정보보호 인증제도 전면 개편…의무대상 확대·인증 3단계 세분화 작성일 04-10 40 목록 <div id="layerTranslateNotice" style="display:none;"></div> <strong class="summary_view" data-translation="true">'ISMS·ISMS-P 인증제 실효성 강화안'<br>통신사 등 파급력 큰 분야 인증 의무화<br>상시 점검·결함 미보완 시 인증 취소도</strong> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="QklzaDb0Sy"> <p contents-hash="2831757ac316635c5502e63e42b14e33bb52d2b8577bd3d2fa60f841125a8d56" dmcf-pid="xESqNwKplT" dmcf-ptype="general">정부가 유명무실하다는 비판을 받는 정보보호 및 개인정보보호 관리체계(ISMS·ISMS-P) 인증제도를 전면 개편한다. 기존 서면 중심의 심사 방식을 현장 중심으로 전환하고, 상시 점검하는 것을 골자로 한다. 인증 의무 대상도 확대한다.</p> <figure class="figure_frm origin_fig" contents-hash="f10b4222eacae0b880bb787efc8d98a8025100e443d8585e6e5cf4d68a9a1805" dmcf-pid="yz6D0Bmjvv" dmcf-ptype="figure"> <p class="link_figure"><img alt="류제명 과학기술정보통신부 제2차관(왼쪽)과 송경희 개인정보보호위원회 위원장이 12일 서울 광화문 HJ비즈니스센터에서 열린 '정보보호 및 개인정보보호 관리체계(ISMS·ISMS-P) 제도 개선 간담회'에서 발언하고 있다. 노경조 기자" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202604/10/akn/20260410105123906yiuh.jpg" data-org-width="745" dmcf-mid="VJxB6dZvTq" dmcf-mtype="image" height="auto" src="https://img1.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202604/10/akn/20260410105123906yiuh.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> 류제명 과학기술정보통신부 제2차관(왼쪽)과 송경희 개인정보보호위원회 위원장이 12일 서울 광화문 HJ비즈니스센터에서 열린 '정보보호 및 개인정보보호 관리체계(ISMS·ISMS-P) 제도 개선 간담회'에서 발언하고 있다. 노경조 기자 </figcaption> </figure> <p contents-hash="5a650bdba89c3f6839d552ccf88366ef42bef80721b56dea95bcda3265e82967" dmcf-pid="Wz6D0BmjWS" dmcf-ptype="general">개인정보보호위원회와 과학기술정보통신부는 10일 정부서울청사에서 열린 경제관계장관회의에서 이 같은 내용의 '정보보호 및 개인정보보호 관리체계 인증제 실효성 강화 방안'을 발표했다.</p> <p contents-hash="ae90f526724694aec70df3b98faa535a61d81eebe342f0a52b8bd8360f316cb4" dmcf-pid="YqPwpbsATl" dmcf-ptype="general">ISMS·ISMS-P 인증은 기업, 기관이 구축·운영 중인 정보 보호 및 개인정보 보호 체계가 적합한지 인증하는 제도다. 기업, 기관은 ISMS·ISMS-P 인증으로 보유 정보자산을 식별하고, 개인정보 처리 흐름을 체계화하며 잠재적인 보안 위험을 관리한다. 그러나 최근 해당 인증을 받은 통신사, 대형 플랫폼 등에서 개인정보 유출 사고가 잇따르며 제도의 실효성 논란이 제기됐다.</p> <p contents-hash="59b83f3ecd76ec62cef977d5a953e20790c33f6f63fddbf2ce5d65b9f1a7d577" dmcf-pid="GBQrUKOcWh" dmcf-ptype="general">이에 대응해 정부는 인증 의무화 및 기준 강화, 심사 방식 개편, 사후관리 강화, 심사 품질 제고 등 4대 과제를 추진하기로 했다. 우선 국민 생활에 미치는 영향이 큰 사업자를 중심으로 인증 의무 대상을 확대한다. 주요 공공시스템 운영기관과 이동통신사업자, 본인확인 기관, 매출액과 개인정보 처리 규모 등을 고려한 대규모 개인정보처리자 등에 대해 ISMS-P 인증을 의무화하고 단계적으로 대상을 넓힌다.