정부가 잇따른 인증 기업의 개인정보 유출 사고를 계기로 정보보호 관리체계 인증제도를 근본적으로 개편한다. 개인정보보호위원회와 과학기술정보통신부는 4월 10일 경제관계장관회의에서 '정보보호 및 개인정보보호 관리체계 인증제 실효성 강화방안'을 발표했다.
ISMS·ISMS-P 인증은 기업이나 기관이 개인정보와 정보를 안전하게 보호하는 체계를 갖췄는지 점검해 부여하는 제도다. 국제표준(ISO27001·27701)을 기준으로 삼으며, 통신사나 대형 전자상거래 업체 등 주요 사업자는 이 인증을 의무적으로 받아야 한다. 그러나 최근 통신사와 이커머스 업체 해킹 사고가 잇따르면서 인증제도가 실효성이 떨어진다는 지적이 나왔다.
이에 정부는 인증 대상·기준, 심사 방식, 사후관리, 심사 품질 등 제도 전반을 개선하기로 했다. 개선 방안은 크게 네 가지 축으로 나뉜다.
먼저 인증 의무대상을 확대하고 기준을 강화한다. 앞으로 이동통신사, 본인확인기관, 주요 공공시스템 운영기관, 그리고 매출액과 개인정보 처리 규모가 큰 기업은 ISMS-P 인증을 의무적으로 받아야 한다. 이는 디지털 환경 변화와 사이버 위협 증가에 대응해 선제적으로 예방 관리를 하기 위한 조치다. 인증체계도 '강화인증', '표준인증', '간편인증' 등 3단계로 나눠 위험 기반의 차등화된 관리체계를 적용한다. 특히 국민 생활에 파급력이 큰 분야에는 강화된 기준과 심사 방식을 적용할 예정이다.
둘째, 인증 심사 방식을 전면 개편한다. 기존 서면 위주 심사에서 현장 중심 심사체계로 바꾼다. 본심사 전 예비심사 단계에서 핵심 기준을 사전에 점검해 부실한 기업은 개선 후에야 본심사를 받을 수 있도록 절차를 개선한다. 또한 취약점 진단과 모의침투 같은 기술심사 방식을 도입해 보안 취약점을 실제로 확인한다. 심사원이 정보보호 관리 상태를 실시간 시연으로 확인하는 '현장 실증' 방식도 적용한다.
셋째, 인증 사후관리를 대폭 강화한다. 지금처럼 특정 시점만 확인하는 '스냅샷' 방식에서 벗어나 인증 취득부터 유지·갱신 전 과정에서 보안 수준이 지속 유지되는지 상시 점검한다. 중대 침해사고가 발생한 기업은 사고 복구와 재발 방지에 집중할 수 있도록 인증 심사를 잠정 중단하고, 조사가 끝난 후에는 심사 인력과 기간을 확대해 철저히 점검한다. 법령에 규정된 인증 취소 사유도 구체화하고, 중대 결함 기준을 마련해 기한 내 조치하지 않으면 인증을 취소할 수 있게 한다.
넷째, 심사기관과 심사원의 전문성을 강화한다. 매 인증심사 후 심사기관 신뢰도 조사를 실시하고 결과를 차년도 업무 배분에 반영해 기관 스스로 품질을 관리하는 체계를 만든다. 심사원에게는 기술심사 검증 능력 향상을 위한 실무교육을 강화하고, AI·클라우드 같은 전문 분야별 특화 심사가 가능하도록 지원한다. 심사원 처우도 현실에 맞게 개선한다.
개인정보위와 과기정통부는 이러한 개선 방안을 차질 없이 추진하기 위해 시행령과 고시 개정, 예산 확보 등 후속 조치에 나설 계획이다. 상시 점검 강화와 인증 취소 관련 사항은 올해 하반기부터, ISMS-P 의무화와 인증 차등 적용 등은 2027년부터 순차적으로 시행된다.
송경희 개인정보보호위원장은 "사이버 공격이 고도화되는 상황에서 인증제도를 통해 국민 피해를 사전에 예방할 수 있도록 근본적 개편이 필요하다"며 "이번 방안을 시작으로 인증제도를 개인정보 보호의 핵심 수단으로 개선해 국민이 안심할 수 있는 디지털 환경을 만들겠다"고 밝혔다.
류제명 과학기술정보통신부 제2차관도 "정보보호 관리체계 인증제는 국민이 안심하고 디지털 서비스를 이용할 수 있도록 하는 핵심 안전장치"라며 "급변하는 사이버 보안 환경에 대응해 인증제도를 더 엄격하고 내실 있게 운영해 국민이 신뢰할 수 있는 체계로 발전시키겠다"고 말했다.
