권은희 의원, 유사한 정보보호 인증제간 ‘상호 인정’ 방안 검토해야

[보안뉴스 김태형] 사이버침해사고 대응을 위해 한국인터넷진흥원(KISA)에서 운영하는 정보보호관리체계(ISMS) 인증제도가 각 부처들의 정보보호 중복 규제, 인증제도 홍보 부족, 대상 기업들의 낮은 보안의식과 비용 부담 등으로 실효성이 떨어진다는 지적이 제기됐다.

25일 미래창조과학방송통신위원회 소속 새누리당 권은희 의원은 국정감사 자료를 통해 점차 고도화 되고 있는 침해사고에 효과적으로 대응하기 위해서는 ISMS와 PIMS 등, 각 인증제도의 중복을 없애야 한다고 주장했다.

ISMS는 기업, 조직 등이 각종 사이버 보안 위협으로부터 정보자산을 보호하기 위한 정보보호관리 절차를 체계적으로 수립해 지속적으로 관리, 운영하는 종합체계를 말한다.

ISMS 인증제도는 지난 2002년 시행됐으나 2003년 정보통신서비스제공자들을 대상으로 시행된 정보보호안전진단제도와 2013년 통합해 일원화했다. 아울러 공공기관은 GISMS 인증을 받아야 한다.

또 PIMS는 기업 또는 조직이 고객 개인정보를 수집, 이용, 제공, 파기할 경우 이에 대해 안전하게 보호할 수 있는 것으로 전체 생명주기를 안전하게 보호하기 위한 종합적인 절차와 대책을 마련하는 것이다.

현재 ISMS는 개인정보보호법에 따라 회원수 100만명 이상, 100억원 이상 매출 규모의 정보통신사업자들의 경우에 의무적으로 인증을 받아야 한다. 현재 전체 243개 업체 중 올해 기존 정보보호 안전진단 인증을 받은 업체 95개는 올해 다시 ISMS 인증을 받기가 현실적으로 어렵기 때문에 1년의 유예기간을 주었다.

따라서 2013년 ISMS 의무 인증 대상은 2014년으로 인증이 유예된 95개 업체를 제외한 148개 업체가 해당되는데, 이 중 올해 9월까지 99개 업체가 인증 심사를 신청해 66개 업체가 심사를 완료했고 17개 업체는 아직 인증 시청 준비도 하지 않았다.

권 의원은 “ISMS와 PIMS는 내용상 유사한 항목이 60% 이상이며 안전행정부에서 올해 말 시행 예정인 ‘PIPL’은 65개 심사항목의 75% 이상이 현재 시행 중인 PIMS와 중복된다”면서 “기업 입장에서는 유사한 인증을 복수로 받기 위해서는 자원이 중복 투자되는 등 부담이 가중되고 있다”고 지적했다.

또한 그는 “기업의 경우 정보보호 관리체계 인증을 받기 위해서 컨설팅 비용만 5천만원에서 2억원이 소요되고 이 외에도 시스템 도입, 인력 충원 등 기존 정보보호 안전진단에 비해 많은 비용이 소요되기 때문에 영세 기업의 경우 큰 부담이 될 수 밖에 없다”라고 말했다.

또한 인증 획득 비용보다 의무 인증 미 이행으로 인한 과태료가 1,000만원으로 아주 낮기 때문에 의무대상 업체가 인증을 기피하는 현상이 발생하기도 한다는 것.

권 의원은 “이 외에도 금융권에서도 정보보호 관련 인증제도를 도입한다고 하는데 방통위, KISA, 안행부, 금융위 등 부처별로 유사한 제도를 지나치게 남발하게 되면 인증을 의무적으로 받아야 하는 기업들에게 부담만 가중될 것이고 규제의 효과도 발휘하지 못할 것이라고 생각된다”면서 “인증을 받아야하는 사업자들을 위해서는 비슷한 인증데도 간에서는 상호 인정 방안을 검토해야 한다”라고 주장했다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>