허술했던 ISMS-P 인증 '의무화' 하고 기준 강화…쿠팡은 특별점검

과기부-개인정보위, 6일 대책회의 개최
심사 강화하고 심사원 전문성 강화
사후심사 과정 거쳐 인증 취소도 고려

앞으로 통신사, 대형 온라인 플랫폼은 개인정보 보호 관리 체계를 갖추고 있음을 보여주는 ISMS-P 인증이 의무화 된다. 특히 국민 파급력이 큰 기업에 대해선 강화된 인증기준을 마련해 적용키로 했다. ISMS-P 인증을 보유한 쿠팡에는 인증기준 적합성을 알아보기 위한 현장점검을 실시한다.

송경희 개인정보보호위원회 위원장이 6일 오후 정부서울청사에서 개최된 ISMS-P 인증 개선 관련 회의에서 모두발언을 하고 있다. 개인정보위 제공

과학기술정보통신부와 개인정보보호위원회는 6일 관계부처 대책회의를 열고 인증 실효성 강화를 위한 제도의 전면적 개편 방안을 추진한다고 밝혔다. 최근 ISMS-P 인증기업에서 해킹이나 대규모 개인정보 유출 사고가 반복적으로 발생함에 따라 이 같은 조치를 취하게 됐다.

먼저 자율적으로 운영되던 ISMS-P 인증을 공공·민간 주요 개인정보처리시스템에 대해 의무화해 상시적인 안전 체계를 구축키로 했다. 주민등록번호 등 주요 개인정보를 대규모로 다루는 주요 공공시스템과 통신사, 온라인 플랫폼 등이 대상이 될 것으로 보인다.

특히 국민 파급력이 큰 기업에 대해 강화된 인증기준을 마련해 적용한다. 과기정통부와 개인정보위는 이를 위한 개인정보보호법 및 정보통신망법 개정을 추진할 예정이다.

심사방식도 전면 강화한다. 예비심사 단계에서 핵심항목을 선검증하고, 기술심사 및 현장실증 심사를 강화하도록 개선한다. 분야별 인증위원회 운영 및 심사원 대상 인공지능(AI) 등 신기술 교육을 통해 인증의 전문성을 높인다.

아울러 사후관리를 대폭 강화한다. 인증기업의 유출사고 발생 시 적시에 특별 사후심사를 실시해 인증기준 충족 여부를 확인할 수 있도록 한다. 사후심사 과정에서 인증기준의 중대 결함이 발견되는 경우 인증위원회 심의·의결을 거쳐 인증을 취소하기로 했다. 사고기업에 대해선 사후심사 투입 인력·기간을 2배로 확대하고, 사고원인 및 재발방지 조치를 집중 점검한다.

개인정보위는 유출사고가 발생한 인증기업에 대해 이달부터 현장점검을 실시하기로 했다. 특히 쿠팡 등 현재 조사가 진행 중인 기업의 경우 민관합동조사단·개인정보위 조사와 연계해 인증기관 주관으로 인증기준 적합성에 대해 점검한다. 인증기관은 인증심사 및 인증서 발급 등 인증 관련 업무를 수행하는 한국인터넷진흥원(KISA)과 금융보안원이다.

김보경 기자 bkly477@asiae.co.kr