G-ISMS·ISMS 내년에 통합 예정, PIMS는 국제표준 추진 중
일부 시행 예정 제도에 대한 문제제기도...연착륙 여부 관심  

[보안뉴스 김경애] 올해 안으로 의무적으로 취득해야 하는 정보보호관리체계(ISMS) 인증을 비롯해 PIMS, G-ISMS 등 인증제도가 수정 및 개편되면서 국내 정보보안 환경이 바뀌고 있다.

이와 관련 정부기관의 한 관계자는 “미래부에서 주관하는 G-ISMS와 ISMS인증이 내년에는 통합될 것이고, 방통위에서 주관하는 PIMS 인증제도는 국제표준으로 추진 중으로 9월중 변경사항에 대해 고시할 예정”이라고 밝혔다. 또한, ISO·IEC27001은 해외 인증과 국내 인증으로 이원화될 계획이라고 덧붙였다.

이는 각종 개인정보 유출사건을 비롯해 금융권 해킹 피해사례가 증가하면서 진행된 법적 제도적 변화가 인증정책에 반영된 것으로 풀이된다.

그렇다면 구체적으로 어떤 점이 달라질까? 이와 관련 정부기관 관계자는 달라지는 정부제도에 대해 △정보보호 안전진단 의무 수검제도 폐지 △정보보호 관리체계 의무 인증제도 도입 △정보보호 관리등급 제도 신설 △정보보호 사전점검 제도 법제화 △임원급 정보보호 최고책임자 제도 등이라고 밝혔다.

정보보호 안전진단 의무 수검제도는 실효성 및 중복성 논란을 해소하기 위해 폐지하고 정보보호 관리체계 의무인증 제도로 일원화된다.

정보보호 관리체계 의무 인증제도 도입의 경우 기존 안전진단 대상자는 3년 주기로 정보보호관리체계인 ISMS 인증을 의무적으로 취득해야 하며, 매년 사후관리를 해야 한다. 인증취득 불이행시에는 1천만원의 과태료가 부과된다.

정보보호 관리등급 제도 신설은 정보보호관리체계 인증 기업이 전사적 차원으로 상위의 정보보호 활동을 유도하고, 이용자에게 객관적 기업선택 기준을 제시하기 위해 신설되며, 내년 1월 시행을 목표로 추진되고 있다.

정보보호 사전점검 제도 법제화는 방통위의 권고사항으로 방송통신사업자는 정보통신서비스 운영 이전에 정보보호에 대해 계획 또는 설계단계에서부터 고려해야 한다는 내용이 핵심이다.

마지막으로 정보통신서비스 제공자의 경우 정보보호최고책임자인 CISO를 임원급으로 지정·운영하여 체계적인 정보보호 활동을 유도하는 내용도 포함됐다.  

그러나 일각에서는 정보보호최고책임자 지정과 관련해 그 기준을 정하기가 쉽지 않다는 의견을 제시하기도 했다. 이는 각각의 회사규모에 따라 적용 기준이 달라질 수 있다는 것이다. 또한, 정보보호 관리등급 제도에 대해서도 다양한 의견이 제기되고 있는 상황이다.

현재 대부분의 기업 보안조직에서 CISO를 임원급으로 지정·운영하는 곳은 극히 드문 상황이다. 보안 투자에 있어서도 CEO들의 인식전환이 제대로 이뤄지지 않고 있는 실정인데, 정부가 기업 조직까지 간섭하고 제재를 가하기 쉽지 않다는 얘기다.  

이렇듯 정보보호관련 인증체계 정립을 위한 논의가 활발해지고, 진통도 상당할 것으로 예상된다. 이로 인해 관련 제도가 효과적으로 개선 또는 보완돼 시장에 연착륙할 수 있을지 관심이 모아지고 있다.

[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>