정부, 개인정보보호 관리체계 인증 손본다...의무대상 확대·관리체계 강화 작성일 04-10 38 목록 <div id="layerTranslateNotice" style="display:none;"></div> <strong class="summary_view" data-translation="true">개보위·과기부, ‘실효성 강화방안’ 발표<br>대규모 개인정보처리자 인증 의무화에<br>‘강화·표준·간편‘ 3단계 맞춤형 대응도</strong> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="F1nSrr9Unv"> <figure class="figure_frm origin_fig" contents-hash="b911e36ae6912e6808809b83c3b6df71c97d5741aacf2a785d98d4e6b153fe1a" dmcf-pid="3tLvmm2udS" dmcf-ptype="figure"> <p class="link_figure"><img alt="송경희 개인정보보호위원회 위원장이 지난 9일 개최된 개인정보·정보보호 기업 현장간담회에서 인삿말을 하고 있다. <사진=개인정보보호위원회>" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202604/10/mk/20260410141501677thms.jpg" data-org-width="700" dmcf-mid="UUcGhh6bM4" dmcf-mtype="image" height="auto" src="https://img2.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202604/10/mk/20260410141501677thms.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> 송경희 개인정보보호위원회 위원장이 지난 9일 개최된 개인정보·정보보호 기업 현장간담회에서 인삿말을 하고 있다. <사진=개인정보보호위원회> </figcaption> </figure> <div contents-hash="a0ddbd770ef0cc00c7ea826260ab1bd6f27cd7c6be838f26c9f4386714fbc6cd" dmcf-pid="0FoTssV7Ll" dmcf-ptype="general"> 정부가 최근 잇따른 해킹 사고로 실효성 논란이 제기된 정보보호 및 개인정보보호 관리체계(ISMS·ISMS-P) 인증 제도를 실무 현장 중심으로 전면 개편한다. 기존의 형식적인 서면 심사에서 벗어나 실제 시스템 운영 현황을 추적하고 모의 침투 테스트를 도입하는 등 인증 실효성을 대폭 높이기로 했다. 또한 그간 자율에 맡겼던 ISMS-P 인증을 공공기관과 이동통신사, 대규모 개인정보처리자 등으로 의무 대상을 대폭 확대할 방침이다. </div> <p contents-hash="4f2d798eee1ed14beb6726a5995c0f81421b2aad5dfc4a555f69f7cb97bbd9bc" dmcf-pid="p3gyOOfzih" dmcf-ptype="general">개인정보보호위원회와 과학기술정보통신부는 10일 정부서울청사에서 열린 경제관계장관회의에서 ‘정보보호 및 개인정보보호 관리체계 인증제 실효성 강화방안’을 발표했다.</p> <p contents-hash="6fbbfdcbd0f333b2d264f3517892f0dbf6e106914a7fb0dbd83e90f6adf7d3d1" dmcf-pid="UuAHllPKJC" dmcf-ptype="general">ISMS·ISMS-P는 주요 정보자산 유출과 피해 예방을 위해 기업 또는 기관이 구축·운영 중인 개인정보 및 정보보호 체계가 적합한지를 인증하는 제도다. 한국인터넷진흥원과 금융보안원이 인증을 맡고 있으며, 정보통신기술협회, 정보통신진흥협회, 개인정보보호협회, 차세대정보보안인증원, 한국경영인증원 5개 기관이 심사를 전담하고 있다.</p> <figure class="figure_frm origin_fig" contents-hash="a14abc6cf78a76a38a30f076dec97d93fb478885e8ff9829e5fed48ac42f92ce" dmcf-pid="u7cXSSQ9JI" dmcf-ptype="figure"> <p class="link_figure"><img class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202604/10/mk/20260410141502978lgna.png" data-org-width="700" dmcf-mid="4RO3GGJ6JU" dmcf-mtype="image" height="auto" src="https://img4.