숨은 IT 자산 철저히 점검... 서면 위주·스냅샷 방식 벗어나 실제 운영 추적·개선

[보안뉴스 한세희 기자] 매출과 개인정보 처리 규모가 큰 기업과 기관 전체로 ISMS-P 인증이 의무화된다. 국민 생활에 파급력이 큰 정보를 처리하는 경우 강화된 심사 기준을 적용하고, 심사 과정 역시 현장 중심으로 재편한다.

과학기술정보통신부와 개인정보보호위원회는 10일 정부서울청사에서 열린 경제관계장관회의에서 이같은 내용의 ‘정보보호 및 개인정보보호 관리체계 인증제 실효성 강화방안’을 발표했다.


정보보호 및 개인정보보호 관리체계(ISMS·ISMS-P) 인증은 국제표준 ‘ISO27001·27701’ 기반으로 보안 수준을 높이고 사고를 예방하기 위해 기업 정보보호 및 개인정보보호 관리체계를 점검·인증하는 제도다. 이들 인증을 받은 대형 통신사, 금융사, e커머스 기업 등이 지난해 잇달아 해킹 및 개인정보 유출 사고를 당하면서 인증 실효성에 대한 비판 목소리가 컸다.

정부는 인증을 의무적으로 받아야 하는 대상을 확대하고 기준도 강화한다. 국민 파급력이 큰 대규모 개인정보처리자에 개인정보보호 인증 의무를 부여한다. 통신사·데이터센터 등 침해 사고가 터질 때 생활에 파급력이 큰 사업자에 대한 인증기준을 강화한다.

많은 개인정보를 처리하는 주요 공공시스템운영기관, 이동통신사업자, 본인확인기관, 매출 및 개인정보 처리 규모를 고려한 대규모 개인정보처리자 등을 대상으로 단계적으로 인증 의무를 확대한다.

관리 체계는 ‘강화인증’, ‘표준인증’, ‘간편인증’ 등 3단계로 재편한다. 국민 생활에 파급력이 큰 강화인증군은 기존보다 심사 기준과 방식을 강화한다. 인증 대상 서비스와 관련된 장비와 시설 등이 심사 단계에서 누락되지 않도록 인증 범위를 확대한다. 외부 인터넷과 연결돼 공격 경로로 활용될 수이 있는 디지털 자산은 인증 범위에 반드시 포함되도록 한다.

심사 방식 도 서면 중심에서 현장 중심으로 바뀐다. 본심사 전 예비심사 단계에서 꼭 확인해야 할 인증기준을 사전에 점검한 후 본심사 진행 여부를 결정한다. 부실한 관리체계를 개선한 후 본격적 인증 절차를 밟게 하기 위해서다.

전문 인력에 의한 취약점 진단과 모의침투 등 기술심사 방식이 심사에 적용된다. 실시간 시연 확인 등 현장 실증 심사에 나선다. 심사 투입 인력과 기간도 확대한다. 표준인증군은 인증심사원을 추가 투입해 현장실증을 강화한다. 강화인증군은 취약점점검원을 전담 투입해 중요도 높은 정보자산을 기술심사를 통해 정밀하게 점검하고, 점검 자산 수도 늘린다.


인증심사 이후에도 보안관리가 유지되도록 상시 점검을 강화한다. 인증 취득과 유지, 갱신에 이르는 전 과정에서 안전한 관리 체계가 유지되는지 점검한다. 심사 당시 특정 시점만 확인하는 ‘스냅샷’ 방식에서 벗어난다는 방침이다. 중대 침해사고가 터진 기업에 대한 사후 관리 도 엄격하게 실시한다.

또 심사기관에 대한 신뢰도 조사 결과를 이듬해 인증심사 배분에 활용해 심사기관의 관리 책임을 강화한다. 심사원 실무교육을 강화해 검증 능력을 높인다.

상시 점검 강화·인증취소 등 인증 사후관리와 관련된 사항은 올해 하반기 시행이 목표다. ISMS-P 의무화와 인증 차등 적용, 강화된 인증기준 적용 등은 2027년부터 시행될 수 있도록 상반기 관련 작업을 추진한다.

송경희 개인정보위 위원장은 “사이버 공격이 고도화되는 상황에서 ISMS·ISMS-P 인증제를 통해 국민 피해를 사전에 예방할 수 있도록 제도 전반에 대한 근본적 개편이 필요한 시점”이라며 “인증제도를 개인정보 보호의 사전예방 핵심수단으로 개선하겠다”고 밝혔다.

류제명 과기정통부 제2차관은 “정보보호 관리체계 인증제도는 국민이 안심하고 디지털 서비스를 이용할 수 있도록 하는 핵심 안전장치”라며 “정보보호 관리체계를 보다 엄격하고 내실 있게 운영해 인증제도 실효성을 높이겠다”고 밝혔다.

[한세희 기자(hahn@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>