김성태 의원 "ISMS 확대시행…심사체계 투명성 확보돼야"

[아시아경제 박소연 기자]최근 개인정보에 대한 대국민적 관심이 그 어느 때 보다 높은 가운데 올해 12월 확대 시행을 앞둔 개인정보보호인증체계(ISMS)의 확대 시행을 앞두고 인증서비스의 심사체계 투명성 및 심사위원들의 역량향상방안 등 종합적인 점검 필요성이 제기됐다.

새누리당 김성태 의원(미래창조과학방송통신위원회)이 미래부와 한국인터넷진흥원으로부터 제출받은 자료에 따르면, 현재 ISMS 인증심사원 1307명 중 44%에 달하는 577명은 단 한 차례도 심사에 참여하지 않은 것으로 나타났다.

김 의원은 “정보통신망법 제47조제2항에 따라 ISMS가 2013년 의무시행 이후 대상기업이 지속적으로 확대되며 국가에서 공식적으로 인정하는 개인정보보호 인증의 중요성이 대두되고 있지만, 실제 이를 심사하는 심사원들은 실제 심사를 하지 않는 인원이 대다수” 라면서 “심사에 참여하지 않는 심사원들의 재교육 및 역량강화에 국가 예산에 투입되는 만큼, 자격유지를 위한 요건으로 의무심사횟수를 부여해야 한다”고 강조했다.

미래부에서 ISMS 인증심사원 자격요건으로 제시한 기준들은 기술사, 기사, 산업기사 소지자 및 관련 학위 취득자 등을 자격요건으로 제시하고 있다. 심사를 받는 업계에서는 실무경험이 부족한 상태로 배정을 받아 나오는 경우가 대부분이고 연관된 경력이나 학력이 높다고 인증심사를 하는데 있어서 적합하다고 하기에는 어려움이 있으며, 심사에 대한 체계적인 교육과 시험을 이수한 심사원들이 심사를 진행했을 때 인증심사 자체에 대한 질적 향상이 이루어질 질 수 있을 것이라 지적했다.

미래부에서는 이를 보완하기 위해 ISMS 인증심사원 자격검정 심사를 2015년부터 시행중에 있으나 한해에 선발되는 인원은 50여명으로 부족한 인력을 보충하기에는 극히 제한적으로 나타나, 자격검정심사의 확대 필요성이 제기됐다.

현재 ISMS를 심사를 담당하고 있는 실무기관은 한국인터넷진흥원, 한국정보통신진흥협회(KAIT), 한국정보통신기술협회(TTA), 금융보안원 이상 4곳으로 지정돼 있으며, 대상기관이 해당기관에 ISMS인증심사 신청을 하면, 해당기관(팀장급)과 선발된 인증심사원이 기업에 나가 인증심사를 진행하는 형태로 돼있다.

김 의원은 “정보통신망법 제47조제4항에 따르면 인증심사기관의 인증 유효기간을 3년으로 명시하고는 있지만 많은 기관에서 심사인증기관을 모집한다는 사실조차 모르고 있다” 면서 미래부가 심사기관을 일방적으로 지정하는 현행 방식을 지적한 뒤 “법에 의해서 의무적으로 심사를 받으며 발생하는 심사비용이 해당 협회 및 기관으로 들어가는 만큼 선정과정에 있어 투명한 절차가 필요하다”고 말했다.

김 의원은 이와 함께 “한국정보통신진흥협회(KAIT)의 경우 ‘17년 4월 인증 유효기간인 3년을 채우는 만큼, 다음 심사기관을 선정하는데 있어 미래부가 자격요건 및 심사일정 등을 홍보하여 많은 기업들이 공개적으로 입찰할 수 있는 기회를 제공해야 할 것”이라고 지적했다.

현재 인증심사대상 기업들이 ISMS 인증심사를 받으면 기업의 매출액 및 규모에 따라 적게는 2~3일 많게는 2주정도의 심사기간이 선정되며 이에따른 수수료를 지급한다.

ISMS는 정보통신망법 제47조에 따라 의무적으로 시행되는 만큼 해당기간에 발생하는 수수료는 정부부처인 미래부에서 수령하여 심사에 참여했던 심사기관들에게 배분해야함에도 불구하고, 현재 심사인증수수료는 인증기관에서 받아 운영비로 사용되는 것으로 나타났다.

김 의원은 “국가법으로 정하여 의무적으로 시행하는 인증심사인 만큼 해당기간에 발생하는 수수료는 국고로 귀속되는 것이 순리” 라면서 “ISMS의 책임부처인 미래부에서 우선적으로 이를 환수한 뒤 심사기간 및 실적을 비교하여 배분해야 한다”며 심사인증수수료에 대한 투명성 강화를 주문했다.

김 의원은 마지막으로 “올해 6월 2일 ISMS의 의무대상 사업자에 매출 1500억 이상인 상급종합병원과 대학교 80곳이 추가됐고 부칙에 따라 올해 12월까지는 인증을 마쳐야 하는 상황” 이라면서 “기존의 기업과 공공기관과는 달리 학교는 각 학교 및 학과 홈페이지 그리고 학사관리시스템 등 학생들의 정보가 산재돼 있는데, 6개월 내에 모든 인증을 마칠 수 있는지 의문”이라고 말했다.

김 의원은 이어 “개인정보보호 인증대상이 확대돼야 하는 방향성은 공감하지만 정보보호관리체계(ISMS)의 투명성 및 심사위원 역량강화 마련 그리고 학교 및 병원의 특수성에 따른 심사체계 개선 방안 등 세부적인 심사방안을 고려해야 한다” 면서 “법이 통과되어 지켜져야 하는 만큼 학사관리시스템과 대표 홈페이지를 비롯한 인증을 실시하되 인증 이후 매년 진행되는 사후심사를 통해 그 범위를 확대하는 방안을 고려할 필요가 있다”고 말했다.

박소연 기자 muse@asiae.co.kr