| 2014년부터 달라지는 정보보호 제도·정책은? | 2014.01.08 |
‘정보보호 안전진단’ 폐지...‘ISMS 인증’ 대체·시큐어코딩 의무 확대 [보안뉴스 김태형] 2014년부터는 범 정부차원에서 기존보다 강화된 정보보호 제도·정책이 시행된다. 특히, 지난해 정보통신망법 개정으로 ISMS 인증이 의무화됐고 인터넷사업자의 주민번호 수집이 금지됐다. 그 이후, 개인정보보호법도 개정돼 올해 8월부터는 백화점이나 대형마트 등에서도 주민번호 수집이 전면 금지된다.
또한 CC인증도 기존에 유효기간이 없었다가 3년의 유효기간을 두는 것으로 변경되며, 시큐어코딩 의무화도 지난해 40억원 이상 개발 사업에 한해 의무 적용에서 올해부터는 20억원 이상의 모든 공공기관 정보화사업에 적용되는 것으로 바뀐다. ‘정보보호 안전진단제도’가 폐지되고 ISMS 인증으로 대체, 의무화되는 것과 관련해 한국인터넷진흥원 관계자는 “현재 92개의 기업들이 정보보호 안전진단 인증을 보유하고 있다. 이들 기업들은 올 2월까지 ISMS 인증을 획득해야 하는데, 대상 기업들이 많은 관계로 올 2월까지 인증 심사가 완전히 끝나지 않을 수도 있다. 하지만 올 상반기까지는 모두 마무리가 될 것”이라고 말했다. 한편, ISMS 인증은 정통망법 개정으로 의무화됐다. 이러한 ISMS 인증 의무 대상자는 ‘전기통신사업법’ 제6조 제1항에 따라, 허가 받은 자로 대통령령이 정하는 정보통신서비스 제공자로서 정보통신서비스 부문 전년도 매출액이 100억원 이상인 자, 전년도 말 기준 3개월간의 일일평균 이용자 수가 100만명 이상인 자, 직접정보통신시설사업자로서 연 매출액이 100억원이상 일평균 이용자 수가 100만명 이상인 자, 전국적으로 정보통신망 서비스를 제공하는 자를 기준으로 정하고 있다.
이러한 ISMS 인증 의무화에 따라 ISMS 인증을 획득해야 하는 대상 기업은 모두 148개인데, 이들 중 133개 기업은 인증을 획득했거나 심사 중인 것으로 알려졌다. 또 하나 변화되는 정보보안 제도는 시큐어코딩 의무화다. 지난해까지 40억원 규모 이상의 사업에 대해서 의무화됐던 시큐어코딩은 올해부터는 20억원 이상의 공공사업에 시큐어코딩이 의무 적용된다. 이에 올해 정부 및 공공기관에서 시행하는 20억원 이상의 정보화사업에서 소프트웨어 개발 시에는 시큐어코딩을 필히 적용해야만 한다. 특히, 시큐어코딩 진단을 하려면 ‘소스코드 보안약점 분석도구’라는 제품유형으로 CC인증을 받은 제품을 반드시 사용해야 하고 2015년까지 감리대상 전 사업에 시큐어코딩 의무화가 적용될 예정에 있어 시큐어코딩 관련 정보보안 전문기업들은 올해 시큐어코딩 시장 확대에 큰 기대를 걸고 있다.
이 외에도 개인정보보호 인증제(PIPL)의 본격 시행 등이 있다. 이와 같이 올해에는 컴플라이언스 이슈가 더욱 강화되고 있다. 이러한 상황에서 보안관리자들이 이 모든 것을 적절하게 대응하기는 쉽지 않다. [김태형 기자(boan@boannews.com)] <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
|
 |
특히 보안담당자들이 주목해야할 것은 기업의 정보보호 인증제도 중 하나였던 ‘정보보호 안전진단제도’가 지난해 2월 개정된 정보통신망법이 본격 시행됨 따라 올해부터는 ISMS 인증으로 대체·시행된다는 점이다. 이에 지난해까지 정보보호 안전진단 인증을 받은 기업들은 올해 2월 18일까지 ISMS 인증을 다시 획득·유지해야 한다.