경제관계장관회의서 인증제 실효성 강화방안 발표
위험도 기반 3단계 체계 개편 2027년부터 본격 시행
정부가 보안 사고 예방의 '보증수표' 역할을 해온 정보보호 및 개인정보보호 관리체계(ISMS·ISMS-P) 인증제도를 대대적으로 수술한다. 최근 인증을 받은 통신사와 이커머스 업체에서 대규모 해킹 사고가 반복되자 형식적인 서면 심사에서 벗어나 실제 보안 수준을 정밀 점검하는 현장 중심으로 체질을 바꾼다는 구상이다.
과학기술정보통신부와 개인정보보호위원회는 10일 정부서울청사에서 구윤철 부총리 겸 재정경제부 장관 주재로 열린 비상경제본부 회의 겸 경제관계장관회의에서 '정보보호 및 개인정보보호 관리체계 인증제 실효성 강화방안'을 내놓았다. 이번 방안은 인증 기업의 보안 사고로 불거진 제도 실효성 논란을 해소하기 위해 마련됐다. 정부는 인증 기준 강화, 심사 방식 개편, 사후관리 강화, 심사 품질 제고 등 4대 핵심 과제를 중점 추진하기로 했다.
우선 인증 체계가 위험도에 따라 '강화인증·표준인증·간편인증' 3단계로 재편된다. 국민 생활에 파급력이 큰 주요 공공시스템 운영기관과 이동통신사, 본인확인 기관 등은 '강화인증' 대상으로 분류돼 엄격한 심사를 받게 된다. 특히 매출액과 개인정보 처리 규모가 큰 대규모 사업자에게는 ISMS-P 인증이 의무화될 전망이다.
심사 방식은 기존의 서면 중심 점검에서 기술 중심의 현장 실증으로 전환된다. 본심사에 앞서 핵심 보안 항목을 미리 살피는 예비심사를 도입하고, 취약점 진단과 모의침투 등 기술적 검증을 확대한다. 특정 시점의 보안 상태만 확인하던 이른바 '스냅샷' 방식의 한계를 극복하기 위해, 인증 이후에도 보안 수준이 유지되는지 상시 확인하는 체계도 구축한다.
인증 취소 절차도 한층 매서워진다. 정부는 인증 기준에 미달하는 '중대 결함'에 대한 구체적인 기준을 마련하고, 이를 기한 내에 고치지 않는 기업은 인증을 과감히 취소할 방침이다. 아울러 심사기관에 대한 신뢰도 조사를 매년 실시해 부실 심사가 드러날 경우 다음 해 심사 배분에서 불이익을 주는 등 관리 책임을 강화하기로 했다.
정부는 올해 하반기부터 상시 점검과 인증 취소 기준 강화 등 사후관리 제도를 먼저 시행한다. 핵심인 ISMS-P 의무화 확대와 3단계 차등 인증 체계는 관련 시행령 고시 개정을 거쳐 2027년까지 단계적으로 완성할 계획이다.
류제명 과기정통부 2차관은 "급변하는 사이버 보안 환경에 대응해 정보보호 관리체계를 보다 엄격하고 내실 있게 운영하겠다"고 강조했다. 송경희 개인정보위 위원장 역시 "인증제도를 사전 예방의 핵심 수단으로 개선해 국민이 안심할 수 있는 디지털 환경을 구현하겠다"고 밝혔다.
