‘정보보호 관리체계 인증 등에 관한 고시’ 등 고시 3건 시행

1월 30일 ‘기업 정보보호 제·개정 고시 설명회’ 개최

[보안뉴스 김태형] 오는 2월 18일부터는 정보통신망법의 개정에 따라 강화된 기업 정보보호 제도가 시행된다. 특히 기업 정보보호 수준 제고를 위해 정보보호 관리체계(ISMS) 인증제도가 의무화되므로 해당 기업들은 이에 대한 대비가 필요하다.

방송통신위원회(위원장 이계철)와 한국인터넷진흥원(KISA, 원장 이기주)은 29일 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’(이하 정보통신망법)의 개정에 따라 제·개정된 ‘정보보호 관리체계 인증 등에 관한 고시’등 고시 3건이 2월 18일부터 시행된다고 밝혔다.

이에 새로운 고시 시행에 따른 혼란을 방지하고 정보보호 관계자들의 이해도 제고를 위해 1월 30일 오후 3시 서울 GS타워 아모리스 회의장에서 ‘기업 정보보호 제·개정 고시 설명회’를 개최할 예정이다.

또한, 고시 내용을 쉽게 설명한 해설서도 발간하여 2월초에 한국인터넷진흥원 홈페이지(www.kisa.or.kr)를 통해 배포할 예정이다.

2월 18일부터 의무화되는 ISMS 인증제도에 의해 정보통신 서비스 제공자는 의무적으로 ISMS 인증을 받아야 한다. 의무 대상자는 ISP, IDC, 연간 매출액 또는 이용자수 등이 대통령령으로 정하는 기준에 해당하는 기업이다.

이에 대해 장상수 한국인터넷진흥원 보안관리팀 팀장은 “이는 기존 시행되던 안전진단 제도를 폐지하고 보다 높은 수준의 인증제도인 ISMS로 통합하는 것으로, 그동안 안전진단 준비를 잘해왔던 기업의 경우 정보보호 관리체계 인증에는 무리가 없을 것”이라고 말했다.

특히 이번에 시행되는 고시에는 △기업의 정보보호 수준을 제고하기 위한 정보보호관리체계(ISMS) 인증 의무화 △정보통신서비스 제공자가 준수해야할 최소한의 정보보호조치 권고 기준 △신규 정보통신망 구축 또는 정보통신서비스의 계획·설계 단계부터 정보보호를 고려하도록 권고하는 정보보호 사전점검 등에 관한 내용이 반영됐다.

◆ 정보통신망법 고시(3종) 주요 제·개정 내용

이에 통신사·포털·쇼핑몰 등 주요 정보통신서비스 사업자를 정보보호 관리체계 의무인증 대상자로 지정하고 해당 의무 대상자가 인증을 받지 않을 경우, 1,000만원 이하의 과태료를 부과하는 제도가 신설됐다.

장상수 팀장은 “이와 같은 ISMS 인증을 통해 기업은 해킹이나 디도스 공격 등의 침해사고 예방과 피해에 대한 손실을 예방할 수 있고 체계적이고 지속적인 보안관리가 가능하다. 아울러 위험관리 기반의 조직적이고 종합적인 정보보호 대책을 구현할 수 있다”고 강조했다.

인증심사 관계자에 따르면 “ISMS 컨설팅, 운영기간(2개월 이상), 인증심사 등을 포함해 인증신청부터 인증서 발급까지는 약 4개월 정도의 기간이 소요될 것으로 예상된다. 따라서 올해 말까지 인증을 완료하기 위해서는 의무인증 대상자의 사전 준비 및 각별한 주의가 필요하다”고 말했다.

방통위 관계자는 “이번에 제·개정된 고시가 시행되면 기업의 전반적인 정보보호 수준이 향상될 것으로 기대하며, 변경된 제도가 조기에 정착되도록 적극 지원할 것”이라고 밝혔다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>