[ISMS-P 보안 인증] 심사 강화에 수수료 현실화까지… 실효성 높인다

시사위크=조윤찬 기자  정부가 ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 제도 실효성을 높이기 위해 제도 개선에 나섰다. ISMS-P 인증을 받은 기업들이 지난해 해킹 사태를 겪으면서 정부 인증 제도가 유명무실하다는 평가가 나오기 때문이다. 관련 법안은 국회를 통과해 정부의 시행령 개정 작업이 남았다.

◇ 통신사 등에 강화인증 적용… 기존 심사 인력 두 배 투입

10일 과학기술정보통신부와 개인정보보호위원회는 인증 의무화를 비롯해 심사 기준 강화, 심사 인력 확보를 위한 처우 개선 등을 담은 ‘ISMS-P 인증제 실효성 강화방안’을 발표했다. ISMS-P는 정보보호와 개인정보보호 수준을 정부가 인증해주는 제도다.

ISMS-P는 기업들이 자율적으로 획득하고 있다. 하지만 최근 ‘개인정보보호법’ 개정으로 ISMS-P도 내년 7월부터 의무화가 시행되며 시행령에서 의무대상을 정해야 한다. 정보보호 수준 인증만 해주는 ISMS는 정보통신망서비스 제공자(ISP)와 집적정보통신시설사업자(IDC)가 의무적으로 획득하는 중이다.

이번 방안에서 ISMS-P 의무 대상은 △주요 공공시스템 운영기관 △이동통신사 △본인확인기관 △대규모 개인정보처리자 등이다.

여기에 강화인증 제도를 신설하며 △매출 1조원 이상 ISP, IDC 사업자 △매출 3조원 이상 정보통신서비스제공자는 타사들과 달리 높은 수준의 보안 수준을 요구받게 됐다. 기존 인증이 5명의 심사팀이 7일에 걸쳐 심사했다면 강화인증은 10명의 인력이 12일간 심사한다.

심사 방식도 달라진다. 정부는 사이버 위협이 고도화하는 상황에서 기존 서면 위주 심사는 효과적이지 못하다고 봤다. 본심사 이전에 이뤄지는 예비 심사단계에서부터 심사원이 보안관리 현장에서 상태를 확인한다.

◇ 침해사고 기업, ISMS 인증에서도 관리받는다… 심사원 처우 개선해 전문 인력 확보

기존에 인증을 받은 침해사고 기업은 별도의 사후관리와 함께 인증심사가 이뤄진다. 민관합동조사단은 침해사고 기업을 조사하고 재발방지 대책을 제시하는데, 인증심사에서도 별도의 사고원인을 심사하고 사고조치 현황을 평가한다. 지난해는 SKT, KT, LG유플러스, 쿠팡, 신한카드 등의 ISMS-P 인증 기업들이 해킹 사고를 경험했다.

침해사고 기업이 사후관리가 포함된 인증심사에 협조하지 않거나 법 위반 행위가 중대한 경우에는 인증이 취소된다. 과기정통부 관계자는 “민관합동조사단과 별개로 ISMS 인증에서도 사고기업이 향후 동일한 사고가 발생하지 않도록 관리하겠다”고 말했다.

강화인증, 침해사고 기업 심사 등 기존 심사 대비 필요한 인력이 늘어나면서 전문 인력 확보도 중요해졌다. 이에 정부는 심사기관과 심사원의 인건비 현실화로 처우개선을 이룰 계획이다. 우수 인력 이탈을 방지하고 심사원도 추가 확보한다.

현재 ISMS-P 인증기관은 한국인터넷진흥원(KISA)이며 한국정보통신진흥협회, 한국정보통신기술협회, 개인정보보호협회, 차세대정보보안인증원 등이 심사기관이다. 심사기관이 심사결과를 KISA에 제출하며 인증이 이뤄지는 방식으로 운영되고 있다.

인건비 현실화에 대해 과기정통부 관계자는 “기업들이 내는 심사 수수료를 의미한다”고 말했다. 최근 인증 심사 수수료는 약 1,000만원 수준으로 알려졌다. 정부는 정보보안전문가 평균 임금과 연동해 수수료를 책정하기로 했다.

정부는 ISMS-P 의무화, 강화 인증기준 적용 등을 내년에 시행할 수 있도록 올해 상반기 시행령과 고시 개정 작업을 진행할 예정이다.