대규모 개인정보처리자 ISMS-P 인증 의무화…인증제도 전면 개편

(서울=뉴스1) 나연준 기자 = 정부가 공공·민간의 중요 개인정보처리시스템을 중심으로 개인정보보호 관리체계(ISMS-P) 인증을 의무화하는 등 정보보호 관리체계를 강화한다. 심사방식, 사후관리, 심사품질 확보 등 제도 전반을 개선해 실효성 있는 정보보호 체계 구축에 나선다.

과학기술정보통신부와 개인정보보호위원회는 10일 정부서울청사에서 열린 경제관계장관회의에서 '정보보호 및 개인정보보호 관리체계 인증제 실효성 강화방안'을 발표했다.

정부는 대규모 개인정보처리자에 개인정보보호 인증을 의무화하고, 통신사·데이터센터 등 침해사고 발생 시 국민 생활에 파급력이 큰 사업자에 대한 인증기준을 강화한다. △주요 공공시스템운영기관 △이동통신사업자 △본인확인기관 △매출액 및 개인정보 처리규모를 고려한 대규모 개인정보처리자 등이 대상이다.

획일적인 인증체계에서 벗어나 '강화인증', '표준인증', '간편인증' 등 3단계로 재편한다. 국민생활에 파급력이 큰 강화인증군은 주요 보안위협 사례와 주요국 보안 요구 사항을 참조해 기존보다 강화된 기준과 심사방식을 적용한다.

인증심사도 강화한다. 본심사 전 예비심사 단계에서 핵심적으로 확인해야 할 인증기준을 사전에 점검하고 본심사 진행 여부를 결정, 부실한 관리체계를 개선한 이후에 본격적인 인증절차에 돌입할 수 있도록 한다. 또한 취약점진단·모의침투와 같은 기술심사 방식도 적용한다.

기존에 서면 확인 위주의 심사방식에서 벗어나, 심사원이 실질적 보안관리 상태를 확인할 수 있도록 실시간 시연 확인 등 현장실증 심사방법도 도입된다.

심사 시 특정 시점만 확인하는 '스냅숏' 방식에서 벗어나, 인증심사 이후에도 보안관리가 유지될 수 있도록 상시 점검을 강화한다. 주기별 점검양식을 표준화하고, 사후심사 시 이를 집중 점검해 보안 수준이 유지되도록 한다.

정부는 부실심사를 방지하고 심사품질을 제고하기 위해 심사기관의 관리책임을 강화하고, 심사원의 전문역량 개발에 나선다.

매 인증심사 종료 후 심사기관에 대한 신뢰도 조사를 실시하고 그 결과를 차년도 인증심사 배분 시 반영, 심사기관이 스스로 품질을 관리하는 체계를 마련한다. 심사품질 관련 항목을 지정·재지정 평가에 반영해 부실심사를 방지하고, 심사기관의 지정 기준 준수 여부를 매년 사후점검을 통해 철저히 확인한다.

취약점 점검 등 심사원의 기술심사 검증 능력 제고를 위해 실무교육을 강화한다. 또한 AI·클라우드 등 전문분야별 특화 심사가 가능하도록 심사원별 전문분야 정보를 관리해 심사에 활용한다.

과기정통부와 개인정보위는 이번 실효성 강화방안의 추진과제를 빈틈없이 실현하기 위해 시행령, 고시 및 안내서 등을 개정하고 관련 예산을 확보하는 등 후속조치를 진행한다. 상시 점검 강화·인증취소 등 인증 사후관리와 관련된 사항은 올해 하반기부터, ISMS-P 의무화·인증 차등 적용 및 강화 인증기준 적용 등은 2027년부터 시행될 수 있도록 상반기에 관련 작업을 추진할 계획이다.

송경희 개인정보위 위원장은 "사이버 공격이 고도화되는 상황에서 ISMS·ISMS-P 인증제를 통해 국민 피해를 사전에 예방할 수 있도록 제도 전반에 대한 근본적 개편이 필요한 시점"이라며 "인증제도를 개인정보 보호의 사전예방 핵심수단으로 개선하여 국민이 안심할 수 있는 디지털 환경을 구현하겠다"고 말했다.

류제명 과기정통부 제2차관은 "정보보호 관리체계 인증제도는 국민이 안심하고 디지털 서비스를 이용할 수 있도록 하는 핵심 안전장치"라며 "급변하는 사이버 보안 환경에 대응하여 정보보호 관리체계를 보다 엄격하고 내실 있게 운영해 인증제도의 실효성을 높이고, 국민이 신뢰할 수 있는 인증체계로 발전시켜 나가겠다"고 강조했다.

yjra@news1.kr