article_right_top
반복되는 인증기업의 해킹 사고와 대규모 개인정보 유출에 정부가 기존 인증제도의 실효성에 근본적 의문을 제기하며 전면 개편에 돌입했다. 과학기술정보통신부와 개인정보보호위원회는 6일 ‘ISMS · ISMS-P 인증제 개선 대책회의’를 열고 상시 관리체계 구축, 인증 의무화 확대, 심사 강화, 사후관리 고도화를 핵심으로 하는 개편안을 발표했다.
정부는 공공·민간 주요 개인정보처리시스템에 대해 ISMS-P 인증 의무화를 추진한다. 대상 범위에는 ▲주요 공공시스템 ▲통신사 ▲대형 온라인 플랫폼 등 ‘파급력이 큰 개인정보 처리 기업’이 대거 포함될 전망이다. 또한 플랫폼 기업과 통신사 등 국민 영향도가 큰 기업은 강화된 기준을 별도 적용하며, 이를 위한 관련 법 개정이 조속히 추진된다. 기존 인증 방식에 대한 근본적 손질도 예고됐다. 정부가 밝힌 심사 개편 내용은 ▲예비심사에서 핵심항목 선(先) 검증 ▲기술 심사 및 현장 실증 강화 ▲분야별 인증위원회 운영 확대 ▲심사원 대상 AI·신기술 역량 교육 필수화 등이다. 이는 인증이 단순 서류검증에 머물러 실효성을 담보하지 못했다는 문제 인식에서 출발한 것으로 해석된다.
개편안의 가장 강도 높은 대목은 ▲유출사고 발생 즉시 특별 사후심사 ▲문제 발견 시 인증위원회 심의 후 인증 취소 가능 ▲사고 기업 검증 인력·기간 2배 확대 ▲재발방지 조치 집중 점검 등 사후관리 강화다. 정부는 “사고 이후 면죄부로 작용하는 인증의 기능을 더 이상 허용하지 않겠다”는 강한 의지를 드러낸 것으로 풀이된다. 한편 개인정보위는 이번 달부터 인증기업 대상 현장점검을 돌입했으며, 쿠팡 등 현재 조사가 진행 중인 기업에 대해서는 조사와 인증기준 적합성 점검을 동시에 실시한다.
과기정통부는 앞서 발표된 「정보보호 종합대책」 후속으로 ISMS 인증기업 약 900곳에 대해 전면 점검을 요청했으며, 내년 초부터 현장 검증이 본격 시행될 예정이다. 정부는 제도개선 태스크포스(TF)를 통해 세부안을 확정하고, 특별 점검 결과를 반영해 2026년 1분기 중 개정 고시 시행을 목표로 하고 있다.
-이정직기자
이정직기자
<저작권자 © 재난포커스 무단전재 및 재배포금지>
