정부가 무용론이 나오는 보안 및 개인정보보호 인증을 개선하기 위해 다섯 가지 대책을 내놨다.
우선 현재 자율적으로 운영하는 'ISMS-P 인증'을 의무화한다. 대상은 주요 공공시스템, 통신사, 대규모 플랫폼 등이다. 또 통신사, 대규모 플랫폼 사업자 등 국민 파급력이 큰 기업에 대해 강화된 인증기준을 마련, 적용한다. 뿐 만 아니라 심사방식을 전면 강화해 예비심사 단계에서 핵심항목을 선(先)검증하고, 기술심사 및 현장실증 심사를 강화한다.
분야별 인증위원회 운영 및 심사원 대상 AI 등 신기술 교육을 통해 인증 전문성도 높인다. 특히 사후관리를 대폭 강화, 인증기업의 유출사고 발생 시 적시에 특별 사후심사를 실시해 인증기준 충족 여부를 확인할 수 있게 하고, 사후심사 과정에서 인증기준의 중대 결함이 발견되는 경우 인증위원회 심의·의결을 거쳐 인증을 취소하며, 사고기업에 대해서는 사후심사 투입 인력·기간을 두 배로 확대하는 등 사고원인 및 재발방지 조치를 집중 점검하기로 했다.
정부는 6일 송경희 개인정보위 위원장 주재로 류제명 과기정통부 제2차관, 이상중 한국인터넷진흥원장 등이 참여한 가운데 이러한 5가지 정보보안 및 개인정보보호 관련 인증제 개선 방안을 마련, 추진한다고 밝혔다.
최근 정보보호 관리체계(ISMS) 인증과 정보보호 및 개인정보보호 관리체계(ISMS-P) (Personal Information & Information Security Management system) 인증을 획득했음에도 기업에서 해킹과 대규모 개인정보 유출사고가 반복 발생함에 따른 조치다. 현재 'ISMS' 인증은 법상 정보통신망서비스제공자(ISP)와 집적정보통신시설사업자(IDC) 등은 의무적으로 획득해야 하지만 'ISMS-P' 인증은 자율적으로 임의 신청, 취득하고 있다.
한편, 개인정보위는 유출사고가 발생한 인증기업에 대해 이달부터 현장점검을 실시한다. 특히 쿠팡 등 현재 조사가 진행 중인 기업의 경우, 과기정통부 민관합동조사단·개인정보위 조사와 연계해 인증기관 인증심사 및 인증서 발급 등 인증 관련 업무를 수행하는 KISA(법정 인증기관), 금융보안원(금융분야 인증·심사기관) 주관으로 인증기준 적합성 등을 점검한다.
또 과기정통부도 '정보보호 종합대책(10.22., 관계부처 합동)' 후속으로 통신, 온라인쇼핑몰 등 900여개 ISMS 인증기업들을 대상으로 모든 인터넷 접점에 대한 보안 취약점 점검 등 긴급 자체 점검을 실시하도록 요청했고, 기업들의 점검 결과에 대해 내년 초부터 현장 검증을 실시할 예정이다.
관련기사
- 쿠팡 대규모 개인정보유출로 ISMS-P 실효성 또 도마2025.12.01
- 사람인 ‘비긴즈’, 국내 데이팅 앱 최초 ISMS-P 획득2025.11.27
- 정부, ISMS-P 인증 1200여 기업 전수조사 착수2025.11.15
- 송경희 개보위원장 "ISMS-P 인증 쇄신...사전·예비 심사제 도입"2025.11.05
정부는 지난달부터 운영 중인 과기정통부·개인정보위·인증기관 합동 제도개선 태스크포스(TF)를 통해 개선방안을 최종 확정하고, 특별 사후점검 결과 등을 반영해 내년 1분기 중 관련 고시를 개정,
단계적으로 시행할 계획이다.
