최근 통신사와 이커머스 업체에서 잇따른 해킹 사고가 발생하면서 정보보호 인증을 받은 기업들조차 안전하지 않다는 우려가 커지고 있다. 이에 정부가 인증제도의 근본적인 개편에 나섰다.
개인정보보호위원회와 과학기술정보통신부는 4월 10일 경제관계장관회의에서 '정보보호 및 개인정보보호 관리체계 인증제 실효성 강화방안'을 발표했다. 현재 ISMS·ISMS-P 인증제는 기업의 정보보호 관리 수준을 평가하는 핵심 제도이지만, 최근 사고가 잇따르면서 실효성에 대한 의문이 제기되어 왔다.
이번 개편은 크게 네 가지 축으로 진행된다. 첫째, 인증 대상을 대폭 확대하고 기준을 강화한다. 기존에는 기업이 자율적으로 인증을 취득했지만, 앞으로는 공공시스템 운영기관, 이동통신사, 본인확인기관, 그리고 일정 규모 이상의 대규모 개인정보처리자에게 ISMS-P 인증을 의무화한다. 단계적으로 적용 대상을 넓힌다는 계획이다.
둘째, 현재의 획일적인 인증 체계를 위험 기반으로 차등화한다. '강화인증', '표준인증', '간편인증' 세 단계로 나누고, 국민 생활에 미치는 파급력이 큰 강화인증 대상에는 기존보다 엄격한 기준과 심사 방식을 적용한다. 이때 외부 인터넷과 연결된 디지털 자산은 반드시 인증 범위에 포함시켜 공격 경로를 원천 차단한다.
셋째, 심사 방식을 전면 개편한다. 기존 서면 위주의 심사에서 벗어나 현장 중심으로 바꾼다. 본심사에 앞서 예비심사 단계에서 핵심 기준을 사전 점검하고, 부실한 기업은 개선 후에야 본심사를 받을 수 있다. 특히 취약점 진단과 모의 침투 같은 기술 심사를 도입해 실제 보안 수준을 확인한다. 심사 인력과 기간도 늘려 정밀도를 높인다.
넷째, 사후 관리를 대폭 강화한다. 특정 시점의 상태만 확인하는 '스냅샷' 방식을 벗어나 인증 취득부터 유지·갱신까지 전 과정에서 지속적으로 관리 체계가 유지되는지 점검한다. 주기별 점검 양식을 표준화하고, 중대 사고가 발생한 기업에 대해서는 정부 조사가 끝난 후 재심사 시 인력과 기간을 확대해 철저히 확인한다. 또한 법령에 규정된 인증 취소 사유를 구체화하고, 중대한 결함을 기한 내에 보완하지 않으면 인증을 취소할 수 있도록 한다.
심사 기관과 심사원의 전문성도 높인다. 심사 종료 후 심사 기관에 대한 신뢰도 조사를 실시하고 결과를 차년도 인증심사 배분에 반영해 품질을 스스로 관리하게 한다. 심사원에게는 기술 심사 검증 능력을 키우는 실무 교육을 강화하고, AI·클라우드 등 전문 분야별로 특화된 심사가 가능하도록 교육한다. 심사원 처우도 현실에 맞게 개선해 전문 인력이 지속적으로 활동할 수 있는 환경을 만든다.
개인정보보호위원회 송경희 위원장은 "사이버 공격이 고도화되는 상황에서 ISMS·ISMS-P 인증제를 통해 국민 피해를 사전에 예방할 수 있도록 제도 전반에 대한 근본적 개편이 필요한 시점"이라며 "이번 방안을 시작으로 인증제도를 개인정보 보호의 핵심 수단으로 개선해 국민이 안심할 수 있는 디지털 환경을 만들겠다"고 밝혔다.
과학기술정보통신부 류제명 제2차관은 "정보보호 관리체계 인증제도는 국민이 안심하고 디지털 서비스를 이용할 수 있도록 하는 핵심 안전장치"라며 "급변하는 사이버 보안 환경에 대응해 인증제도를 보다 엄격하고 내실 있게 운영해 국민이 신뢰할 수 있는 체계로 발전시키겠다"고 말했다.
정부는 이번 방안의 후속 조치를 차질 없이 추진할 계획이다. 상시 점검 강화와 인증 취소 등 사후 관리와 관련된 사항은 올해 하반기부터 시행하고, ISMS-P 의무화와 인증 차등 적용, 강화 인증 기준 적용 등은 2027년부터 시행될 수 있도록 상반기에 관련 작업을 마무리할 예정이다.
