[지디넷코리아]
정부가 관할하는 정보보안과 정보보호 분야 통합 인증이 ISMS-P다. 2018년 만들어졌다. 이 통합인증은 과기정통부의 정보보호 관리체계(ISMS, 2001년 제도 도입)와 개보위의 개인정보보호 관리체계(PIMS, 2011년 제도 도입) 인증을 합친 것(2018년)으로, 한국인터넷진흥원(KISA)이 인증을 주관하고 있다. ISMS-P 체크리스트는 102개(ISMS 88개+PIMS 22개)다.
이 통합인증은 기업 및 기관이 구축·운영 중인 정보보호 및 개인정보보호 체계가 적합한지 당국이 검증하는 것으로, 개인정보위와 과기정통부는 지난해 12월 6일 인증제 개선 관계부처 대책회의를 개최하는 등 인증제도의 합리적 운영을 위한 협력을 지속해 왔다.
통합인증과 관련, 개보위와 과기정통부는 12일 송경희 개보위 위원장과 류제명 과기정통부 2차관이 참석한 가운데 서울 중구 소재 HJ 비즈니스센터에서 인증기관(한국인터넷진흥원장과 금융보안원장)과 심사기관, 인증심사원 등이 참여한 ‘정보보호 및 개인정보보호 관리체계 인증제 실효성 강화를 위한 현장 간담회’를 개최했다.
KISA 등 인증기관은 인증에 관한 업무를 수행할 수 있게 관련 법에 따라 지정한 기관으로, 인증서 발급과 인증 품질관리, 인증위원회 운영 등의 일을 수행한다.
또 심사기관은 인증심사 업무를 수행할 수 있게 관련 법에 따라 지정한 곳으로, 신청 기업 및 기관에 대한 심사업무를 수행한다. 정보통신기술협회, 정보통신진흥협회, 개인정보보호협회, 차세대정보보안인증원, 한국경영인증원 등 5곳이 심사기관이다.
기업 및 기관은 ISMS-P 통합인증을 통해 보유한 정보자산을 식별하고 개인정보 처리 흐름을 체계화하며 잠재적인 보안위험을 관리하는 등 관리체계를 고도화한다. 하지만최근 ISMS-P 통합 인증을 받은 통신사, 대형 플랫폼 사업자 등에서 보안 및 개인정보 유출사고가 발생함에 따라, 인증제도 실효성을 강화하기 위한 종합 대책 마련이 필요한 상황이다.


이에 개인정보위와 과기정통부는 ISMS·ISMS-P 인증제도가 실질적으로 작동할 수 있도록 ‘정보보호 및 개인정보보호 인증제 실효성 강화방안’을 수립, 발표할 계획이다. 이에 앞서 현장의 의견을 청취하기 위해 이번에 논의 장을 마련했다.
이날 간담회에서는 정부가 마련 중인 인증제도의 실효성 강화를 위한 정책 방향을 소개했다. 주요 내용으로 ▲인증 의무대상 확대 및 인증기준 강화 ▲예비심사 신설과 기술심사·현장실증형 심사 적용 등 심사방식 개편 ▲유출사고 방지를 위한 인증 사후관리 강화 ▲심사기관 감독 강화 및 심사원 전문성 제고를 통한 심사 품질 향상 등이 제시됐다.
개보위는 “참석자들이 이 같은 실효성 강화 방향에 대해 인공지능 발전과 해킹 기술 고도화 등 급변하는 기술 환경에 대응하기 위한 시의적절한 접근이라고 평가했다”면서 “나아가 기술심사 강화 등의 개선책이 현장에서 실질적으로 작동하기 위한 세부 고려사항에 대해 다양한 의견을 제시했다. 특히 심사의 일관성을 확보하기 위해 기술심사 가이드 마련 등 제도적 보완이 필요하며, 전반적인 심사 품질 강화를 위해 심사기관에 대한 적극적인 모니터링과 심사원의 심사 참여 요건 개선 등의 정책이 필요하다고 제언했다”고 밝혔다.
개인정보위와 과기정통부는 이번 간담회에서 논의된 현장 의견을 적극 반영해 ‘정보보호 및 개인정보보호 인증제 실효성 강화방안’을 발표할 예정이다.
송경희 개인정보위 위원장은 “ISMS-P 인증제도는 기업이 운영 중인 개인정보 보호 관리체계를 선제적으로 점검함으로써 개인정보 침해를 예방할 수 있는 중요한 사전 예방 정책 중 하나”라며 “현장의 목소리를 적극 반영해 인증제도가 우리 사회 전반의 데이터 보호 수준을 실질적으로 높이는 인프라로 기능할 수 있도록 지속적으로 개선해 나가겠다”고 말했다.
이어 송 위원장은 행사후 본인 페이스북에 “인증기관, 심사기관, 인증심사원 등 실제 제도를 운영하고 심사를 수행하는 분들이 한자리에 모여 현장에서 느끼는 어려움과 정부가 검토중인 제도 개선 방향에 대한 의견을 직접 들을 수 있는 매우 의미있는 자리였다”면서 “특히 인증심사원 역량과 전문성 강화, 심사방식과 절차 개편, 심사원 배정 방식 개선 등 현장에서 실제 심사를 수행하며 느낀 점과 제도 개선에 대해 다양한 의견을 활발히 제시, 경험에서 나온 이야기들이라 더욱 인상 깊었다”고 말했다.
이어 인증을 받은 기업들이 잇달아 개인정보 유출 사고를 일으켜 인증제 실효성에 대한 우려가 제기, 마음이 무겁다면서 “그럼에도 ISMS-P 인증제는 기업이 운영중인 개인정보보호 관리체계를 선제적으로 점검할 수 있는 사전 예방수단”이라면서 “다만 특정 시점의 상태를 한번의 심사로 판단하는 ‘스냅샷’ 방식 심사의 한계가 있는 만큼, 제도가 현장장에서 실질적으로 작동할 수 있게 지속적으로 개선해나가겠다”고 덧붙였다.
류제명 과기정통부 제2차관은 “최근 사이버 공격이 나날이 고도화되면서 침해사고 가능성과 이로 인한 파급효과가 더욱 높아지고 있다”면서 “ISMS-P 인증제도 개선을 통해 기업의 경각심과 보안 수준을 한 단계 높여, 침해사고로 인한 국민들의 피해를 방지하고 그로 인한 피해를 최소화할 수 있는 기반을 만들겠다”고 강조했다.
