과학기술정보통신부(이하 ‘과기정통부’), 개인정보보호위원회(이하 ‘개인정보위’)는 12월 6일, ‘인증제 개선 관계부처 대책회의’를 개최하고 인증 실효성 강화를 위한 전면적 제도 개편방안을 추진한다고 밝혔습니다.
위 대책회의는 최근 정보보호관리체계 인증∙정보보호 및 개인정보보호 관리체계(ISMS·ISMS-P*) 인증기업의 해킹, 대규모 개인정보 유출사고가 반복 발생함에 따라, 개인정보위 위원장 주재로 개최되었습니다.
* (Personal Information & Information Security Management System) 주요 정보자산 유출 및 피해 예방을 위해 일정수준 이상의 기업 또는 기관이 구축․운영 중인 개인정보 및 정보보호 체계가 적합한지 인증(정보통신망법 제47조, 개인정보보호법 제32조의2에 근거)
위 대책회의에서 논의된 인증 실효성 강화방안의 주요내용(안)은 아래와 같습니다.
① 상시적 개인정보 안전관리체계 구축 : 기존에 자율적으로 운영되던 ISMS-P 인증을 공공·민간 주요 개인정보처리시스템(주요 공공시스템, 통신사, 온라인 플랫폼 등)에 대해 의무화 / 이를 위한 개인정보 보호법 및 정보통신망법 개정 조속히 추진
② 강화된 인증기준 마련 : 통신사, 대규모 플랫폼 등 국민 파급력이 큰 기업에 대해 강화된 인증기준 적용 / 이를 위해 개인정보 보호법 및 정보통신망법 개정 조속히 추진
③ 심사방식 전면 강화 : 예비심사 단계에서 핵심항목 先검증 / 기술심사 및 현장실증 심사 강화
④ 인증 전문성 제고 : 분야별 인증위원회 운영, 심사원 대상 AI 등 신기술 교육
⑤ 사후관리 대폭 강화 : 인증기업 유출사고 발생시 적시에 특별 사후심사 실시 / 중대 결함 발견시 인증위원회 심의·의결 거쳐 인증 취소 / 사고기업에 대해서는 사후심사 투입 인력·기간 2배 확대 / 사고원인 및 재발방지 조치 집중 점검
<심사방식 강화방안 주요내용(안)>
| 구분 | 기존 | 개선 |
|---|---|---|
| 인증신청 | • 관리체계 운영명세서 | • 관리체계 운영명세서 + 인증범위 자산현황 추가 |
| 예비심사 | • 심사팀장 1인 방문(1일) | ① 핵심항목 先검증 ② (ISMS(고위험, 사고기업), ISMS-P) 기술심사 방식 적용(취약점진단, 모의침투) |
| 핵심항목 미충족 ➔ 본심사 불가 ➔ (최초인증) 신청 반려, (사후심사) 인증효력 취소 | ||
| 본심사 | • 서면위주, 샘플링 점검(5일) | • 서면점검 + ③ 코어시스템 중심 현장실증형 심사 |
| 사후심사 | • 심사팀장 1인 방문(1일) | • 심사팀장 1인 + 결함발생 수준별 심사인력 추가 투입 |
아울러 개인정보위는 유출사고가 발생한 인증기업에 대해 이달부터 현장점검을 실시한다고 덧붙였습니다. 특히 현재 조사가 진행 중인 기업의 경우, 과기정통부 민관합동조사단·개인정보위 조사와 연계해 인증기관* 주관으로 인증기준 적합성 등에 대한 점검도 실시할 예정입니다.
* 인증심사 및 인증서 발급 등 인증 관련 업무를 수행하는 KISA(법정 인증기관), 금융보안원(금융분야 인증심사기관)
한편 과기정통부는 「정보보호 종합대책」(10.22., 관계부처 합동) 후속으로 900여개 ISMS 인증기업들(통신, 온라인쇼핑몰 등)을 대상으로 모든 인터넷 접점에 대한 보안 취약점 점검 등 긴급 자체 점검을 실시하도록 요청하였으며, 점검 결과에 대해서는 내년 초부터 현장 검증을 실시할 예정이라고 밝히기도 하였습니다.
과기정통부와 개인정보위 양 기관은 「과기정통부·개인정보위·인증기관 합동 제도개선 TF」를 통해 개선방안을 최종 확정하고, 특별 사후점검 결과 등을 반영하여 내년 1분기 중 관련 고시를 개정한 후 단계적으로 시행할 예정이라는 입장입니다.
시사점
- 이번 대책회의는 최근 반복적으로 발생한 인증기업의 해킹 및 대규모 개인정보 유출사고에 대해 이를 기업 차원의 문제로만 보지 않고 정부도 적극적으로 대응하겠다는 의지를 담고 있는 것으로 보입니다. 향후 개인정보위와 과기정통부 등이 참여하는 합동 제도개선 TF를 통하여 관련 정책과 제도에 관한 개편이 보다 신속하고 유기적으로 진행될 것으로 예상됩니다.
- 위 회의에서 논의된 심사방식 강화방안 주요내용(안)에 따르면, 개인정보 보호법 및 정보통신망법 개정을 통해 ISMS-P 인증을 의무화하고 강화된 인증기준을 마련할 예정이므로, 향후 입법안 내용을 비롯하여 진행되는 입법 동향을 주시할 필요가 있습니다.
- 심사방식 강화에 따라 인증기업들에 대하여 법령상 의무 및 기준들이 새로이 부과·적용될 것으로 예상되는 만큼, 저희 법인 전문가들과 긴밀히 협력하여 선제적으로 대책을 마련할 필요가 있을 것으로 보입니다.
About Shin & Kim’s ICT Group
법무법인(유) 세종 ICT그룹은 ICT 분야에 차별화된 전문성과 인적 네트워크를 보유하고 있으며, 고객들로부터 최근 수년간 가장 높은 평가를 받고 있습니다. 방송과 통신, 개인정보, 인터넷 IT 분야에서 축적된 역량을 바탕으로 방송·통신·ICT 규제 동향 파악 및 대관, 법제개선·입법컨설팅, 규제영향력 분석과 기업의 전략 수립 등에 대한 종합적인 법률자문을 제공하고 있습니다. 아울러 AI Compliance, 침해사고 대응 등과 관련하여서도 다양한 업무경험과 전문성을 보유하고 있으므로, 보다 전문적인 내용이나 궁금하신 사항이 있으면 언제든지 연락 주시기 바랍니다.
