정부, ISMS-P 인증제 전면 개편…중대 결함 조치 없으면 '인증 취소' 작성일 04-10 45 목록 <div id="layerTranslateNotice" style="display:none;"></div> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="uKi8nA71T7"> <figure class="figure_frm origin_fig" contents-hash="e41091f886ce46a7645dce29c81220221e3abaf9655f48b577d4433c9f97cd58" dmcf-pid="7VoQgEB3Tu" dmcf-ptype="figure"> <p class="link_figure"><img class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202604/10/552796-pzfp7fF/20260410093408370jkpv.jpg" data-org-width="640" dmcf-mid="UWz5qflwyz" dmcf-mtype="image" height="auto" src="https://img2.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202604/10/552796-pzfp7fF/20260410093408370jkpv.jpg" width="658"></p> </figure> <p contents-hash="3d84871710bf8a317e5b58326071dbd72d41987471d9e105e5e48f093f5bdfd6" dmcf-pid="zfgxaDb0yU" dmcf-ptype="general">[디지털데일리 김보민기자] 정부가 개인정보 유출사고를 예방하고 인증제도 실효성을 높이기 위해 정보보호 및 개인정보보호 관리체계(ISMS·ISMS-P)를 전면 개편한다.</p> <p contents-hash="e39a171febb3b8d0c51b9ff8c510917acfa39b0630c3256db46cee407236912a" dmcf-pid="q4aMNwKphp" dmcf-ptype="general">개인정보보호위원회는 과학기술정보통신부와 경제관계장관회의에서 이러한 내용을 담은 '정보보호 및 개인정보보호 관리체계 인증제 실효성 강화방안'을 발표했다고 10일 밝혔다.</p> <p contents-hash="905469acbb0432d3ee492b3ac8c56340c4ebe8c038eab278a2fcd3b472b06516" dmcf-pid="B8NRjr9Uh0" dmcf-ptype="general">그동안 인증기업에서도 해킹 사고가 발생하며 제도에 대한 신뢰가 흔들린 가운데, 형식적·서면 중심 심사에서 벗어나 실제 운영 수준을 점검하는 방향으로 구조를 바꾸는 것이 핵심이다.</p> <p contents-hash="ea1fac21db4a863aaf7f2c2785109a7067f4a912b6d640d09093d3b6903a5eff" dmcf-pid="b6jeAm2uC3" dmcf-ptype="general">이번 개편 큰 방향은 '사전 예방 중심 실질적 보안 관리체계' 전환이다. 기존에는 인증 취득 여부 자체에 초점이 맞춰졌다면 앞으로는 실제로 안전하게 운영되고 있는지를 지속 확인하는 것이 핵심이다. 이를 위해 인증 대상, 기준, 심사 방식, 사후관리, 심사 품질 전반이 손질된다.</p> <p contents-hash="d7739d31846a2875535ea924c4d49ae8800f93e54b3c48c0cdb4eb965aa6794c" dmcf-pid="KPAdcsV7lF" dmcf-ptype="general">인증 대상은 국민 생활과 밀접한 분야를 중심으로 확대된다. 이동통신사, 데이터센터, 본인확인기관 등 사고 발생 시 파급력이 큰 사업자뿐 아니라 일정 규모 이상 개인정보를 처리하는 기업까지 단계적으로 의무화 대상에 포함된다. 동시에 획일적인 기준에서 벗어나 위험도에 따라 차등 적용하는 구조로 바뀐다. '강화인증·표준인증·간편인증'으로 체계를 나누고, 특히 영향력이 큰 사업자에는 높은 수준 기준과 심사가 적용된다. 또한 인증 범위도 실제 공격 경로가 될 수 있는 외부 연결 자산까지 포함되도록 확대된다.</p> <p contents-hash="f28b59f0ab8c1a62c124d69d6c5bfa3e2ae5ae6e6068a3634cf9eb304debb58c" dmcf-pid="9QcJkOfzvt" dmcf-ptype="general">심사 방식 역시 변화를 맞는다. 지금까지는 문서 확인 위주 평가가 많았지만 앞으로는 현장 중심 실증형 심사가 강화된다. 본심사 이전에 예비심사를 도입해 핵심 보안 항목을 미리 점검하도록 한다. 실제 보안 수준을 확인하기 위해 취약점 진단, 모의침투, 소스코드 점검 등 기술적 검증이 본격 도입되며 심사원이 시스템을 직접 확인하는 방식이 확대된다.</p> <p contents-hash="13a0da7669b793a7222dc99b16b21e99511145293fe9143eb41954d76f8f8ae1" dmcf-pid="2xkiEI4qS1" dmcf-ptype="general">인증 이후 관리도 엄격해진다. 특정 시점만 점검하는 방식에서 벗어나 인증 취득 이후에도 관리 수준을 점검하는 상시 관리체계가 구축된다. 점검 기준과 양식을 표준화해 정기적으로 확인하고 보안 수준이 유지되지 않으면 추가 조치를 요구한다. 사고 발생 기업에 대해서는 정부와 인증기관 간 정보 공유를 강화하고 사고 조사와 복구가 끝난 뒤에는 강화된 조건으로 재심사를 진행한다. 중대한 결함이 발견되고 이를 개선하지 않을 경우 인증을 취소할 수 있도록 기준도 구체화된다.</p> <p contents-hash="027c6247893c202154a941cb271075702eebd419620f37e6d8ac8659ec12f65d" dmcf-pid="VMEnDC8Bv5" dmcf-ptype="general">심사 품질을 높이기 위한 장치도 마련된다. 심사기관에 대한 평가를 정례화하고 그 결과를 향후 심사 배분에 반영해 책임성을 강화한다. 심사원 전문성을 높이기 위해 취약점 분석 등 실무 중심 교육을 확대하고, 인공지능(AI)·클라우드 등 분야별 전문성을 고려한 인력 운영이 이뤄진다. 처우 개선을 통해 숙련된 인력이 참여할 수 있는 기반도 마련하기로 했다.</p> <p contents-hash="0eec7e7ec59004aaad569911a98abff0a248220c4253eee581b7872bd84a9de7" dmcf-pid="fRDLwh6bvZ" dmcf-ptype="general">정부는 관련 법령과 고시를 정비하고 예산을 확보해 개편 내용을 단계적으로 시행할 계획이다. 송경희 개인정보위 위원장은 "사이버 공격이 고도화되는 상황에서 ISMS·ISMS-P 인증제를 통해 국민 피해를 사전에 예방할 수 있도록 제도 전반에 대한 개편이 필요한 시점"이라며 "실효성 강화방안을 시작으로 인증제도를 개인정보보호 사전 예방 핵심 수단으로 개선해 안심할 수 있는 디지털 환경을 구현하겠다"고 말했다.</p> </section> </div> <p class="" data-translation="true">Copyright © 디지털데일리. All rights reserved. 무단 전재 및 재배포 금지.</p> 관련자료 이전 “AI가 여신 의사결정까지 바꾼다”…금융 리스크 관리, ‘워크플로우 통합’ 경쟁 본격화 04-10 다음 "단종 포카 45만원 찍었다"…중고시장 뒤집은 '왕사남' 04-10 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
