article_right_top
잇따른 해킹 사고로 신뢰가 흔들린 정보보호 인증제도가 대대적인 수술에 들어간다. 서류 위주의 형식적 심사와 사후관리 부실을 바로잡고, 실제 보안 수준을 검증하는 구조로 전환하는 것이 핵심이다. 개인정보보호위원회와 과학기술정보통신부는 ISMS·ISMS-P 인증제의 실효성을 강화하는 종합 개편안을 발표했다. 최근 통신·이커머스 기업 등 인증을 받은 기업에서도 보안 사고가 발생하면서 제도 전반의 신뢰성에 대한 의문이 커진 데 따른 조치다.
이번 개편은 인증 대상부터 심사 방식, 사후관리까지 전 영역을 아우르는 구조 개편이다. 먼저 인증 대상이 대폭 확대된다. 그동안 기업 자율에 맡겨졌던 개인정보보호 인증을 국민 생활에 큰 영향을 미치는 사업자에 의무화한다. 이동통신사, 데이터센터, 대형 플랫폼 기업, 주요 공공 시스템 운영기관 등이 대상이며, 향후 단계적으로 적용 범위를 넓힌다. 동시에 인증 체계도 ‘강화·표준·간편’ 3단계로 재편해 위험 수준에 따라 차등 관리한다.
심사 방식은 가장 큰 변화가 이뤄지는 부분이다. 기존 서류 검토 중심 평가에서 벗어나 현장 중심 검증으로 전환된다. 예비심사를 통해 기본 요건을 충족하지 못한 기업은 본심사에 진입하지 못하도록 하고, 취약점 진단과 모의 해킹 등 기술적 검증을 의무화한다. 실제 시스템을 시연하고 보안 상태를 직접 확인하는 방식이 도입된다. 사후관리도 한층 엄격해진다. 인증 이후에도 상시 점검 체계를 통해 보안 수준 유지 여부를 지속적으로 확인한다. 특히 대규모 침해사고가 발생한 기업에 대해서는 인증 심사를 일시 중단하고, 사고 원인과 재발 방지 조치가 검증된 이후에만 재개하는 강도 높은 관리가 적용된다. 중대한 결함이 개선되지 않을 경우 인증 취소도 가능해진다.
심사 품질 확보를 위한 장치도 마련됐다. 심사기관의 평가 결과를 다음 인증 배정에 반영해 책임성을 강화하고, 심사원에 대한 전문 교육과 처우 개선을 통해 기술 검증 역량을 높인다. AI·클라우드 등 신기술 분야에 대한 전문 심사체계도 도입된다. 정부는 이번 개편을 통해 인증제도를 단순한 ‘통과 절차’가 아닌, 사이버 공격을 사전에 차단하는 핵심 안전장치로 전환하겠다는 방침이다. 관련 법령 개정과 기준 정비를 거쳐 일부 사후관리 강화 조치는 올해 하반기부터, 의무화와 차등 인증 체계는 2027년부터 본격 시행될 예정이다.
송경희 개인정보위 위원장은 “사이버 공격이 고도화되는 상황에서 ISMS·ISMS-P 인증제를 통해 국민 피해를 사전에 예방할 수 있도록 제도 전반에 대한 근본적 개편이 필요한 시점”이라며, “오늘 발표된 실효성 강화방안을 시작으로 인증제도를 개인정보 보호의 사전예방 핵심수단으로 개선하여 국민이 안심할 수 있는 디지털 환경을 구현하겠다”라고 밝혔다.
류제명 과기정통부 제2차관은 “정보보호 관리체계 인증제도는 국민이 안심하고 디지털 서비스를 이용할 수 있도록 하는 핵심 안전장치”라며, “급변하는 사이버 보안 환경에 대응하여 정보보호 관리체계를 보다 엄격하고 내실 있게 운영하여 인증제도의 실효성을 높이고, 국민이 신뢰할 수 있는 인증체계로 발전시켜 나가겠다”고 밝혔다.
-이정직기자
이정직기자
<저작권자 © 재난포커스 무단전재 및 재배포금지>
