| 내년에 달라지는 기업 정보보호 제도는? | 2012.07.13 |
정보보호 인증제도 의무화 및 사전점검 고시안 등에 대한 의견 수렴 [보안뉴스 김태형] 방송통신위원회(위원장 이계철)와 한국인터넷진흥원(KISA)은 13일 오후 3시 GS타워 아모리스 회의장에서 2013년부터 본격 시행되는 강화된 기업 정보보호 제도를 소개하고, 구체적 시행방안에 대한 의견수렴을 위해 설명회를 개최했다.
설명회에서는 기업의 정보보호 수준을 향상하기 위한 정보보호 인증제도(정보보호관리체계인증 고시), 정보통신서비스 개시 이전 보안위험을 분석하는 사전 조치(정보보호사전점검 고시), 지능화되는 사이버공격에 대응하기 위한 최소 보호조치 기준(정보보호지침 고시) 등 정보통신망법 하위 고시 개정안에 대한 상세한 소개로 진행됐다. 우선 장상수 한국인터넷진흥원 보안관리팀 팀장은 정보보호관리체계 인증제도 개선 관련법, 시행령, 고시 개정(안)에 대한 설명에서 “지난 2011년 2월 17일 정보보호 안전진단제도는 새로운 융합서비스 및 해킹 기법의 고도화로 인해 대응하는데 한계가 있어 폐지하고 새로운 IT 서비스 환경에 능동적으로 대응할 수 있는 높은 수준의 정보보호관리체계(ISMS) 인증제도로 일원화하고 이를 의무화하는 제도를 신설했다”고 설명했다. 그는 “각 조직의 보안은 각 분야의 유기적 협조와 노력에 의해 지켜질 수 있으며 한 분야의 취약점은 조직 전체의 보안수준을 저하시키기 때문에 정보보호관리체계 인증을 통해 각종 위협으로부터 정보자산을 보호하고 위험관리를 위한 지속적이고 체계적인 프로세스 개선활동을 펼쳐야 한다”고 덧붙였다. ISMS 인증 의무 대상자는 기간통신사업자로서 정보통신망 서비스 제공자, 집적정보통신시설 사업자, 연간 매출액과 이용자 수에 따른 기준에 해당하는 자 등이다. 특히, 전년도 매출액 100억원 이상의 방통위가 고시하는 기준에 해당하는 경우와 전년도말 기준 3개월간의 일일평균 이용자수가 100만명 이상으로서 방통위가 고시하는 기준에 해당되는 경우이다. 이러한 의무 대상자 중 ISMS 인증 미 이행시에는 1천만원 이하의 과태료를 부과하거나 인증을 취득하고 유지해야 하는 해당 연도마다 1천만원의 과태료가 부과된다. ISMS 인증의 효과는 △종합적인 정보보호 대책 수립 가능 △위험관리 기반으로 비용 효과적 정보보호 대책 구현 △대외적으로 조직 정보보호 수준에 대한 확신 제공△기업이 사회적 책임 강화 △입찰 참여시 가점 등의 혜택 등이다. 한편, ISMS 인증 의무화 제도와 관련한 하위법령 개정 일정은 시행령이 오는 8월 개정되면 10월 경 방통위 고시 개정 및 공포가 이루어질 예정이다. KISA는 ISMS 인증 교육은 의무 대상자의 ISMS 구축 운영 지원 교육, 인증심사 수행을 위한 인증심사원 양성 교육 등으로 구분해 꾸준히 진행해 나갈 방침이다. 이어서 ‘정보보호 사전점검에 관한 고시(안)’에 대해 박수태 한국인터넷진흥원 수석연구원은 “최근 무선네트워크와 복합 단말기 사용 등의 정보시스템의 복잡도 증가로 인해 보안위협 및 취약성이 증가하고 있고, 이로 인한 보안 침해사고 발생 위험이 높다”며, “IT 서비스 구축단계(계획·설계·구현·테스트)에서 정보보호 위협, 취약점 위험분석 등의 진단을 통해 사전에 취약점을 제거하고 보호대책 수립·적용하도록 할 것”이라고 설명했다. 특히, 운영단계에서의 보안 취약점 발견과 수정에 드는 비용이 설계단계에서의 비용에 비해 60~100배 높기 때문에 정보보호 사전점검은 필수적이라는 것. KISA는 이를 위해 현재 의견을 수렴 중인 상황으로, 8월경에 시행령을 공포하고 10월경에 고시 의결을 통해 내년 2월엔 정보통신망법, 시행령, 고시 등이 시행되도록 할 예정이다.
한편, 방통위는 신설·강화되는 제도의 시행에 따라 관련 기업들이 사전에 준비할 수 있도록 고시 제·개정안을 조속히 확정하고 관계부처 협의를 거쳐 올해 10월말까지 공포할 예정이다. [김태형 기자(boan@boannews.com)] <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
|
 |
