정보보호 ISMS-P 인증 전면 강화…중대결함 시 인증취소도

사고기업 사후심사 인력·기간 2배 확대 최근 쿠팡 등 정보보호 관리체계(ISMS)와 정보보호·개인정보보호 관리체계(ISMS-P) 인증기업에서 개인정보 유출 사고가 반복되면서 정부가 두 인증제도의 사후관리와 심사 기준을 대폭 강화하기로 했다. 특히 인증기업에서 유출 사고가 발생하면 특별 사후심사를 실시하고, 인증기준에 중대한 결함이 확인되면 인증을 취소하는 방안도 추진된다. 개인정보보호위원회와 과학기술정보통신부는 6일 관계부처 대책회의를 열고 이런 내용의 인증제 개선 방안을 논의했다고 밝혔다. 개편안에 따르면 기존에 자율 신청 방식으로 운영돼 온 ISMS-P 인증을 공공·민간 주요 개인정보처리시스템에 의무화해 상시 안전관리체계를 갖추도록 할 계획이다. 주요 공공시스템, 통신사, 대규모 플랫폼 등이 대상이다. 특히 국민 파급력이 큰 기업에는 강화된 인증기준을 새로 마련해 적용한다. 관련된 개인정보보호법과 정보통신망법 개정도 조속히 추진한다. 심사 방식도 바뀐다. 예비심사 단계에서 핵심 항목을 먼저 검증하고, 기술심사와 현장실증 심사 역시 강화한다. 분야별 인증위원회를 운영하고 심사원에 대한 인공지능(AI) 등 신기술 교육을 확대해 전문성도 높인다. 사후관리는 더 엄격해진다. 인증기업에서 유출 사고가 발생하면 즉시 특별 사후심사를 해 인증기준 충족 여부를 확인하고, 중대한 결함이 드러날 경우 인증위원회 심의·의결을 거쳐 인증을 취소할 수 있도록 한다. 지금까지 ISMS-P 인증을 받았다가 취소된 기업은 없다. 만일 쿠팡의 인증이 취소될 경우 최초 사례가 된다. 사고기업에는 사후심사 인력과 기간을 기존보다 두 배로 투입해 사고원인과 재발 방지 조치를 집중 점검한다. 개인정보위는 유출 사고가 발생한 인증기업에 대해 이달부터 현장점검을 실시한다. 특히 쿠팡 등 현재 조사가 진행 중인 기업은 과기정통부 민관합동조사단 및 개인정보위 조사와 연계해 한국인터넷진흥원(KISA)과 금융보안원이 인증기준 적합성 등을 점검한다. 과기정통부는 지난 10월 발표한 ‘정보보호 종합대책’ 후속 조치로 900여개 ISMS 인증기업에 인터넷 접점 보안 취약점 긴급 자체점검을 요청했다. 두 기관은 현재 운영 중인 과기정통부·개인정보위·인증기관 합동 제도개선 태스크포스(TF)를 통해 개선방안을 확정한 뒤, 특별 사후점검 결과 등을 반영해 내년 1분기 중 관련 고시를 개정하고 단계적으로 시행할 방침이다.