ISMS·ISMS-P 제도 개선 간담회

의무 인증대상 확대 등 개편 논의

"인증 제도의 신뢰성 회복을 위해선 특정 시점에 한 번의 심사로 상태를 판단하는 스냅샷 방식의 한계를 극복해야 합니다."

송경희 개인정보보호위원회 위원장은 12일 서울 광화문 HJ비즈니스센터에서 열린 '정보보호 및 개인정보보호 관리체계(ISMS·ISMS-P) 제도 개선 간담회'에서 "심사 시점에 발급받은 인증서로 만족하는 것이 아니라 일정 수준 이상의 보호 조치가 지속해서 유지될 수 있는 구조를 만들어야 한다"며 이같이 말했다.

류제명 과학기술정보통신부 제2차관(왼쪽)과 송경희 개인정보보호위원회 위원장이 12일 서울 광화문 HJ비즈니스센터에서 열린 '정보보호 및 개인정보보호 관리체계(ISMS·ISMS-P) 제도 개선 간담회'에서 발언하고 있다.

그러면서 "인증 과정에서 예비 심사를 도입해 핵심 인증 기준에 대한 기업의 준비 수준을 미리 점검하고, 실제 시스템과 현장 추진 심사를 강화하겠다"고 했다. 인증서를 취득한 기업이 정보 보호 노력을 계속 이어가도록 사후 관리 체계도 고도화할 계획이다.

ISMS·ISMS-P 인증은 기업, 기관이 구축·운영 중인 정보 보호 및 개인정보 보호 체계가 적합한지 인증하는 제도다. 기업, 기관은 ISMS·ISMS-P 인증으로 보유 정보자산을 식별하고, 개인정보 처리 흐름을 체계화하며 잠재적인 보안 위험을 관리한다. 그러나 최근 해당 인증을 받은 통신사, 대형 플랫폼 등에서 개인정보 유출 사고가 잇따르면서 인증제도의 실효성 강화를 위한 종합 대책 마련이 촉구됐다.

이에 정부는 현장 의견을 반영해 '정보보호 및 개인정보보호 인증제 실효성 강화방안'을 수립·발표하기로 했다. 이날 간담회에는 송 위원장과 류제명 과기정통부 제2차관을 비롯해 인증기관인 한국인터넷진흥원과 금융보안원, 심사기관인 정보통신기술협회·정보통신진흥협회·개인정보보호협회·차세대정보보안인증원·한국경영인증원, 그리고 인증심사원, 인증기관 추천 전문가 등 20여명이 자리했다.

정부는 인증제 실효성 강화를 위한 정책 방향을 소개했다. 구체적으로 ▲인증 의무 대상 확대·인증기준 강화 ▲예비심사 신설과 기술심사·현장실증형 심사 적용 등 심사방식 개편 ▲유출 사고 방지를 위한 인증 사후관리 강화 ▲심사기관 감독 강화 및 심사원 전문성 제고를 통한 심사 품질 향상 등을 언급했다.

참석자들은 정책 방향에 대해 인공지능(AI) 발전과 해킹 기술 고도화 등 급변하는 기술 환경에 대응하기 위한 시의적절한 접근이라고 평가했다. 또 기술심사 강화 등의 개선책이 현장에서 실질적으로 작동할 수 있도록 세부 고려사항에 대한 의견을 전했다. 특히 심사 일관성을 확보하기 위해 기술심사 가이드 마련 등 제도적 보완이 필요하며 전반적인 심사 품질 강화를 위해 심사기관에 대한 적극적인 모니터링과 심사원의 심사 참여 요건 개선 등의 정책이 필요하다고 제언했다.

류 차관은 "크고 작은 보안 사고가 빈번하게 발생하면서 인증제도의 실효성에 대한 근본적인 문제 제기가 나오고 있다"며 "(건강에 비유해) 건강검진을 통해 인증제도가 건강을 지키는 역할을 충실히 하는지 돌아보려고 한다"고 말했다. 이어 "인증제도 실효성 확보를 위한 정보통신망법 개정안이 국회 본회의를 통과할 것"이라며 "이번 계기를 통해 우리나라 정보 보호 수준이 한 단계 더 발전할 수 있는 계기가 되길 바란다"고 전했다.

