정부, ISMS·ISMS-P 실효성 강화 위한 간담회서 의견 청취
[보안뉴스 강현주 기자] ‘정보보호 및 개인정보보호 관리체계 인증제’(ISMS·ISMS-P)가 유출 사고 시 인증 취소도 가능해질 예정이다. 현행 상 자율인 인증제가 대규모 개인정보처리자를 대상으로 의무화가 추진되고, 서면 위주 실사가 현장 중심으로 바뀐다.
과학기술정보통신부(부총리 겸 장관 배경훈)와 개인정보보호위원회(위원장 송경희)는 12일 서울 광화문 HJ비즈니스센터에서 ‘정보보호 및 개인정보보호 관리체계 인증제 실효성 강화를 위한 현장 간담회’를 개최했다.
▲‘정보보호 및 개인정보보호 관리체계 인증제 실효성 강화를 위한 현장 간담회’ [출처: 과기정통부]
서면 자료를 믿고 특정 시점 실사만으로 판단하는 ‘스냅샷’ 방식의 한계를 극복한다는 게 정부의 의지다.
개인정보위 위원장과 과기정통부 제2차관이 함께한 가운데, 인증기관인 한국인터넷진흥원장 및 금융보안원장, 심사기관, 인증심사원 등 20여명이 참여했다.
이날 김선미 한국인터넷진흥원(KISA) 팀장은 ‘ISMS-P 실효성 강화 방안’을 주제로 개선 배경과 방향을 발표했다.
▲‘정보보호 및 개인정보보호 관리체계 인증제 실효성 강화를 위한 현장 간담회’ [출처: 과기정통부]
발표 내용에 따르면 KISA는 △인증 의무대상 확대 및 기준 강화 △인증심사 방식 강화 △인증 사후관리 강화 △심사기관 심사원 전문성 강화 등 4가지를 추진과제로 잡았다.
현행 ISMS-P 인증은 자율적 취득이 가능하며 인증기준은 기업 규모 구분없이 일원화돼 있다. KISA는 공공이나 민간기업 가운데 대규모 개인정보처리자들의 ISMS-인증 의무화를 추진한다. 국민 파급력이 큰 처리자에 인증 의무를 부여한다는 취지다.
현행 인증은 기업 제출 자료에 대한 신뢰를 기반으로 서면 증적 확인 위주로 심사를 한다. 이를 보안 취약점 직접 점검, 시스템 접속 시연 등 현장 실증형 심사체계로 전환할 방침이다. 기술 및 현장실증 점검을 강화하겠다는 방향성이다.
현재까지는 인증 획득 기업이 사고가 발생해도 인증을 취소한 사례가 없다. 앞으로는 인증 사후 관리를 강화하고 문제 발생히 인증취소 등을 검토한다는 내용도 추진과제에 포함된다.
심사원 역량 부족 문제도 지적돼 온 만큼, 심사기관 관리 감독 강화 및 심사원 역량 제고 교육 강화도 추진된다.
김선미 팀장은 “현행 ISMS-P 인증 제도에 대한 구조적인 개편을 실시해 신뢰성을 제고하고 인증 심사 체계 실효성을 강화하고자 한다”고 밝혔다.
정보보호 및 개인정보보호 관리체계(ISMS·ISMS-P) 인증은 기업·기관이 구축·운영 중인 정보보호 및 개인정보보호 체계가 적합한지 인증하는 제도다. 과기정통부 소관의 정보보호 관리체계와 개인정보위 소관의 개인정보 보호 요구사항을 결합한 통합 인증제도다. 과기정통부와 개인정보위는 지난해 12월 6일 인증제 개선 관계부처 대책회의를 개최하는 등 인증제도의 합리적 운영을 위한 협력을 지속해 왔다.
기업 및 기관은 ISMS·ISMS-P 인증을 통해 보유한 정보자산을 식별하고 개인정보 처리 흐름을 체계화하며 잠재적인 보안위험을 관리하는 등 관리체계를 고도화한다. 그러나 최근 ISMS·ISMS-P 인증을 받은 통신사, 대형 플랫폼 사업자 등에서 보안 및 개인정보 유출사고가 발생함에 따라, 인증제도의 실효성을 강화하기 위한 종합적 대책 마련이 필요한 상황이다.
이에 과기정통부와 개인정보위는 ISMS·ISMS-P 인증제도가 실질적으로 작동할 수 있도록 ‘정보보호 및 개인정보보호 인증제 실효성 강화방안’을 수립·발표할 계획이다. 이에 앞서 현장의 의견을 청취하고자 이번 논의의 자리를 마련했다.
