쿠팡 등 ISMS-P(정보보호 및 개인정보 보호 관리 체계) 인증기업에서 해킹·대규모 개인정보 유출이 잇따르자 정부가 사후 관리를 강화하기로 했다. 유출 사고가 발생하면 특별사후 심사를 실시하고, 이 과정에서 인증 기준에 중대 결함이 확인되면 인증을 취소하는 방안이다.

7일 정부에 따르면 개인정보위원회와 과학기술정보통신부는 6일 정부서울청사에 대책회의를 열고 ISMS(정보보호관리체계)와 ISMS-P 인증 전 과정에 대한 강화 방안을 확정하고 법·제도 개편을 추진하기로 했다. 회의는 송경희 개인정보보호위원회 위원장 주재로 열렸고 과기정통부 제2차관, 한국인터넷진흥원(KISA) 원장 등이 참석했다.

송경희 개인정보보호위원장이 6일 오후 정부서울청사에서 ISMS-P 인증 개선 관련 회의에서 발언을 하고 있다. 개인정보보호위원회 제공

정부는 기존에 자율 신청 방식으로 운영돼 온 ISMS-P 인증을 공공·민간 주요 개인정보처리시스템에 의무화해 상시적 안전관리체계를 구축할 계획이다. 주요 공공시스템, 통신사, 대규모 플랫폼 등이 대상이다.

통신사, 대규모 플랫폼 사업자 등 국민 파급력이 큰 기업에는 강화된 인증 기준을 마련해 적용한다. 이를 위해 개인정보보호법·정보통신망법 개정을 추진할 예정이다.

심사방식도 바뀐다. 예비심사 단계에서 핵심항목을 검증하고 기준을 충족하지 못하면 본심사에 진입할 수 없도록 한다. 본심사에서는 서면·샘플링 점검에서 벗어나 코어 시스템 중심의 현장 실증형 심사를 강화한다. 분야별 인증위원회를 운영하고 기술 심사 및 현증 실증 심사를 강화해 인증 전문성도 높인다.

사후 관리는 한층 엄격해진다. 인증기업에서 개인정보 유출 사고가 발생하면 특별 사후심사를 통해 인증 기준 충족 여부를 확인한다. 이 과정에서 중대한 결함이 드러나면 인증위원회 심의·의결을 거쳐 인증을 취소한다. 지금까지 ISMS-P 인증을 받았다가 취소된 기업은 없다. 만일 쿠팡의 인증이 취소될 경우 첫 사례가 된다.

사고기업에 대해서는 사후심사 투입 인력·기간을 2배로 확대하고, 사고원인 및 재발 방지 조치를 집중 점검한다.

개인정보위는 이달부터 개인정보 유출 사고가 발생한 인증기업을 대상으로 현장점검을 할 방침이다. 특히 쿠팡 등 현재 조사가 진행 중인 기업은 과기정통부 민관합동조사단 및 개인정보위 조사와 연계해 KISA와 금융보안원이 인증 기준 적합성 등을 점검한다.

과기정통부는 지난 10월 발표한 ‘정보보호 종합대책’ 후속 조치로 통신·온라인 쇼핑몰 등 900여개 ISMS 인증기업에 인터넷 접점에 대한 보안 취약점 점검 등 긴급 자체 점검을 실시할 것을 요청했다. 내년 초부터 기업 점검 결과에 대한 현장 검증을 실시할 예정이다.

두 기관은 과기정통부·개인정보위·인증기관 합동 제도개선 TF(태스크포스)를 통해 개선방안을 최종 확정한 뒤, 특별사후 점검 결과 등을 반영해 내 1분기 중 관련 고시를 개정하고 단계적 시행할 예정이다.

