[보안뉴스 박미영 기자] ‘세계보안엑스포(SECON) & 전자정부 정보보호 솔루션 페어(eGISEC) 2019’의 동시 개최 행사로 ‘2019 제1차 CPO워크숍’이 지난 8일 경기도 일산 킨텍스 그랜드볼룸에서 진행됐다. 행정안전부가 주최하고 미디어닷이 주관한 이 행사는 공공기관 CPO 1천여명이 참석한 가운데 진행됐다.
▲개인정보보호 통합인증제도 마크[이미지=KISA]
‘2019 제1차 CPO워크숍’의 마지막은 김선미 한국인터넷진흥원(KISA) 팀장의 ‘개인정보보호 통합인증제도’를 주제로 한 강연이었다.
이번 강연에서는 융합화·고도화되고 있는 침해 위협에 효과적인 대응을 위해 정보보호와 개인정보보호의 연계가 필요해지고, 심사 항목의 유사성을 비롯해 개별 운영에 따른 기업의 혼란 및 재정·인력상 부담 발생에 따라 지난해 11월 통합된 개인정보보호 통합인증제도를 소개했다. 기존 정보보호 관리체계 인증인 ‘ISMS’와 개인정보보호 관리체계 인증인 ‘PIMS’를 통합한 통합인증제도의 목표는 기업과 기관의 부담 최소화다.
통합된 인증은 개인정보의 흐름과 정보보호 영역을 모두 인증하는 정보보호 및 개인정보보호 관리체계 인증인 ‘ISMS-P’와 정보보호 중심으로 인증하는 정보보호 관리체계 인증인 ‘ISMS’로 나뉜다. ‘ISMS-P’의 인증 범위는 정보시스템 및 개인정보 모두를 고려하는 것이다.
통합인증제도에서 인증기준은 유사·중복 항목을 통합 및 재배치하고 클라우드·핀테크 등 최신 기술 및 이슈를 반영하며, 관련 법 개정에 따른 요구 사항을 고려해 ‘ISMS-P’의 경우 총 102개, ‘ISMS’는 80개로 변경됐다. 인증기준 변경에 따라 PIMS의 인증기준이 개인정보 특화 항목인 22개만으로 축소됐다는 의견이 있으나, 이는 유사·중복 항목을 재배치함에 따른 것으로 오히려 PIMS 인증 기준은 기존보다 확대된 102개다. 또한, PIMS의 규모별 인증기준이 폐지됨에 따라 소규모 기업의 부담이 강화됐다는 의견이 있으나, 개인정보 보유량·인증 범위·업무 특성·규모 등을 고려해 인증기준의 선택 및 조정이 가능하다.
또한, 인증 신청은 인증 범위 내에 개인정보를 보유하더라도 기업의 자율 판단으로 ISMS와 ISMS-P의 선택이 가능하고, 개정 전 인증 기준으로 고시 시행 후 6개월까지 최초·갱신 심사가 가능하다. 사후 심사의 경우도 인증서 유효기간까지 기존 취득한 인증 기준으로 사후 심사가 가능하다. 심사는 ISMS와 ISMS-P 중 하나만 선택하는 ‘단일 심사’와 같은 관리체계 내에서 일부 서비스만 개인정보 흐름을 포함해 인증을 받으려는 ‘혼합 심사’로 나뉘고, 혼합 심사의 경우 수수료와 심사 과정은 통합했으며, 유효기간 및 심사주기가 동일하고 범위만 다른 2장의 인증서가 발급된다.
이와 함께 인증수수료는 인증 계약 후 1개월 이내에서 인증심사 시작일 이전까지 납부하는 것으로 개선됐고, 소기업이거나 인증 심사 일부 생략을 신청(ISMS)하거나 정보보호 공시를 한 경우(ISMS) 수수료 지원을 받을 수 있다. 또한, 이번 통합에 따라 인증수수료는 ISMS는 현행 수준 유지, PIMS는 35% 수수료 인하, 2개 인증을 함께 유지한 경우는 59% 수수료 인하 효과가 기대된다.
특히, 통합인증제도 보완을 위해 신규 기준부터 보완 조치 기간이 기존 30일에서 40일로 확대되고, 보완 조치 사항 미흡 시 재조치 요구 기간 60일은 유지된다. 사후 관리를 위해서 사후 심사는 1년 주기로 받아야 하며, 인증 취득한 범위와 관련해 침해사고 또는 개인정보 유출사고가 발생한 경우 인터넷진흥원은 필요에 따라 인증 관련 항목의 보안 향상을 위해 필요한 부분을 지원할 수 있다. 사후 심사와 갱신 심사의 연장 신청은 불가하고, 갱신 심사는 유효기간 만료 3개월 전에 신청해야 하며 유효기간이 경과하면 인증의 효력은 상실된다.
더불어 통합인증제도에 따른 신규 인증심사원의 자격 요건은 4년제 대학 졸업 이상(또는 동등 학력)이고 정보보호·개인정보보호 또는 정보기술 경력을 합해 6년 이상을 보유하고 정보보호 및 개인정보보호 경력을 각 1년 이상 필수로 보유해야 한다. 고시 시행 이전 ISMS·PIMS 인증심사원은 고시 시행 후 6개월 또는 심사원 자격 유효기간 중 더 긴 기간까지 이 고시 시행 이전 인증기준의 심사에 참여가 가능하며, 같은 기간 중 인터넷진흥원이 실시하는 심사원 자격 전환 과정을 수료하면 자격 전환이 가능하다.
기존 심사원 등급은 ISMS·PIMS 심사 경력을 합산한 신규 등급으로 조정하고, 심사팀장만 가능했던 기존 선임심사원은 정보보호 및 개인정보보호 관리체계 인증심사(ISMS-P)에 3회 이상 참여하고 심사일수의 합이 15일 이상인 자로 요건이 완화됐다. 심사원 자격 유지를 위해서는 자격 유효기간 만료 전까지 인터넷진흥원이 인정하는 보수교육을 수료하면 되고, 심사원이 인증심사에 참여한 경우 보수교육 시간 중 일부를 인정한다. 인터넷진흥원은 올해는 5월경에 신규 심사원을 선발할 계획이다.
[박미영 기자(mypark@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>