개인정보보호위원회와 과학기술정보통신부는 4월 10일 경제관계장관회의에서 정보보호 및 개인정보보호 관리체계 인증제 실효성 강화 방안을 발표했다. 이번 개편은 최근 통신사와 이커머스 해킹 등 인증 기업에서 잇따라 발생한 개인정보 유출 사고에 대응하기 위해 마련됐다.
인증제도는 기업이나 기관이 정보보호와 개인정보보호 체계를 적절히 운영하는지 점검하고 인증하는 제도다. 국제표준을 기반으로 보안 수준을 높이고 사고를 예방하는 것이 목적이지만, 실제로 인증을 받은 기업에서 대규모 유출 사고가 발생하면서 제도의 실효성에 대한 우려가 커졌다.
이에 정부는 인증 대상과 기준, 심사 방식, 사후 관리, 심사 품질 확보 등 제도 전반을 개선하기로 했다. 우선 인증 의무 대상을 대폭 확대한다. 그동안 정보보호 인증 취득은 기업 자율에 맡겨져 있었지만, 앞으로는 국민 생활에 미치는 영향이 큰 공공 시스템 운영 기관, 이동통신 사업자, 본인 확인 기관, 대규모 개인정보 처리자 등은 의무적으로 인증을 받아야 한다.
또한 인증 체계를 위험 기반으로 차등화해 단계별 관리 체계를 구축한다. 강화인증, 표준인증, 간편인증의 세 단계로 재편하고, 국민 생활에 파급력이 큰 강화인증군에는 더 엄격한 기준과 심사 방식을 적용한다. 강화인증 기준은 주요 보안 위협 사례와 주요국의 보안 요구 사항을 참고해 개발할 예정이다. 인증 대상 서비스와 관련된 장비, 시설 등은 빠짐없이 포함되고, 특히 외부 인터넷과 연결돼 공격 경로로 활용될 가능성이 있는 디지털 자산은 반드시 인증 범위에 포함된다.
심사 방식도 기존 서면 중심에서 현장 중심으로 전면 개편된다. 본심사 전에 예비심사 단계에서 핵심 인증 기준을 사전에 점검해 본심사 진행 여부를 결정한다. 이를 통해 부실한 관리 체계를 개선한 후에 본격적인 인증 절차를 시작할 수 있다. 또 취약점 진단과 모의 침투와 같은 기술 심사 방식이 도입된다. 심사원이 취약점 스캐너, 스크립트, 소스코드 진단 도구 등을 활용해 직접 취약점을 점검하고 모의 침투를 수행한다. 서면 확인 위주에서 벗어나 실시간 시연 확인 등 현장 실증 심사 방법이 적용된다.
심사 팀 구성도 강화된다. 표준인증군은 심사원을 추가 투입해 현장 실증을 강화하고, 강화인증군은 취약점 점검원을 전담 투입해 중요 정보 자산을 기술 심사로 정밀하게 점검한다. 점검 자산 수도 대폭 늘어난다.
사후 관리도 획기적으로 강화된다. 특정 시점만 확인하는 스냅샷 방식에서 벗어나, 인증을 취득한 후에도 보안 관리가 지속적으로 유지되는지 상시 점검한다. 주기별 점검 양식을 표준화하고, 사후 심사 시 이를 집중 점검해 보안 수준이 유지되도록 한다. 정부와 인증 기관 간 사고 이력을 상시 공유하는 체계를 구축하고, 중대 사고가 발생하면 기업이 사고 복구와 재발 방지에 집중할 수 있도록 인증 심사를 잠정 중단한다. 정부 조사와 처분이 종료된 후 인증 심사를 재개할 때는 심사 인력과 기간을 확대해 사고 원인과 조치 현황, 재발 방지 대책을 철저히 심사한다.
법령에 규정된 인증 취소 사유도 구체화한다. 주요 사고 원인 분석을 토대로 인증 기준 미달 여부를 판단하는 중대 결함 기준을 마련하고, 기한 내에 보완하지 않으면 인증을 취소한다.
심사 기관과 심사원의 전문성도 강화된다. 매 인증 심사 종료 후 심사 기관에 대한 신뢰도 조사를 실시하고, 결과를 차년도 인증 심사 배분에 반영해 심사 기관이 스스로 품질을 관리하도록 유도한다. 심사 품질 관련 항목을 지정·재지정 평가에 반영하고, 지정 기준 준수 여부를 매년 사후 점검한다. 심사원의 기술 심사 검증 능력 향상을 위해 실무 교육을 강화하고, 기술 심사 가이드를 제공한다. AI와 클라우드 등 전문 분야별로 특화된 심사가 가능하도록 심사원별 전문 분야 정보를 관리한다. 심사원 인건비도 현실에 맞게 높여 처우를 개선한다.
이번 방안은 단계적으로 시행된다. 상시 점검 강화와 인증 취소 등 사후 관리 관련 사항은 올해 하반기부터, ISMS-P 의무화와 인증 차등 적용, 강화 인증 기준 적용 등은 2027년부터 시행될 예정이다.
개인정보보호위원회 송경희 위원장은 "사이버 공격이 고도화되는 상황에서 인증제를 통해 국민 피해를 사전에 예방할 수 있도록 제도 전반에 대한 근본적 개편이 필요한 시점"이라며 "인증제도를 개인정보 보호의 사전 예방 핵심 수단으로 개선해 국민이 안심할 수 있는 디지털 환경을 구현하겠다"고 밝혔다.
과학기술정보통신부 류제명 제2차관은 "정보보호 관리체계 인증제도는 국민이 안심하고 디지털 서비스를 이용할 수 있도록 하는 핵심 안전장치"라며 "급변하는 사이버 보안 환경에 대응해 인증제도를 보다 엄격하고 내실 있게 운영하겠다"고 말했다.
