정부가 최근 잇따른 통신사와 이커머스 해킹 사고를 계기로 정보보호 인증제도를 근본적으로 손질한다.
개인정보보호위원회와 과학기술정보통신부는 4월 10일 정부서울청사에서 열린 경제관계장관회의에서 '정보보호 및 개인정보보호 관리체계 인증제 실효성 강화방안'을 발표했다.
정보보호 및 개인정보보호 관리체계 인증(ISMS·ISMS-P)은 기업이나 기관이 정보보호와 개인정보보호 체계를 제대로 갖췄는지 점검하고 인증하는 제도다. 국제표준(ISO27001·27701)을 기반으로 하며, 정보통신망법과 개인정보보호법에 근거한다.
그동안 이 인증제는 기업의 보안 수준을 높이는 데 기여해 왔지만, 최근 인증을 받은 기업에서도 대규모 해킹 사고가 잇따르면서 실효성에 대한 우려가 커졌다. 이에 정부는 관계부처 대책회의와 현장 간담회를 거쳐 인증체계를 구조적으로 개편하기로 했다.
개편안은 크게 네 가지 축으로 나뉜다. 첫째, 인증 대상과 기준을 강화한다. 둘째, 심사 방식을 현장 중심으로 바꾼다. 셋째, 인증 이후 사후관리를 엄격히 한다. 넷째, 심사기관과 심사원의 전문성을 높인다.
우선 인증 의무 대상을 대폭 확대한다. 그동안 ISMS-P 인증 취득은 기업 자율에 맡겨져 있었지만, 앞으로는 국민 생활에 미치는 영향이 큰 기업은 의무적으로 받아야 한다. 주요 공공시스템 운영기관, 이동통신사업자, 본인확인기관, 그리고 매출액과 개인정보 처리 규모가 큰 대규모 개인정보처리자가 대상이다. 정부는 단계적으로 의무 대상을 확대할 계획이다.
또한 인증체계를 3단계로 차등화한다. 기존의 획일적인 기준에서 벗어나 '강화인증', '표준인증', '간편인증'으로 나누고, 국민 생활에 파급력이 큰 분야는 강화인증을 적용한다. 강화인증 기준은 주요 보안위협 사례와 주요국의 보안 요구 사항을 참고해 개발한다.
인증 범위도 확대한다. 대상 서비스와 관련된 장비와 시설은 빠짐없이 포함하고, 특히 외부 인터넷과 연결돼 공격 경로로 활용될 가능성이 있는 디지털 자산은 반드시 인증 범위에 넣기로 했다.
심사 방식도 전면 개편한다. 기존 서면 위주 심사에서 벗어나 현장 중심으로 바꾼다. 본심사 전에 예비심사 단계에서 핵심 인증기준을 먼저 점검하고, 부실한 관리체계는 개선한 뒤에 본심사를 진행한다.
기술심사도 대폭 강화한다. 취약점 점검 전문인력이 취약점 스캐너, 소스코드 진단 도구 등을 활용해 취약점 진단과 모의침투를 수행한다. 심사원이 실질적 보안관리 상태를 확인할 수 있도록 실시간 시연 확인 등 현장실증 심사방법을 도입한다.
심사팀 구성도 바뀐다. 표준인증군은 심사원을 추가 투입해 현장실증을 강화하고, 강화인증군은 취약점 점검원을 전담 투입해 중요 정보자산을 기술심사로 정밀하게 점검한다.
사후관리도 엄격해진다. 특정 시점만 확인하는 '스냅샷' 방식에서 벗어나, 인증 이후에도 보안관리가 유지되는지 상시 점검한다. 주기별 점검 양식을 표준화하고, 사후심사 때 이를 집중 점검한다.
중대 침해사고가 발생한 기업에 대한 관리도 강화한다. 정부와 인증기관 간 사고 이력을 상시 공유하고, 중대 사고 발생 시 기업이 사고복구와 재발방지에 집중할 수 있도록 인증 심사를 잠정 중단한다. 정부 조사와 처분이 끝난 뒤 심사를 재개할 때는 심사인력과 기간을 확대해 사고 원인과 조치 현황, 재발방지 대책을 철저히 확인한다.
인증 취소 기준도 구체화한다. 주요 사고 원인 분석을 토대로 중대 결함 기준을 마련하고, 기한 내에 보완하지 않으면 인증을 취소한다.
심사기관과 심사원의 전문성도 높인다. 매 인증심사 후 심사기관에 대한 신뢰도 조사를 실시하고, 결과를 차년도 인증심사 배분에 반영한다. 심사품질 관련 항목을 지정·재지정 평가에 반영해 부실심사를 막는다.
심사원의 기술심사 검증 능력을 키우기 위해 실무교육을 강화하고, 기술심사 가이드를 제공한다. AI와 클라우드 등 전문 분야별 특화 심사가 가능하도록 심사원별 전문분야 정보를 관리한다. 심사원 인건비도 현실에 맞게 올려 처우를 개선한다.
정부는 이번 방안을 차질 없이 추진하기 위해 시행령, 고시, 안내서를 개정하고 관련 예산을 확보할 예정이다. 상시 점검 강화와 인증 취소 등 사후관리 관련 사항은 올해 하반기부터 시행하고, ISMS-P 의무화와 인증 차등 적용, 강화 인증기준 적용 등은 2027년부터 시행될 수 있도록 상반기에 관련 작업을 추진할 계획이다.
송경희 개인정보보호위원장은 "사이버 공격이 고도화되는 상황에서 ISMS·ISMS-P 인증제를 통해 국민 피해를 사전에 예방할 수 있도록 제도 전반에 대한 근본적 개편이 필요한 시점"이라며 "인증제도를 개인정보 보호의 사전예방 핵심수단으로 개선해 국민이 안심할 수 있는 디지털 환경을 구현하겠다"고 밝혔다.
류제명 과학기술정보통신부 제2차관은 "정보보호 관리체계 인증제도는 국민이 안심하고 디지털 서비스를 이용할 수 있도록 하는 핵심 안전장치"라며 "급변하는 사이버 보안 환경에 대응해 정보보호 관리체계를 보다 엄격하고 내실 있게 운영해 인증제도의 실효성을 높이고, 국민이 신뢰할 수 있는 인증체계로 발전시켜 나가겠다"고 말했다.
