최근 쿠팡 등 ISMS·ISMS-P 인증기업에서 개인정보 유출 사고가 연이어 발생하자, 정부가 두 인증제도의 사후관리와 심사 기준을 대폭 강화하기로 했다. 인증기업에서 유출 사고가 발생하면 즉시 특별 사후심사를 실시하고, 중대한 결함이 확인될 때는 인증 취소까지 가능하도록 하는 방안이 추진된다.
개인정보보호위원회와 과학기술정보통신부는 6일 관계부처 회의를 열고 개선안을 논의했다.
개선안에는 현재 자율 신청 방식으로 운영되는 ISMS-P 인증을 공공·민간 주요 개인정보처리시스템에 의무화하고, 통신사·대규모 플랫폼 등 국민 파급력이 큰 기업에는 강화된 인증기준을 적용하는 내용이 담겼다. 이를 위한 개인정보보호법과 정보통신망법 개정도 추진한다.
심사 과정도 확대된다. 인증 범위에 자산현황을 추가하고, 예비심사에서 핵심 항목을 먼저 점검한다. 기술심사·현장실증 심사 강화와 분야별 인증위원회 운영, 심사원 신기술 교육 확대 등 전문성 강화 조치도 마련된다.
사후관리는 한층 엄격해진다. 사고 발생 시 즉시 특별 사후심사를 통해 기준 충족 여부를 확인하고, 중대한 결함이 드러나면 인증위원회 심의를 거쳐 인증 취소가 가능해진다.
사고기업에는 기존보다 두 배의 인력과 기간을 투입해 원인과 재발 방지 조치를 점검한다. 정부는 이달부터 유출 사고 기업 현장점검에 들어가며, 쿠팡 등 조사 중인 기업은 KISA·금융보안원이 적합성 점검을 병행한다.
양청삼 개인정보정책국장은 “인증 기업 중 10% 정도에서 사고가 났는데, 이것만 가지고 인증제도가 아무런 의미가 없다는 비판을 받을 정도로 전혀 역할을 못하고 있는 건 아니다"라며 ”순기능은 잘 살려야한다"고 말했다.
이어 "ISMS든 ISMS-P든, 법령상 취소할 수 있도록 되어 있다"며 "사후심사 과정에서 그런 부분들을 찬찬히 봐서 중대한 결함이 발생했을 경우 인증 취소를 적극적으로 검토하려고 한다"고 설명했다.
정부는 제도개선 TF 논의와 특별 사후점검 결과 등을 반영해 내년 1분기 관련 고시를 개정하고 단계적으로 시행할 계획이다.
