과기정통부·개인정보위, ISMS·ISMS-P 인증 제도 대대적 개편 추진

"정보보호컨설팅 · 모의해킹 · 보안취약점진단" 전문기업 『라스컴 시큐리티』  www.lassecu.com  T:1522-3863  secu@lascom.co.kr         

안녕하세요, 라스컴 입니다.

최근 잇따른 대규모 개인정보 유출 사고로 인해 정부가 정보보호 및 개인정보보호 관리체계(ISMS·ISMS-P) 인증 제도를 전면 개편합니다.

과학기술정보통신부(과기정통부), 개인정보보호위원회(개인정보위), 한국인터넷진흥원(KISA)은 인증을 받은 기업들에서 대형 해킹·유출 사고가 반복되자, 제도의 실효성을 높이기 위한 개편 논의를 본격적으로 시작했습니다.

주요 개편 방향

1. ISMS-P 인증 의무화

• 현재 자율 인증인 ISMS-P를 주요 공공시스템, 통신사, 대형 온라인 플랫폼 등 국민 개인정보를 대규모로 처리하는 핵심 기관에 대해 의무화할 예정입니다.
• 이를 통해 상시적인 개인정보 안전관리 체계를 구축한다는 계획입니다.

2. 고위험 기업에 강화된 인증 기준 적용

• 통신사와 대규모 플랫폼처럼 국민 영향력이 큰 기업에는 더 엄격한 인증 기준을 새롭게 마련해 적용합니다.

3. 법 개정 추진

• 위 내용들을 뒷받침하기 위해 개인정보 보호법과 정보통신망법 개정을 조속히 추진할 방침입니다.

인증 심사 및 관리 체계 강화

• 심사 방식 전면 개선: 예비심사 단계에서 핵심 항목을 우선 검증하고, 기술심사와 현장실증 심사를 대폭 강화합니다.

• 전문성 제고: 분야별 인증위원회 운영과 심사원 대상 AI·신기술 교육을 실시합니다.

• 사후 관리 강화:

• 유출 사고 발생 시 즉시 특별 사후심사 실시
• 중대 결함 발견 시 인증 취소 가능
• 사고 기업에 대해서는 사후심사 인력·기간을 2배 확대하고, 사고 원인 및 재발방지 조치를 집중 점검

당장 진행되는 조치들

• 개인정보위는 이달부터 유출 사고가 발생한 인증 기업에 대해 현장점검을 시작합니다. (쿠팡 등 현재 조사 중인 기업 포함)
• 과기정통부는 ‘정보보호 종합대책’ 후속으로 900여 개 ISMS 인증 기업에게 모든 인터넷 접점에 대한 보안 취약점 긴급 자체 점검을 요청했습니다. 내년 초부터 현장 검증도 실시할 예정입니다.

향후 일정

과기정통부·개인정보위·인증기관 합동 제도개선 TF가 지난달부터 운영 중이며, 개선안을 최종 확정한 뒤 내년 1분기에 관련 고시를 개정하고 단계적으로 시행할 계획입니다.

이번 제도 개편은 인증 취득 자체보다 실제 보안 수준과 개인정보 보호 체계의 운영 실효성을 중시하는 방향으로 변화하고 있습니다. 

개인정보를 처리하는 기업이라면 관련 요구사항과 내부 관리체계를 사전에 점검하여 향후 제도 변화에 대비하시기 바랍니다.

라스컴 시큐리티는 ISMS·ISMS-P 인증 컨설팅, 정보보호 컨설팅 및 취약점 진단 서비스를 통해 고객사의 안정적인 인증 취득과 운영을 지원하고 있습니다. 궁금하신 사항이 있으시면 언제든지 문의해 주시기 바랍니다.

정보보호컨설팅 · 모의해킹 · 취약점진단