정부가 정보 유출 사고를 예방하기 위해 정보보호 인증제도를 전면 개편한다. 과학기술정보통신부와 개인정보보호위원회는 4월 10일 정부서울청사에서 열린 경제관계장관회의에서 ‘정보보호 및 개인정보보호 관리체계 인증제 실효성 강화방안’을 발표하고 ‘정보보호 및 개인정보보호 관리체계 인증(ISMS·ISMS-P)’을 의무화하기로 했다. 이번 방안에는 ▲인증 대상·기준 ▲심사방식 ▲사후관리 ▲심사품질 확보 등 제도 전반의 개선과제가 담겼다.
먼저 개인정보보호 관리체계 인증(ISMS-P)이 의무화된다. 적용 대상은 공공시스템 운영기관, 이동통신사업자, 본인확인기관, 매출액 및 개인정보 처리 규모를 고려한 대규모 개인정보처리자 등이다.
인증체계도 획일적 방식에서 벗어나 위험도에 따라 차등화 구조로 개편된다. 이에 따라 ‘강화인증’(신설), ‘표준인증’, ‘간편인증’의 3단계 체계로 재편하며 국민 생활에 미치는 영향이 큰 강화인증군에는 더 엄격한 기준과 심사방식이 적용된다.
인증 심사방식도 대폭 강화된다. 예비심사 단계에서 핵심 기준을 사전점검해 미흡한 사항을 보완한 뒤 본심사 진행 여부를 결정한다. 취약점 진단과 모의침투 등 기술심사를 도입한다. 또한 실시간 시연 등 현장실증 방식을 통해 실제 보안관리 수준을 직접 확인하도록 한다. 심사 인력과 기간을 확대하고, 표준인증에는 심사원을 추가 투입해 현장 점검을 강화하며, 강화인증군에는 취약점 점검 전담인력을 배치해 중요 정보자산을 정밀 점검할 계획이다.
사후관리 체계도 강화한다. 인증 종료 이후 심사기관에 대한 신뢰도 조사를 실시하고 결과를 다음 연도 인증 심사 배분에 반영해 심사품질의 자율적 관리를 유도한다. 아울러 정부와 인증기관 간 사고 이력을 상시 공유할 수 있는 체계도 구축된다. 심사원의 기술심사 검증 역량 강화를 위해 실무교육을 실시하고 기술심사 가이드를 제공해 심사의 일관성을 확보할 예정이다.
상시 점검 강화와 인증 취소 등 사후관리 조치는 올해 하반기부터 시행되며 개인정보보호 관리체계 의무화와 인증 차등 적용, 강화인증 기준 도입 등은 2027년 시행을 목표로 상반기 중 관련 준비 작업이 추진된다.
백재호 기자