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202604/10/mk/20260410141502978lgna.png" width="658"></p> </figure> <div contents-hash="837c552f0b3df745b0d7a6bbc60c03f63a533c65ac604fafb98e2659c7f08fcb" dmcf-pid="7zkZvvx2iO" dmcf-ptype="general"> 정부는 이번 대책을 통해 인증 기업의 연이은 보안 사고로 추락한 제도의 신뢰를 회복한다는 구상이다. </div> <p contents-hash="2ec20dcb51f7fcb176534fc1e6a0d2221473ee0c410a94cc23fdc604438b609b" dmcf-pid="zqE5TTMVes" dmcf-ptype="general">우선 디지털 환경 변화에 맞춰 공공·민간의 중요 시스템을 운영하는 대규모 개인정보처리자에 개인정보보호 인증 의무를 부여한다. 대상은 주요 공공시스템 운영기관, 이동통신사업자, 본인확인기관 등이며 매출액과 처리 규모에 따라 단계적으로 확대된다. 추후 관련 시행령 개정을 거쳐 내년 하반기부터 본격 도입될 예정이다.</p> <p contents-hash="13cb3ee4018eb9062b7a293b5fd00739be65bb395ff917eb9317789fd5b6b7c4" dmcf-pid="qBD1yyRfLm" dmcf-ptype="general">인증 체계는 위험도에 따라 ‘강화’ ‘표준’ ‘간편’ 3단계로 재편된다.</p> <p contents-hash="f8c732cacf40edbe8a34501073638caaa3e712426ad99d6ea2cf6a5d7097ac5c" dmcf-pid="BbwtWWe4nr" dmcf-ptype="general">특히 매출 1조원 이상 ISP(인터넷서비스제공사업자)·IDC(인터넷데이터센터)나 매출 3조원 이상 대형 정보통신서비스 제공자는 ‘강화 인증’ 대상군으로 분류된다. 강화 인증군은 주요 보안위협 사례를 반영한 엄격한 기준을 적용받으며, 외부 인터넷과 연결된 모든 디지털 자산을 인증 범위에 반드시 포함해야 한다. 적용 시점은 내년 부터다.</p> <figure class="figure_frm origin_fig" contents-hash="b2709b04a7945fc8b77e67789148908d722c556b35135960a2589f485bd9e657" dmcf-pid="bKrFYYd8Jw" dmcf-ptype="figure"> <p class="link_figure"><img class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202604/10/mk/20260410141504290mrlt.png" data-org-width="700" dmcf-mid="5QcXSSQ9nW" dmcf-mtype="image" height="auto" src="https://img2.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202604/10/mk/20260410141504290mrlt.png" width="658"></p> </figure> <div contents-hash="09f3a363ec56649c7b43288e9948a4d10c7f99a37c3a3022207aee5f15e983a7" dmcf-pid="K9m3GGJ6dD" dmcf-ptype="general"> 심사 방식도 ‘실전형’으로 체질을 개선한다. 서류 확인 위주였던 기존 방식에서 탈피해 심사기관이 직접 보안 취약점을 점검하고, 시스템 접속 시연을 확인하는 현장실증형 심사체계를 구축한다. 또한 본심사 전 ‘예비심사’ 단계에선 부실 기업의 진입을 사전에 차단하고, 전문 인력이 모의 침투와 소스코드 진단을 수행한다. </div> <p contents-hash="4401af352844e849ec1b3a5db153ac3634c7763f3357702d39fdd39d2deed516" dmcf-pid="92s0HHiPME" dmcf-ptype="general">이에 맞춰 심사투입 인력과 기간을 확대하는 등 심사팀 구성 체계도 개편한다. 표준인증군은 인증심사원을 추가 투입해 현장실증을 강화하고, 강화인증군은 취약점점검원을 전담 투입해 중요도가 높은 정보자산을 기술심사를 통해 점검한다. 그만큼 정밀 점검 자산 수도 기존 10대에서 최대 500대로 대폭 늘어난다.