종합병원, 대학교도 ISMS 의무 인증 대상…미취득시 과태료 최대 3천만원

[아시아경제 박소연 기자]앞으로 연매출 1500억원 이상인 종합병원, 재학생 1만명 이상의 대학교 등도 정보보호 관리체계(ISMS) 인증을 의무적으로 받아야 한다. ISMS 미취득자에 대한 과태료 상한도 현행 1000만원에서 3000만원으로 높아진다.

미래창조과학부(이하 미래부)는 '정보통신망 이용촉진 및 정보보호 등에 관한 법률'(이하 정보통신망법)이 오는 2일부터 시행된다고 1일 밝혔다.

정부는 그동안 정보통신망법에 따라 민감한 정보를 다량 다루는 기관이나 다수 국민이 이용하는 정보통신서비스 제공 업체 등은 ISMS 인증을 받도록 지정했다.

ISMS는 기업의 정보보호를 위한 일련의 활동 등이 객관적인 인증 심사 기준에 적합한지를 한국인터넷진흥원, 금융보안원, 한국정보통신진흥협회, 한국정보통신기술협회 등 국가 공인의 인증 기관으로부터 평가심사를 받아 보증받는 제도다.

이번 개정법 시행으로 인해 정보보호 관리체계 인증 신규 의무대상으로 세입이 1500억 이상인 의료법상 상급종합병원 및 고등교육법상 재학생수 1만명 이상인 학교가 추가된다.

의무대상을 기존 영리목적의 정보통신서비스 제공자에 한정하지 않고, 의료·교육 등 민감정보를 다루는 비영리기관으로 확대했다.

전자금융거래법에 따른 금융회사는 규제개혁위원회에서 중복규제 등의 우려를 이유로 인증 의무대상에서 제외하도록 개선권고 함에 따라 인증 의무대상에서 제외됐다.

정보보호 경영시스템 인증, 개인정보보호 관리체계 인증 및 주요정보통신기반시설 취약점의 점검 분석·평가 등을 받은 경우, 정보보호 관리체계 인증 취득시, ISMS 심사항목 일부를 생략할 수 있도록 해 기업 부담을 완화했다.

또한 정보보호 관리체계 인증 미취득자에 대한 과태료 부과 상한을 현행 1000만원 이하에서 3000만원 이하로 상향했다.

송정수 미래부 정보보호정책관은 “이번 개정 정보통신망법 시행을 통해 인증 의무대상이 의료·교육 등 비영리기관으로 확대됨에 따라 정보보호 사각지대 해소와 인증 의무 위반자에 대한 행정처분 강화로 제도의 실효성이 확보되고, ISMS 심사항목 생략으로 기업의 부담을 줄일 수 있을 것”이라고 말했다.

박소연 기자 muse@asiae.co.kr