▲송경희 개인정보보호위원장이 6일 정부서울청사에서 열린 ISMS-P 인증 개선 관련 회의에서 발언을 하고 있다. (사진=연합)
최근 쿠팡 등 기업들의 개인정보 유출 사태를 계기로 정부의 정보보호 관리체계(ISMS)와 정보보호·개인정보보호 관리체계(ISMS-P) 인증제도가 허술하다는 비판이 제기되면서 정부가 두 제도를 전면 개선하기로 했다.
인증기업에서 정보유출 사태가 발생하면 특별 사후심사를 실시하고, 인증기준에 중대한 결함이 확인되면 인증을 취소한다.
개인정보보호위원회와 과학기술정보통신부는 6일 관계부처 대책회의를 개최하고, 이러한 내용의 인증제 개선 방안을 논의했다.
ISMS-P는 과학기술정보통신부와 개인정보보호위원회가 공동 운영하는 국내 유일의 정보보호·개인정보보호 관리체계 인증 제도다.
정부는 기존 자율신청 방식으로 운영돼 온 ISMS-P 인증을 공공·민간 주요 개인정보처리시스템에 의무화해 상시적인 안전관리체계를 갖추도록 할 계획이다.
의무 대상은 주요 공공시스템, 통신사, 대규모 플랫폼 등이다. 국민 파급력이 큰 기업에는 강화된 인증기준을 새로 마련해 적용한다.
심사 방식도 개선한다. 예비심사 단계에서 핵심 항목을 먼저 검증하고, 기술심사와 현장실증 심사도 강화한다.
사후관리도 강화한다. 인증기업에서 유출 사고가 발생하면 즉시 특별 사후심사를 실시해 인증기준 충족 여부를 확인한다. 중대한 결함이 드러나면 인증위원회 심의, 의결을 거쳐 인증을 취소할 수 있다.
지금까지 ISMS-P 인증을 받았다가 취소된 기업은 없다. 그러나 쿠팡은 2021년과 2024년 두 차례 ISMS-P 인증을 받았지만, 이번 정보유출 사고를 포함해 4건의 개인정보 유출이 발생하면서 제도 실효성 논란이 제기됐다.
사고기업에는 사후심사 인력과 기간을 기존보다 두 배로 투입해 사고원인, 재발 방지 조치 등을 집중 점검한다.
개인정보위는 정보유출 사고가 발생한 인증기업을 대상으로 이달부터 현장점검을 실시한다.
쿠팡처럼 현재 조사가 진행 중인 기업은 과기정통부 민관합동조사단과 개인정보위 조사와 연계해 한국인터넷진흥원(KISA)과 금융보안원이 인증기준 적합성 등을 점검한다.
두 기관은 현재 운영 중인 과기정통부·개인정보위·인증기관 합동 제도개선 태스크포스(TF)를 통해 개선방안을 확정하고, 특별 사후점검 결과 등을 반영해 내년 1분기 중 관련 고시를 개정한다. 이후 해당 내용을 단계적으로 시행할 방침이다.
;){kind=link}