강화·표준·간편 3단계 체계 도입…모의침투 등 기술심사 확대

'스냅샷' 점검서 상시관리로…중대결함 시 인증 취소 기준 마련

(서울=연합뉴스) 차민지 기자 = 정부가 최근 잇따른 기업 보안사고에 대응해 정보보호 및 개인정보보호 관리체계(ISMS·ISMS-P) 인증제도를 전면 개편한다.

기존 서면 중심·일회성 점검에서 벗어나 현장·기술 중심 심사와 상시 관리체계로 전환하고, 인증 의무대상도 확대하는 것이 핵심이다.

개인정보보호위원회와 과학기술정보통신부는 10일 정부서울청사에서 열린 경제관계장관회의에서 이러한 내용의 '정보보호 및 개인정보보호 관리체계 인증제 실효성 강화방안'을 발표했다.

최근 통신사와 이커머스 업체 해킹 등 인증을 받은 기업에서도 사고가 잇따르며 제도 실효성 논란이 제기된 데 따른 조치다.

정부는 이번 방안을 통해 ▲ 인증 의무화 및 기준 강화 ▲ 심사 방식 개편 ▲ 사후관리 강화 ▲ 심사 품질 제고 등 4대 과제를 추진한다.

우선 국민 생활에 미치는 영향이 큰 사업자를 중심으로 인증 의무 대상을 확대한다.

주요 공공시스템 운영기관과 이동통신사업자, 본인확인 기관, 매출액과 개인정보 처리 규모 등을 고려한 대규모 개인정보처리자 등에 대해 ISMS-P 인증을 의무화하고 단계적으로 확대할 방침이다.

인증체계는 위험도 기반으로 재편된다.

기존 획일적 기준에서 벗어나 '강화인증·표준인증·간편인증' 3단계 체계를 도입하고, 국민 생활에 파급력이 큰 강화인증군에는 강화된 기준과 심사방식을 적용한다.

인증 범위도 확대해 인증대상 서비스와 관련된 장비·시설 등은 빠짐없이 포함되도록 인증범위를 단계적으로 확대한다. 외부 인터넷과 연결돼 공격 경로로 활용될 가능성이 있는 주요 디지털 자산은 반드시 인증 범위에 포함하도록 한다.

심사 방식은 서면 중심에서 현장 중심으로 전환된다.

본심사 전 예비심사를 통해 핵심 보안 항목을 사전에 점검하고, 취약점 진단과 모의침투 등 기술심사를 확대한다.

실시간 시연 확인 등 현장 실증 방식도 도입해 실제 보안 관리 수준을 점검한다.

심사 인력과 기간도 확대해 표준인증군은 현장 점검을 강화하고, 강화인증군에는 취약점 점검 인력을 전담 배치해 중요 정보자산을 정밀 점검한다.

사후관리도 강화된다.

심사 시 특정 시점만 점검하는 '스냅샷' 방식에서 벗어나 인증 이후에도 보안 수준이 유지되도록 상시 점검 체계를 구축한다.

정부와 인증기관 간 사고 이력을 공유하는 체계를 마련하고, 점검 결과를 지속적으로 관리해 인증 유지의 실효성을 높일 방침이다.

아울러 인증 취소 기준도 구체화한다.

인증기준 미달 여부를 판단하기 위한 중대 결함 기준을 마련하고 이를 기한 내 개선하지 않을 경우 인증을 취소할 수 있도록 한다.

심사품질을 제고하기 위해 심사기관의 관리책임을 강화하고, 심사원의 전문역량 개발에 집중한다.

매 인증심사 종료 후 심사기관에 대한 신뢰도 조사를 실시하고 그 결과를 차년도 인증심사 배분 시 반영해 심사기관이 스스로 품질을 관리하는 체계를 마련한다.

심사품질 관련 항목을 지정·재지정 평가에 반영하여 부실심사를 방지하고, 심사기관의 지정 기준 준수 여부를 매년 사후점검을 통해 철저히 확인한다.

양 부처는 시행령과 고시 개정 등 후속 조치를 추진할 계획이다.

상시 점검과 인증 취소 기준 강화 등 사후관리 제도는 올해 하반기부터, ISMS-P 의무화와 차등 인증체계는 2027년부터 시행하는 것을 목표로 한다.

송경희 개인정보위 위원장은 "오늘 발표된 실효성 강화방안을 시작으로 인증제도를 개인정보 보호의 사전예방 핵심수단으로 개선해 국민이 안심할 수 있는 디지털 환경을 구현하겠다"고 말했다.

류제명 과기정통부 제2차관은 "급변하는 사이버 보안 환경에 대응해 정보보호 관리체계를 보다 엄격하고 내실 있게 운영하겠다"고 밝혔다.

chacha@yna.co.kr