참석자들은 이 같은 실효성 강화 방향에 대해 인공지능 발전과 해킹 기술 고도화 등 급변하는 기술 환경에 대응하기 위한 시의적절한 접근이라고 평가했다. 나아가 기술심사 강화 등의 개선책이 현장에서 실질적으로 작동하기 위한 세부 고려사항에 대해 다양한 의견을 제시했다.
특히 심사의 일관성을 확보하기 위해 기술심사 가이드 마련 등 제도적 보완이 필요하며, 전반적인 심사 품질 강화를 위해 심사기관에 대한 적극적인 모니터링과 심사원의 심사 참여 요건 개선 등의 정책이 필요하다고 제언했다.
과기정통부와 개인정보위는 이번 간담회에서 논의된 현장 의견을 적극 반영해 ‘정보보호 및 개인정보보호 인증제 실효성 강화방안’을 발표할 예정이다.
송경희 개인정보위 위원장은 “ISMS-P 인증제도는 기업이 운영 중인 개인정보 보호 관리체계를 선제적으로 점검함으로써 개인정보 침해를 예방할 수 있는 중요한 사전 예방 정책 중 하나”라며 “서면 중심의 샘플링 점검과 특정 시점에서의 한번의 실사로 판단하는 ‘스냅샷’ 방식의 한계를 극복해야 한다”고 밝혔다.
이어 “심사 시점 발급 받은 인증서 표지로 만족하는 것이 아니라 일정 수준 이상의 보호 조치가 지속 유지될 수 있는 구조를 만들어야 한다”고 강조했다.
류제명 과기정통부 제2차관은 ”정보보호 관리체계는 2001년 도입돼 25년간 기업 전반의 보안 수준 역량 강화에 일조한 중요한 제도였고 감사할 일”이라며 “다만 많은 세월이 흘렀는데 현재의 침해사고 양상을 볼 때 실효성이 있는지, 기술 진화의 양상을 반영하지 못하는 점은 없는지, 보완할 것은 없는지 돌아볼 시기”라고 말했다.
이어 “제도의 실효성을 위한 정보통신망법 개정안이 금일 본회의를 통과할 예정으로, 심사 기준을 강화하고 논란됐던 부분들이 법에 반영될 것”이라고 밝혔다.
[강현주 기자(jjoo@boannews.com)]
[보안뉴스 강현주 기자] ‘정보보호 및 개인정보보호 관리체계 인증제’(ISMS·ISMS-P)가 유출 사고 시 인증 취소도 가능해질 예정이다. 현행 상 자율인 인증제가 대규모 개인정보처리자를 대상으로 의무화가 추진되고, 서면 위주 실사가 현장 중심으로 바뀐다.
과학기술정보통신부(부총리 겸 장관 배경훈)와 개인정보보호위원회(위원장 송경희)는 12일 서울 광화문 HJ비즈니스센터에서 ‘정보보호 및 개인정보보호 관리체계 인증제 실효성 강화를 위한 현장 간담회’를 개최했다.
▲‘정보보호 및 개인정보보호 관리체계 인증제 실효성 강화를 위한 현장 간담회’ [출처: 과기정통부]
서면 자료를 믿고 특정 시점 실사만으로 판단하는 ‘스냅샷’ 방식의 한계를 극복한다는 게 정부의 의지다.
개인정보위 위원장과 과기정통부 제2차관이 함께한 가운데, 인증기관인 한국인터넷진흥원장 및 금융보안원장, 심사기관, 인증심사원 등 20여명이 참여했다.
이날 김선미 한국인터넷진흥원(KISA) 팀장은 ‘ISMS-P 실효성 강화 방안’을 주제로 개선 배경과 방향을 발표했다.
▲‘정보보호 및 개인정보보호 관리체계 인증제 실효성 강화를 위한 현장 간담회’ [출처: 과기정통부]
발표 내용에 따르면 KISA는 △인증 의무대상 확대 및 기준 강화 △인증심사 방식 강화 △인증 사후관리 강화 △심사기관 심사원 전문성 강화 등 4가지를 추진과제로 잡았다.
현행 ISMS-P 인증은 자율적 취득이 가능하며 인증기준은 기업 규모 구분없이 일원화돼 있다. KISA는 공공이나 민간기업 가운데 대규모 개인정보처리자들의 ISMS-인증 의무화를 추진한다. 국민 파급력이 큰 처리자에 인증 의무를 부여한다는 취지다.
