SBS Biz

[이커머스 1위 업체 쿠팡에서 약 3천400만건에 이르는 대규모 개인정보가 유출된 가운데 4일 서울 시내 한 쿠팡 물류센터에 배송차량이 주차돼 있다. (사진=연합뉴스)]

최근 쿠팡 등 정보보호 관리 체계(ISMS)와 정보보호·개인정보보호 관리 체계(ISMS-P) 인증기업에서 개인정보 유출 사고가 반복되면서 정부가 두 인증 제도의 사후관리와 심사 기준을 대폭 강화하기로 했습니다.



특히 인증기업에서 유출 사고가 발생하면 특별 사후심사를 실시하고, 인증 기준에 중대한 결함이 확인되면 인증을 취소하는 방안도 추진됩니다. 

개인정보보호위원회와 과학기술정보통신부는 오늘(6일) 관계 부처 대책 회의를 열고 이러한 인증제 개선 방안을 논의했다고 밝혔습니다.

개편안에 따르면 기존에 자율 신청 방식으로 운영돼 온 ISMS-P 인증을 공공·민간 주요 개인정보 처리 시스템에 의무화해 상시적 안전관리 체계를 갖추도록 할 계획입니다.

주요 공공 시스템, 통신사, 대규모 플랫폼 등이 대상이며, 특히 국민 파급력이 큰 기업에는 강화된 인증 기준을 새로 마련해 적용합니다. 



이를 위해 개인정보보호법과 정보통신망법 개정도 조속히 추진합니다.

심사 방식도 바뀝니다. 

예비 심사 단계에서 핵심 항목을 먼저 검증하고, 기술 심사와 현장 실증 심사 역시 강화합니다.

분야별 인증위원회를 운영하고 심사원에 대한 AI 등 신기술 교육을 확대해 전문성도 높입니다. 

사후관리는 더욱 엄격해집니다. 

인증기업에서 유출 사고가 발생하면 즉시 특별 사후 심사를 해 인증 기준 충족 여부를 확인하고, 중대한 결함이 드러날 경우 인증위원회 심의·의결을 거쳐 인증을 취소할 수 있도록 합니다. 

지금까지 ISMS-P 인증을 받았다가 취소된 기업은 없습니다. 만일 쿠팡의 인증이 취소될 경우 최초 사례가 됩니다.

사고기업에는 사후 심사 인력과 기간을 기존보다 두 배로 투입해 사고원인과 재발 방지 조치를 집중 점검합니다.

개인정보위는 유출 사고가 발생한 인증기업에 대해 이달부터 현장점검을 실시합니다.

특히 쿠팡 등 현재 조사가 진행 중인 기업은 과기정통부 민관합동조사단 및 개인정보위 조사와 연계해 한국인터넷진흥원(KISA)과 금융보안원이 인증 기준 적합성 등을 점검합니다. 

과기정통부는 지난 10월 발표한 '정보보호 종합대책' 후속 조치로 900여개 ISMS 인증기업에 인터넷 접점 보안 취약점 긴급 자체 점검을 요청했습니다.

내년 초부터 기업 점검 결과에 대한 현장 검증을 실시할 예정입니다. 

두 기관은 현재 운영 중인 과기정통부·개인정보위·인증기관 합동 제도개선 태스크포스(TF)를 통해 개선 방안을 확정한 뒤, 특별 사후 점검 결과 등을 반영해 내년 1분기 중 관련 고시를 개정하고 단계적으로 시행할 방침입니다.