교육·의료기관 의무화...민감정보 다루는 비영리기관으로 확대
금융권은 규제개혁위 권고에 따라 의무 인증 대상서 제외

[보안뉴스 김태형] 오는 6월 2일 시행되는 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’의 시행령 및 시행규칙 개정안에 따라 앞으로 정보보호 관리체계(ISMS) 인증제도의 인증 의무대상이 확대된다.



미래부에 따르면, 정보보호 관리체계 인증 신규 의무대상으로 세입이 1,500억 이상인 의료법상 상급종합병원과 고등교육법상 재학생수 1만명 이상인 학교가 추가됐다. 이는 ISMS 인증 의무화를 기존 영리목적의 정보통신서비스 제공자에 한정하지 않고, 의료·교육 등의 민감정보를 다루는 비영리기관으로 확대시킨 것이다.

하지만 지난 5월 전자금융거래법에 따른 금융회사는 규제개혁위원회에서 중복규제 등의 우려를 이유로 인증 의무대상에서 제외하도록 개선 권고함에 따라 이번 인증 의무대상에서 제외됐다.

이에 따라 국내 대학 중에서 재학생 수 1만명 이상의 대학은 의무적으로 ISMS 인증을 받아야만 한다. 이에 대해 한 종합대학 정보보호 담당자는 “대학은 개인정보보호법 적용 대상이며 공공기관이라는 이유로 개인정보영향평가도 받아야 한다. 현재 우리 대학도 개인정보영향평가를 받고 있다”면서 “이번 정통망법 개정으로 인해 1만명 이상의 대학들이 ISMS 인증 의무대상으로 추가됐기 때문에 ISMS 인증을 받아야 한다. 물론 개인정보영향평가와는 성격은 다르지만 대학 입장에서는 인증 및 평가를 위한 컨설팅 비용과 인증획득에 필요한 비용에 대한 부담이 크다. 이는 다른 의무대상 대학들도 마찬가지”라고 말했다.

이에 대해 한 보안전문가는 “현재 ISMS 인증제도의 가장 큰 문제는 기업의 보안강화보다는 대부분 인증획득 자체를 목적으로 하고 있다는 것이다. 경영진이나 임원진에서는 인증획득 후에는 별 관심이 없다”면서 “또한, 금융권만 중복 규제가 아니라 의료기관과 교육기관도 중복 규제로 인한 인증획득 비용 및 시스템 구축 비용 등의 부담이 크다”고 지적했다.

또한, 이번 개정안에서는 미인증 시 과태료가 기존 1000만원에서 3000만원으로 상향 조정돼 인증 비용보다 과태료가 낮아 인증을 받지 않고 과태료를 내는 사례가 없도록 강화했다. 이와 함께 정보보호 관리체계 인증 취득시 정보보호 경영시스템 인증(ISO/IEC 27001), 개인정보보호 관리체계 인증 및 주요정보통신기반시설 취약점의 점검 분석·평가 등을 받은 경우, 심사항목 일부를 생략할 수 있도록 해 기업 부담을 완화했다.

이와 관련 미래부 송정수 정보보호정책관은 “이번 개정 정보통신망법 시행을 통해 인증 의무대상이 의료·교육 등 비영리기관으로 확대됨에 따라 정보보호 사각지대 해소와 인증 의무 위반자에 대한 행정처분 강화로 제도의 실효성이 확보되고, ISMS 심사항목 생략으로 기업의 부담을 줄일 수 있을 것”이라고 밝혔다.
[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>