전환하기로 결정한 것으로 알려졌다.

이는 자율규제 흐름이 가속화되고 있는 금융권의 지속적인 요구에 따른 것으로, 최근 들어 금융감독 대상인 금융사, 신용정보회사, 신용정보집중기관만 적용대상으로 한정하는 신용정보법 개정안도 입법예고하는 등 금융권을 다른 분야와 분리해 법률을 적용하려는 움직임과도 맥을 같이 하는 것으로 보인다.

오는 6월 2일부터 시행 예정인 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 정보통신망법)’ 개정안(제47조)에서 ISMS 의무인증 대상기관 중 국제표준 정보보호 인증(ISO27001)을 획득한 경우 인증 중복에 따른 부담 완화를 위해 인증심사 일부를 생략할 수 있도록 했는데, 금융권은 여기서 한발 더 나아가 ISMS 인증 의무화 대상에서 아예 제외시키려는 요구를 관철시킨 셈이다.

ISMS 인증은 기업이나 조직이 각종 위협으로부터 주요 정보자산을 보호하기 위해 수립·관리·운영하는 종합적인 정보보호 관리체계의 적합성에 대해 인증을 부여하는 제도를 말한다.

기존에는 연 매출 100억 원 이상, 3개월 일일 평균 이용자수 100만 명 이상의 정보통신 분야 기업의 경우 의무적으로 ISMS 인증을 받도록 하고 있는데, 2014년말부터 금융권도 이와 같은 기준을 적용해서 약 40~50여 곳의 금융기관은 ISMS 인증이 의무화된 상태였다.

그러나 이번 조치로 금융권은 사실상 ISMS 인증 의무화에서 자유로워져 다른 분야와의 형평성 문제가 불거지는 것은 물론 개인정보 유출 및 해킹사고가 가장 많이 발생하는 금융권에 대한 보안 강화 요구를 외면한 것이라는 비판이 제기될 것으로 보인다.



기존에 ISMS 인증은 미래부에서 진행하고 있었으나 금융보안원이 개소하면서 금융기관의 ISMS 인증 사업을 진행하고 있다. 지난해 금융보안원이 심사한 금융기관은 은행 6개, 증권사 14개, 카드사 3개, 기타 기관 4개 등 27개사가 ISMS 인증 심사를 받은 것으로 본지 조사결과 드러났다.

이번 조치는 기존에 전자금융거래법이나 전자금융감독규정 등 금융권에 가해지는 규제가 이미 충분한 만큼 ISMS 인증에 대해서는 자율적으로 인증 받을 수 있게 하자는 취지로 추진된 것으로 알려졌다. 그러나 금융권 규제를 완화하는 대신 교육과 의료분야에 대한 ISMS 인증은 의무화되어 형평성 논란도 제기될 것으로 보인다.

더욱이 금융 분야는 개인정보 유출 등 보안사고가 끊임없이 발생하고, 한번 사고가 발생하면 다른 분야보다 더욱 치명적인 결과를 초래할 수 있고, 파급효과가 크다는 지적이다. 지난 2014년에 발생한 카드 3사 개인정보 유출사건이 대표적인 예다. 특히, 개인금융정보를 노리는 파밍 등의 악성코드 공격은 국민들의 금전적인 피해를 유발시킬 수 있다.

이와 관련 한 보안전문가는 “개인정보보호법, 정통망법 등 관련 법 규제가 더욱 강화되는 시점에서 금융권만 ISMS 인증을 자율화시킨다는 것은 이해가 안 된다. 아직 금융권에는 징벌적 손해배상제도도 도입되지 않은 상황인데, 금융권 스스로 ISMS 인증을 받는 분위기가 형성되거나 사고 발생 가능성에 대비할 수 있는 별도의 대책이 필요할 것”이라고 전했다.

반면, 일각에서는 금융권은 보안과 관련해서 다른 법률이나 지침 등을 통해 충분히 규제하고 있고, 금융권의 경우 보안사고시 책임을 엄격히 묻는 방향으로 가고 있기 때문에 자율규제로 가더라도 큰 문제가 없을 것이라는 의견도 제기돼 향후 논의과정이 주목되고 있다.
[민세아 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>