(사진=과학기술정보통신부)
잇따른 해킹·보안 사고에 정부가 정보보호·개인정보보호 관리체계를 개편한다. 통신사를 비롯한 플랫폼 기업들은 인증을 의무화하고, 사고 발생 시 인증을 취소하는 등 제도의 실효성을 확보한다는 방침이다.
과학기술정보통신부와 개인정보보호위원회는 지난 6일 ISMS 인증제도 개선방안을 발표했다.
ISMS(정보보호관리체계 인증)와 ISMS-P(정보보호 및 개인정보보호 관리체계 인증)는 기업·기관이 구축·운영 중인 정보보호·개인정보보호 체계가 적합한지 정부가 인증하는 제도다.
이번 개편으로 ISMS-P 제도가 의무화된다. 파급력이 큰 공공시스템, 통신사, 온라인 플랫폼 등이 대상으로, 이들이 평상시에도 개인정보 안전관리체계를 구축하도록 한다는 취지다. 특히 이들 기업에게는 강화된 인증기준을 마련해 적용한다.
심사 방식도 전면 개편된다. 먼저 예비심사에서 핵심 통제항목을 먼저 검증해 미충족 시 본심사 자체가 불가능하도록 했으며, 최초 인증은 신청이 반려되고 사후심사는 인증 효력이 취소될 수 있다.
유출 사고가 발생한 기업의 경우 사후심사 인력과 기간을 2배로 확대해 사고원인과 재발방지 조치를 집중 점검한다. 또 분야별 인증위원회 운영, 심사원 대상 인공지능(AI) 신기술 교육 확대 등의 조치를 거쳐 전문성을 높인다.
사후관리 체계도 한층 강화한다. 인증기업의 유출사고 발생 시 적시에 특별 사후심사를 실시해 인증기준 충족 여부를 확인하고, 만약 사후심사에서 중대 결함이 발견되면 인증위원회 심의·의결을 거쳐 인증 취소도 이뤄진다.
이미 발생한 사고에 대해서는 이달부터 현장점검을 실시한다. 쿠팡 등 현재 조사가 진행 중인 기업의 경우 과기정통부 민관합동조사단·개인정보위 조사와 연계해 한국인터넷진흥원(KISA) 주관 아래 인증기준 적합성 등을 점검할 예정이다.
과기부·개보위는 지난달부터 운영 중인 과기정통부·개인정보위·인증기관 합동 제도개선 TF를 통해 개선방안을 최종 확정하고, 특별 사후점검 결과 등을 반영해 2026년 1분기 중 관련 고시를 개정해 단계적으로 시행할 예정이다.