</p> <figure class="figure_frm origin_fig" contents-hash="37d34308467af59fa78c6af40ba362ba33c3a5ff03ed5bfe159e22f37e57982d" dmcf-pid="2VOpXXnQdk" dmcf-ptype="figure"> <p class="link_figure"><img class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202604/10/mk/20260410141505613vfrr.png" data-org-width="700" dmcf-mid="1UVAii1yMy" dmcf-mtype="image" height="auto" src="https://img4.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202604/10/mk/20260410141505613vfrr.png" width="658"></p> </figure> <div contents-hash="89413b937490341d85534c75069744a0bbc8e5a37ff3382fd4b42fca67a3a5b3" dmcf-pid="VfIUZZLxJc" dmcf-ptype="general"> 사후 관리와 처분도 엄격해진다. </div> <p contents-hash="a1a0b6b7affa4fa8ce3f32470548b425887c3ec8cd6c233eaeee2d490c4f71bc" dmcf-pid="f4Cu55oMMA" dmcf-ptype="general">특정 시점만 확인하는 ‘스냅샷’ 방식 대신 상시 점검 체계를 확립하고, 중대 사고 발생 시 인증 심사를 즉시 중단한다. 특히 사고 원인 분석 결과 중대 결함을 기한 내 보완하지 않을 경우 인증을 취소하는 기준도 구체화한다. 그간 인증 기업의 사고에도 취소 사례가 없었다는 지적을 반영한 조치다.</p> <p contents-hash="ca6a0e5e8c5c6d663d259ed06dbeb713fc70f0489ec1647f9a53b52c3d11bc29" dmcf-pid="48h711gRij" dmcf-ptype="general">아울러 부실심사를 방지하고 심사품질을 제고하기 위해 심사기관의 관리책임을 강화하는 한편 심사원의 전문역량 개발에도 집중한다. 이를 위해 매 인증심사 종료 후 심사기관에 대한 신뢰도 조사를 실시하고, 그 결과를 차년도 인증심사 배분 시 반영해 심사기관이 스스로 품질을 관리하는 체계를 마련하겠다는 복안이다.</p> <figure class="figure_frm origin_fig" contents-hash="38a8f5821cb4d3bc5b77b8159f5e03df465c3952ec6322aa699e2583c2827713" dmcf-pid="86lzttaenN" dmcf-ptype="figure"> <p class="link_figure"><img class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202604/10/mk/20260410141507140ucmk.png" data-org-width="700" dmcf-mid="tz7iPPyOJT" dmcf-mtype="image" height="auto" src="https://img1.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202604/10/mk/20260410141507140ucmk.png" width="658"></p> </figure> <div contents-hash="4914894708e9ec4e44debc7541bb2466a84feb36b54674e810d27166c5f82028" dmcf-pid="6I2jJJ5Tda" dmcf-ptype="general"> 송경희 개보위원장은 “인증제도를 개인정보 보호의 사전예방 핵심수단으로 개선해 국민이 안심할 수 있는 디지털 환경을 구현하겠다”고 말했다. </div> <p contents-hash="577f3e99a6042a468469802b3eed654fed6eaf5f615fc03725b3d134853e161f" dmcf-pid="PCVAii1yRg" dmcf-ptype="general">류제명 과기정통부 제2차관도 “급변하는 사이버 보안 환경에 대응해 정보보호 관리체계를 보다 엄격하고 내실 있게 운영해 인증제도의 실효성을 높이고, 국민이 신뢰할 수 있는 인증체계로 발전시켜 나가겠다”고 말했다.</p> </section> </div> <p class="" data-translation="true">Copyright © 매일경제 & mk.co.kr. 무단 전재, 재배포 및 AI학습 이용 금지</p> 관련자료 이전 '휴머노이드 실증' 지원 3배 늘린다…데이터·공정 검증 강화 04-10 다음 안세영, 日 선수 꺾고 아시아선수권 4강행…그랜드슬램 '순항' 04-10 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