</p> <p contents-hash="a7cb9d3bb2b1a19de9df757213d544e3773c902728382c0b39d2e65197aa7016" dmcf-pid="Hbxmu9IkvC" dmcf-ptype="general">인증체계는 위험도에 따라 차등화한다. 기존 획일적 기준에서 벗어나 '강화인증·표준인증·간편인증' 3단계 체계를 도입하고, 국민 생활에 파급력이 큰 강화인증군에는 보다 엄격한 기준과 심사방식을 적용한다. 또 인증 대상 서비스와 관련된 장비·시설 등은 빠짐없이 포함되도록 인증범위를 단계적으로 확대한다. 특히 외부 인터넷과 연결돼 공격 경로로 활용될 가능성이 있는 주요 디지털 자산은 반드시 인증 범위에 포함토록 했다.</p> <p contents-hash="4b3f94e8bede80f44871fabd9ae40c466b7a34cac34f0ac08de8aa3ad9c1d0c8" dmcf-pid="XKMs72CEhI" dmcf-ptype="general">심사 방식은 현장 중심으로 전환한다. 본심사 전 예비심사를 통해 핵심 인증 기준을 사전 점검하고, 취약점 진단과 모의 침투 등 기술 심사를 확대한다. 실시간 시연 확인 등 현장 실증 방식도 도입해 실제 보안 관리 수준을 점검한다. 심사 인력·기간도 확대해 표준인증군은 현장 점검을 강화하고, 강화인증군에는 취약점 점검 인력을 전담 배치해 중요도가 높은 정보자산을 정밀 점검한다.</p> <p contents-hash="38e819ab29d41662a8414137debf72cf45ed8cf5f3689b6e43149851ae7c3380" dmcf-pid="Z9ROzVhDWO" dmcf-ptype="general">아울러 심사 시 특정 시점만 점검하는 '스냅샷' 방식에서 벗어나 인증 이후에도 보안 수준이 유지되도록 상시 점검 체계를 구축한다. 정부와 인증기관 간 사고 이력을 공유하는 체계를 마련하고, 중대 사고 발생 시 정부 조사·처분 등이 끝난 후 원인과 조치 현황, 재발 방지 대책 등을 철저히 심사한다. 중대 결함에 대한 보완을 기한 내 조치하지 않을 경우에는 인증 취소를 진행한다.</p> <p contents-hash="5186383b20529a1f45506ca1285deecf6f3fbe57d1f193b0f13d5cf5f16f638f" dmcf-pid="52eIqflwvs" dmcf-ptype="general">심사기관의 관리 책임 강화와 심사원의 전문 역량 개발도 병행한다. 매 인증심사 종료 후 심사기관에 대한 신뢰도 조사를 실시하고 그 결과를 차년도 인증심사 배분 시 반영해 심사기관이 스스로 품질을 관리하도록 한다. 심사 품질 관련 항목은 지정·재지정 평가에 반영해 부실 심사를 방지하고, 심사기관의 지정 기준 준수 여부를 매년 사후 점검을 통해 철저히 확인한다.</p> <p contents-hash="abbe81aebebc19125f5b5bb4ed42bd32c35462c4d557aa22cb7c707a4a47f219" dmcf-pid="1VdCB4SrSm" dmcf-ptype="general">양 부처는 시행령과 고시 개정 등 후속 조치를 추진할 계획이다. 상시 점검과 인증 취소 기준 강화 등 사후관리 제도는 올해 하반기부터, ISMS-P 의무화와 차등 인증체계는 내년부터 시행하는 것을 목표로 한다.</p> <p contents-hash="cc158c0ec6d5f15d40f08f5776be4551b627ce4f92e1d1a0b61dd48d32c7cb55" dmcf-pid="tDvBjr9Uvr" dmcf-ptype="general">송경희 개인정보위 위원장은 "실효성 강화 방안을 시작으로 인증제도를 개인정보 보호의 사전예방 핵심 수단으로 개선해 국민이 안심할 수 있는 디지털 환경을 구현하겠다"고 말했다.</p> <p contents-hash="1a5882858b32a5fa6b134c3fb1f1ade93ca709d0ceeeede67acd152707e1bfe0" dmcf-pid="FwTbAm2uTw" dmcf-ptype="general">노경조 기자 felizkj@asiae.co.kr</p> </section> </div> <p class="" data-translation="true">Copyright © 아시아경제. 무단전재 및 재배포 금지.</p> 관련자료 이전 팝의 여왕 테일러 스위프트, 7월의 신부 된다 [월드이슈M] 04-10 다음 침팬지 내전, 인간 뺨친다…분열 후 살해·영아 공격까지 04-10 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
