기업의 정보보호 수준 제고하기 위한 조치로 2월 18일부터 시행

[보안뉴스 김태형] 방송통신위원회(위원장 이계철)는 8일 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’(이하 정보통신망법)의 개정에 따라 신설·강화된 기업 정보보호 제도에 대한 세부사항을 정하는 고시 제·개정안(3건)을 의결했다. 동 고시들은 ‘2013년 2월 18일부터 시행된다.

개정 고시는 ‘정보보호 관리체계 인증 등에 관한 고시’ 및 ‘정보보호조치에 관한 지침’이며 제정 고시는 ‘정보보호 사전점검에 관한 고시’이다. 제·개정된 고시에는 기업의 실질적인 정보보호 활동 및 정보보호 투자를 촉진하고 해킹 등 사이버 위협에 대한 사전예방 조치를 강화하기 위한 내용이 반영되었다.

‘정보보호 관리체계 인증 등에 관한 고시’는 통신사, 포털, 쇼핑몰 등 주요 정보통신서비스 제공자를 인증 의무대상자로 지정하고 인증 기준 등을 재정비했다. ‘정보보호조치에 관한 지침’은 정보통신서비스 제공자가 관리적·기술적·물리적 보호조치를 위해 준수해야 할 최소한의 권고 기준이다.

‘정보보호 사전점검에 관한 고시’는 새로운 정보통신망의 구축 또는 정보통신서비스의 제공 이전에 계획 또는 설계 단계에서 정보보호를 고려해 필요한 대책을 마련토록 했다. IBM 시스템 연구소에 따르면 보안사고의 90% 이상은 서비스 구축과정에서 보안조치를 강화하면 미연에 방지할 수 있으며 보안조치에 필요한 비용도 60~100배 정도 절감할 수 있다.

특히 고시 내용 중 관련 기업들이 주목해야 할 사항은 주요 정보통신서비스 제공자에 대한 정보보호 관리체계(ISMS) 인증을 의무화한 조치이다.

인증 의무대상자는 ①정보통신망서비스 제공자(ISP), ②집적정보통신시설 사업자(IDC), ③정보통신서비스 제공자 중 정보통신 부문 年 매출액 100억원 이상 또는 전년도 말 기준 직전 3개월간의 日평균 이용자 수가 100만명 이상인 사업자이다. 의무대상자가 인증을 받지 않을 경우, 1,000만원 이하의 과태료가 부과되므로 주의해야 한다.

이번 고시 제·개정으로 최근 다양한 원인에 의해 발생하고 있는 개인정보침해, 기업정보유출, DDoS 공격 등의 해킹 사고를 실질적으로 예방하는데 큰 효과가 있을 것으로 예상된다.

방송통신위원회 관계자는 “이번 고시 제·개정은 실효성이 낮은 안전진단 제도를 폐지하고 정보보호 관리체계 인증제도로 일원화하는 등 기업의 정보보호 수준을 제고하기 위한 조치의 일환이며 이를 통해 관련 기업들이 정보보호에 대한 종합적인 관리체계를 수립·운영할 것으로 기대된다”고 밝혔다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>