[지디넷코리아]
정부가 정보보호(보안) 분야 대표 인증인 ISMS-P를 오는 2027년 7월부터 의무화한다. 작년에 통신사와 플랫폼 기업, 카드사에서 잇달은 해킹 사건이 발생, 개인정보보호에 대한 국민 불안감이 커진데 대한 대응책이다.
ISMS-P(Information Security Management system–Personal information protection)인증은 정보보호 관리체계(ISMS)와 개인정보보호 관리체계(PIMS)를 통합한 인증으로, 2019년 1월부터 시행됐다. 정보자산 보호(정보보안) 뿐 아니라 개인정보 보호법 준수까지 충족해야 인증을 받을 수 있다. 인증 유효기간은 3년으로 그동안 의무화는 아니였다. 작년 11월 중순 현재 ISMS-P 인증을 받은 곳은 1217개다.
개인정보위원회(개보위) 고낙준 과장은 13일 송경희 개보위원장이 참석한 가운데 열린 ‘공공분야 개인정보보호 현장간담회’에서 ISMS-P 실효성을 강화한다면서 “중요 개인정보처리자를 대상으로 ISMS-P 인증 의무화를 2027년 7월부터 시행할 예정”이라고 밝혔다. 그동안 ISMS-P 인증 의무화 정부와 국회 등에서 여러차례 얘기가 나왔지만, 개보위가 그 시기를 공개한 것은 이번이 처음이다.
이를 위해 개보위는 올 상반기중 관련 하위법령 정비를 마칠 방침이다. 의무화 대상은 매출액, 개인정보 보유 규모 등을 고려해 선정한다. 공공시스템운영기관과 주요 플랫폼기업들이 대상이 될 전망이다. 이들 의무화 대상 기업과 기관은 과징금 경감을 제외하고, 미 획득시 과태료를 신설, 3천만원을 부과할 예정이다.
개보위는 ISMS-P 인증 의무화와 함께 예비심사 도입과 현장실사 강화 등의 인증 방식 개선도 추진한다. 또 보안 사고와 직결하는 항목인 패치 관리와 취약점 점검 부문에서 기준 미달시 인증심사를 중단, 인증 부여를 아예 안할 계획이다. 또 사고기업 대상 특별점검 실시와 중대 및 반복적 법 위반시 인증취소 등의 사후 관리도 강화한다. 특별점검 항목은 비밀번호 관리, 암호와, 로그 및 접속기록, 사고대응 및 복구 노력 등이다.
한편 이날 현장간담회에 참석한 보건 분야 공공기관 담당자들은 개보위의 ISMS-P 인증 의무화에 따른 각 기관의 비용 문제와 부족한 인력 문제를 호소, 대책 마련을 요청했다.