현행 인증은 기업 제출 자료에 대한 신뢰를 기반으로 서면 증적 확인 위주로 심사를 한다. 이를 보안 취약점 직접 점검, 시스템 접속 시연 등 현장 실증형 심사체계로 전환할 방침이다. 기술 및 현장실증 점검을 강화하겠다는 방향성이다.
현재까지는 인증 획득 기업이 사고가 발생해도 인증을 취소한 사례가 없다. 앞으로는 인증 사후 관리를 강화하고 문제 발생히 인증취소 등을 검토한다는 내용도 추진과제에 포함된다.
심사원 역량 부족 문제도 지적돼 온 만큼, 심사기관 관리 감독 강화 및 심사원 역량 제고 교육 강화도 추진된다.
김선미 팀장은 “현행 ISMS-P 인증 제도에 대한 구조적인 개편을 실시해 신뢰성을 제고하고 인증 심사 체계 실효성을 강화하고자 한다”고 밝혔다.
정보보호 및 개인정보보호 관리체계(ISMS·ISMS-P) 인증은 기업·기관이 구축·운영 중인 정보보호 및 개인정보보호 체계가 적합한지 인증하는 제도다. 과기정통부 소관의 정보보호 관리체계와 개인정보위 소관의 개인정보 보호 요구사항을 결합한 통합 인증제도다. 과기정통부와 개인정보위는 지난해 12월 6일 인증제 개선 관계부처 대책회의를 개최하는 등 인증제도의 합리적 운영을 위한 협력을 지속해 왔다.
기업 및 기관은 ISMS·ISMS-P 인증을 통해 보유한 정보자산을 식별하고 개인정보 처리 흐름을 체계화하며 잠재적인 보안위험을 관리하는 등 관리체계를 고도화한다. 그러나 최근 ISMS·ISMS-P 인증을 받은 통신사, 대형 플랫폼 사업자 등에서 보안 및 개인정보 유출사고가 발생함에 따라, 인증제도의 실효성을 강화하기 위한 종합적 대책 마련이 필요한 상황이다.
이에 과기정통부와 개인정보위는 ISMS·ISMS-P 인증제도가 실질적으로 작동할 수 있도록 ‘정보보호 및 개인정보보호 인증제 실효성 강화방안’을 수립·발표할 계획이다. 이에 앞서 현장의 의견을 청취하고자 이번 논의의 자리를 마련했다.
참석자들은 이 같은 실효성 강화 방향에 대해 인공지능 발전과 해킹 기술 고도화 등 급변하는 기술 환경에 대응하기 위한 시의적절한 접근이라고 평가했다. 나아가 기술심사 강화 등의 개선책이 현장에서 실질적으로 작동하기 위한 세부 고려사항에 대해 다양한 의견을 제시했다.
특히 심사의 일관성을 확보하기 위해 기술심사 가이드 마련 등 제도적 보완이 필요하며, 전반적인 심사 품질 강화를 위해 심사기관에 대한 적극적인 모니터링과 심사원의 심사 참여 요건 개선 등의 정책이 필요하다고 제언했다.
과기정통부와 개인정보위는 이번 간담회에서 논의된 현장 의견을 적극 반영해 ‘정보보호 및 개인정보보호 인증제 실효성 강화방안’을 발표할 예정이다.
송경희 개인정보위 위원장은 “ISMS-P 인증제도는 기업이 운영 중인 개인정보 보호 관리체계를 선제적으로 점검함으로써 개인정보 침해를 예방할 수 있는 중요한 사전 예방 정책 중 하나”라며 “서면 중심의 샘플링 점검과 특정 시점에서의 한번의 실사로 판단하는 ‘스냅샷’ 방식의 한계를 극복해야 한다”고 밝혔다.
이어 “심사 시점 발급 받은 인증서 표지로 만족하는 것이 아니라 일정 수준 이상의 보호 조치가 지속 유지될 수 있는 구조를 만들어야 한다”고 강조했다.
류제명 과기정통부 제2차관은 ”정보보호 관리체계는 2001년 도입돼 25년간 기업 전반의 보안 수준 역량 강화에 일조한 중요한 제도였고 감사할 일”이라며 “다만 많은 세월이 흘렀는데 현재의 침해사고 양상을 볼 때 실효성이 있는지, 기술 진화의 양상을 반영하지 못하는 점은 없는지, 보완할 것은 없는지 돌아볼 시기”라고 말했다.
이어 “제도의 실효성을 위한 정보통신망법 개정안이 금일 본회의를 통과할 예정으로, 심사 기준을 강화하고 논란됐던 부분들이 법에 반영될 것”이라고 밝혔다.
[강현주 기자(jjoo@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
_m.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
