과학기술정보통신부와 개인정보보호위원회가 정보보호관리체계(ISMS) 및 정보보호·개인정보보호 관리체계(ISMS-P) 인증의 실효성을 강화하기 위한 전면 개편에 나선다. 

 송경희 개인정보보호위원회 위원장이 6일 오후 정부서울청사에서 개최된 ISMS-P 인증 개선 관련 회의에서 모두발언을 하고 있다/사진=개인정보위 제공

최근 인증기업에서 연이어 발생한 해킹 및 대규모 개인정보 유출 사고를 계기로, 두 기관은 6일 오후 개인정보보호위원장 주재로 관계부처 대책회의를 열고 제도 개선 방안을 논의했다고 밝혔다. 

회의에는 과기정통부 제2차관, 한국인터넷진흥원(KISA) 원장 등이 참석했다.

정부는 먼저 기존에 자율 운영되던 ISMS-P 인증을 공공 및 민간의 주요 개인정보처리시스템에 대해 의무화하기로 했다. 

주요 공공시스템, 통신사, 대형 온라인 플랫폼 등 국민 영향력이 큰 분야가 대상이며, 대규모 기업에는 한층 강화된 인증기준이 신규 적용된다. 이를 위해 개인정보보호법과 정보통신망법 개정이 추진될 예정이다.

심사 체계도 크게 손질된다. 예비심사 단계에서 핵심항목을 선(先) 검증하는 방식으로 전환하고, 기술심사와 현장실증 심사를 강화해 인증 과정의 실효성을 높인다. 

또한, 분야별 인증위원회 운영과 심사원 대상 인공지능(AI) 등 신기술 교육을 확대해 심사의 전문성을 확보한다는 방침이다.

 자료 제공=개인정보위

사후관리 역시 대폭 강화된다. 인증기업에서 유출사고가 발생하면 즉시 특별 사후심사를 실시해 인증기준 충족 여부를 확인한다. 사후심사 과정에서 중대한 결함이 발견될 경우 인증위원회 심의를 거쳐 인증이 취소될 수 있다. 

사고기업에 대해서는 사후심사 투입 인력과 기간을 두 배로 늘리고, 사고 원인과 재발방지 조치에 대한 집중 점검을 진행한다.

개인정보위는 이달부터 유출사고가 발생한 인증기업을 대상으로 현장점검을 실시한다. 특히 쿠팡 등 현재 조사가 진행 중인 기업은 과기정통부 민관합동조사단 및 개인정보위 조사와 연계해 인증기관이 인증기준 적합성을 직접 확인할 예정이다.

과기정통부 또한 지난 10월 발표한 ‘정보보호 종합대책’의 후속 조치로, 통신사·온라인쇼핑몰 등 약 900개 ISMS 인증기업에 대해 모든 인터넷 접점의 보안 취약점을 점검하는 긴급 자체 점검을 요청했으며, 내년 초부터 기업 자체 점검 결과에 대한 현장 검증을 실시할 계획이다.

두 기관은 현재 운영 중인 과기정통부·개인정보위·인증기관 합동 제도개선 태스크포스(TF)를 통해 세부 개선안을 확정하고, 특별 사후점검 결과 등을 반영해 2026년 1분기 중 관련 고시를 개정해 단계적으로 시행할 예정이다.

[경제엔미디어=김재호 기자]