보안 인증 받고도 줄줄이 해킹…"ISMS-P 제도 손질 본격화" 작성일 03-12 21 목록 <div id="layerTranslateNotice" style="display:none;"></div> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="Fc4MKVgRS9"> <figure class="figure_frm origin_fig" contents-hash="5726182a3ad10ad386db0ef4a020b2039cf93567f62adcc58874a0daa2395c74" dmcf-pid="3KW5lT71yK" dmcf-ptype="figure"> <p class="link_figure"><img class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202603/12/552796-pzfp7fF/20260312155101813uenm.jpg" data-org-width="640" dmcf-mid="tLVjRJsAW2" dmcf-mtype="image" height="auto" src="https://img4.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202603/12/552796-pzfp7fF/20260312155101813uenm.jpg" width="658"></p> </figure> <p contents-hash="c8faba6557172c7f436b01b8794bc0d4671c433e26e16098d6c558cef57773ab" dmcf-pid="09Y1Syztlb" dmcf-ptype="general">[디지털데일리 김보민기자] 정부가 정보보호 및 개인정보보호 관리체계(ISMS·ISMS-P) 제도를 본격 손질한다. 해당 인증을 획득하고서도 대형 보안 사고를 내는 일이 빈번해지자 이를 예방할 대응 체계를 고도화한다는 취지다.</p> <p contents-hash="3994cea17e24d44f07004d4c12bfcb8299bb96ce0a78b1eead422706368ecec9" dmcf-pid="p2GtvWqFCB" dmcf-ptype="general">송경희 개인정보위 위원장은 12일 서울 종로구 HJ비즈니스센터에서 현장 간담회를 열고 "ISMS-P 인증을 받은 통신사, 대형 플랫폼사에서 개인정보 유출 사고가 발생해 제도 실효성에 대한 지적이 계속되는 현실이 굉장히 아프고 무겁다"며 "신뢰를 회복하려면 왜 유출 사고가 발생하는지 냉철한 분석이 필요하다"고 밝혔다.</p> <p contents-hash="ab744ebdc446e99100290e8b6621443fb3bc2d2971a46000c12ba6a0fe55dbaf" dmcf-pid="UVHFTYB3Cq" dmcf-ptype="general">ISMS·ISMS-P는 기업과 기관이 운영하는 개인정보 및 정보보호 체계가 유출 피해를 예방하는 데 적합한지 검토해 인증을 부여하는 제도다. 정보통신망법과 개인정보보호법에 근거해 운영되고 있고 한국인터넷진흥원(KISA)이 인증 심사와 발급을 맡고 있다. 금융보안원은 금융분야 인증 심사와 인증서 발급을 담당한다.</p> <p contents-hash="d8b14864aed77f5d0b24814f6b5d37f0b9cdf7ed6be619311d2e5dc50c92c47a" dmcf-pid="ufX3yGb0yz" dmcf-ptype="general">이날 류제명 과학기술정보통신부 제2차관은 ISMS-P 인증제도를 개선하기 위한 작업이 본격화됐다고 강조했다. 류 제2차관은 "국회 본회의가 시작됐고 과방위와 정무위에서 논의된 인증 제도 실효성 확보를 위한 정보통신망법 개정안이 통과되게 된다"며 "파급력이 큰 고위험군에 대한 심사 기준을 강화하는 등의 내용이 법에 반영돼 국회 본회의를 통과할 것으로 기대된다"고 말했다.</p> <p contents-hash="85c68f64a2da8ceabcc31dc33256dedca3f3f90f219f6e374e4b3aa13043a4e3" dmcf-pid="74Z0WHKpy7" dmcf-ptype="general">KISA는 인증 제도 개선 방향으로 '인증 의무 대상 확대'를 제시했다. 개정법이 통과될 경우 공공·민간 대규모 개인정보처리자를 대상으로 ISMS-P 인증이 의무화된다. 통신사·대규모 플랫폼 등 인증 기준도 강화된다. 간편 인증, 표준 인증, 강화 인증 등 3단계로 인증 단계를 구분한다는 방침이다.</p> <p contents-hash="245eaf3312056147860b6718aa9a4c6d27eb36873400360217372730ab4fb693" dmcf-pid="z85pYX9Uyu" dmcf-ptype="general">인증 심사 방식도 강화된다. 기존에는 기업이 제출한 자료를 바탕으로 서면 확인 위주로 진행됐다면, 추후에는 보안 취약점을 직접 점검하는 현장 실증형 심사 체계가 운영된다. 보안사고와 직결되는 핵심 항목과 기술 심사는 검증을 거치게 된다.</p> <p contents-hash="b1cfefcbf098a7dd2e8003dc62e956dde2a4454016a6a41c7c3e78c555f21b97" dmcf-pid="q61UGZ2ulU" dmcf-ptype="general">인증 사후관리도 강화한다. 대규모 정보 유출 등 문제가 발생할 경우 인증 취소까지 가능하도록 한다는 취지다. 앞서 개인정보위와 과기정통부는 태스크포스(TF) 방식으로 인증 기준을 도출했다. 여기에는 인증기업이 개인정보보호법 위반으로 과징금 등 처분을 받은 경우 위반 행위 중대성을 따져 인증을 취소하는 내용이 담겼다. 특히 1000만명 이상 피해가 발생하거나 반복적으로 법을 위반해 사회적 영향을 낳은 경우 원칙적으로 인증을 취소할 방침이다.</p> <p contents-hash="916293762a6e6b79f027922b56ec83c641471bd3f3210d7c760f94e92cb04d70" dmcf-pid="BPtuH5V7yp" dmcf-ptype="general">심사기관과 심사원 전문성을 강화하기 위한 제도 개선도 추진된다. 사후관리 점검에서 지정 기준을 미달한 사실이 확인되면 업무 정지와 지정 취소도 고려할 수 있다.</p> <p contents-hash="f21d45cdb1e9e9bea89afca04b28489693848e96e9e9da23d517daefbd1262d0" dmcf-pid="b1wCAEGhC0" dmcf-ptype="general">개인정보위와 과기정통부는 이번 간담회에서 논의된 현장 의견을 반영해 '정보보호 및 개인정보보호 인증제 실효성 강화 방안'을 발표할 예정이다.</p> <p contents-hash="1373bbcb9186d0e47b455001cc2ec86ee0fd7393050c71d4a0d493a983db56b9" dmcf-pid="KtrhcDHlW3" dmcf-ptype="general">송 위원장은 "ISMS-P 인증제도는 기업이 운영 중인 개인정보 보호 관리 체계를 선제 점검해 침해를 예방할 정책 중 하나"라며 "현장 목소리를 반영해 인증제도가 우리 사회 전반의 데이터 보호 수준을 높이는 인프라로 기능하도록 개선하겠다"고 말했다.</p> </section> </div> <p class="" data-translation="true">Copyright © 디지털데일리. All rights reserved. 무단 전재 및 재배포 금지.</p> 관련자료 이전 넷플릭스 2월 둘째 주 신작 라인업 03-12 다음 레노버 “한국 기업 99% AI 투자 늘린다…아태 지역 중 가장 적극적” 03-12 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
