과학기술정보통신부가 정보보호 및 개인정보보호 관리체계 ISMS·ISMS-P 인증의 실효성을 높이기 위해 의무 인증 대상을 확대하고 심사 방식을 서면 방식에서 현장 중심으로 전환한다. 과기정통부와 개인정보보호위원회는 12일 이 같은 내용을 담은 ‘정보보호 및 개인정보보호 관리체계 인증제 실효성 강화방안’을 발표했다. ISMS와 ISMS-P 인증은 국제표준을 기반으로 기업의 관리체계를 점검하는 제도다. 하지만 최근 인증을 받은 기업들에서 연이은 사고가 발생하면서 실효성에 대한 우려가 커졌다. 이에 정부는 인증 대상과 기준, 심사 방식, 사후관리, 심사품질 등 제도 전반을 개선할 방침이다. 그동안 개인정보보호 관리체계 인증 취득은 기업과 기관이 자율적으로 결정했지만, 주요 개인정보처리시스템을 보유한 기업들의 인증을 의무화한다. 주요 공공시스템운영기관, 이동통신사업자, 본인확인기관, 대규모 개인정보처리자 등에 단계적으로 의무화된다. 또 위험 기반의 차등화된 관리체계를 위해 강화인증을 신설, 인증 체계를 강화인증, 표준인증, 간편인증 3단계로 재편한다. 유출 파급력이 큰 강화인증군에 기존보다 높은 기준을 적용한다. 인증심사 방식은 서면 중심에서 현장 중심으로 전환한다. 본심사 전 예비심사 단계에서 확인하는 인증기준은 사전에 점검하고, 본심사 진행 여부를 결정하도록 해 미흡 기업에 대한 인증은 사전에 차단하고, 취약점진단, 모의침투 같은 기술심사 방식을 적용한다. 심사 이후에도 보안관리가 유지될 수 있도록 상시 점검을 강화한다. 중대 침해사고 발생 기업 역시 엄격한 사후관리 대상이 된다. 상시 점검체계를 확립해 안전한 관리체계의 유지 여부를 점검하고, 주기별 점검양식을 표준화해 사후심사에 활용한다. 부실심사를 방지하기 위한 심사원 전문성 강화 내용도 담겼다. 매 인증심사 종료 후 심사기관에 대한 신뢰도 조사를 실시하고, 결과를 차년도 인증심사 배분에 반영해 심사기관이 스스로 품질을 관리할 수 있도록 한다. 심사원의 기술심사 검증 능력을 위한 실무교육을 강화하고, 인공지능(AI), 클라우드 등 전문분야별 특화 심사가 가능하도록 심사원별 전문분야 정보를 활용할 계획이다. 과기정통부와 개인정보위는 인증 사후관리는 올해 하반기부터, ISMS-P 의무화 등은 내년부터 시행될 수 있도록 시행령 개정 등을 추진한다. 송경희 개인정보위원장은 “사이버 공격이 고도화되는 상황에서 인증제도를 통해 피해를 사전에 예방할 수 있도록 근본적 개편이 필요하다”며 “실효성 강화방안을 시작으로 인증제도가 사전예방의 핵심수단이 될 수 있도록 개선하겠다”고 말했다.