ISMS-P 인증 개선...현장심사 추가 등 까다로워져 작성일 09-30 59 목록 <div id="layerTranslateNotice" style="display:none;"></div> <strong class="summary_view" data-translation="true">[대한민국 사이버보안 컨퍼런스] 윤여정 개보위 자율보호정책과장 "인증 대상 단계적 의무화"</strong> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="GWQjpkuSk7"> <p contents-hash="ecc0560b1236551400b4a5b3943508fcd31d4efb347035a7e7f5fa8d7b2cd619" dmcf-pid="HYxAUE7vau" dmcf-ptype="general">(지디넷코리아=김기찬 기자)롯데카드가 정보보호 및 개인정보보호 관리체계 인증(ISMS-P)을 획득한지 얼마 지나지 않아 대형 침해사고가 발생하면서 ISMS-P의 실효성에 대한 비판이 나오고 있다. 이에 개인정보보호위원회(개보위)가 ISMS-P 인증의 실효성을 높이기 위해 기존 한계를 개선해 나갈 계획이다.</p> <p contents-hash="0916a36f40eb56fc0ec8a67188d3cac2f6b085c6ce45ec3b20b5c5bd61672f13" dmcf-pid="XGMcuDzTNU" dmcf-ptype="general">윤여진 개보위 자율보호정책과장은 30일 서울 코엑스에서 개최된 과학기술정보통신부 공식 AI 주간 'AI페스타 2025' 부대 행사로 개최된 '대한민국 사이버 보안 컨퍼런스'에서 '개인정보 예방체계 구축'을 주제로 발표했다.</p> <figure class="figure_frm origin_fig" contents-hash="327f40ffc25582a43c715671b41b961f0c872e3ef03951fe5c5eb832c9981ada" dmcf-pid="ZHRk7wqyjp" dmcf-ptype="figure"> <p class="link_figure"><img alt="윤여진 개인정보보호위원회 자율보호정책과장이 발표하고 있다." class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202509/30/ZDNetKorea/20250930210649371bdsi.jpg" data-org-width="640" dmcf-mid="Yl2iZo1maz" dmcf-mtype="image" height="auto" src="https://img4.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202509/30/ZDNetKorea/20250930210649371bdsi.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> 윤여진 개인정보보호위원회 자율보호정책과장이 발표하고 있다. </figcaption> </figure> <p contents-hash="aba5465b6269663f0cff17e2520f7e2271a510032c2b70d0e9916bdb73d0f680" dmcf-pid="5XeEzrBWo0" dmcf-ptype="general">이날 윤 과장은 현행 ISMS-P의 한계점을 지속 개선해 나간다고 밝혔다. 뿐만 아니라 개인정보 영향평가도 공공 부문에만 국한된 점을 개선해 민간에서도 자율적으로 수행할 수 있는 여건을 조성할 계획이다.</p> <p contents-hash="12952c0853ee3330160a422612e303450f46a6b9fde1a016c8179cea04c7d8f5" dmcf-pid="1ZdDqmbYa3" dmcf-ptype="general">우선 윤 과장은 ISMS-P 인증이 위험이 남아있더라도 위험 수용 관리를 위한 보안 대책을 마련하고 있다면 결함으로 보지 않는 한계가 있다고 짚었다. 또 심사 자체가 서면심사를 중심으로 운영돼 해킹 공격 대응에도 한계가 있다고 강조했다.</p> <p contents-hash="5ce1a972b993b14e4f3230424a0bcff4e3cbd41f1c48268783bec652581044a5" dmcf-pid="t5JwBsKGoF" dmcf-ptype="general">이에 윤 과장은 ISMS-P 인증의 실효성 강화를 위해 인증 체계를 고도화하고 인증 대상을 단계적으로 의무화하겠다고 밝혔다. 구체적으로 서면 중심의 심사에서 현장심사 체계도 도입하고, 핵심 항목에 대한 심사도 엄격화할 계획이다. 현장심사에는 취약점 점검, 모의해킹 등 항목이 추가된다.</p> <p contents-hash="612ba9bf8a48f57306ea7e4a95f00451118803217c0536abb9636fa53de6e1b7" dmcf-pid="F1irbO9Hat" dmcf-ptype="general">또한 사고 기업에 대한 사후심사도 강화한다. 이 때 중대결함이 발견되면 ISMS-P 인증의 취소까지도 고려된다.</p> <p contents-hash="194821d15c77abdd6ee51394a53fa3111935d4cc9156f463b8ae2f7bb4a52f63" dmcf-pid="3tnmKI2Xj1" dmcf-ptype="general">의무화와 관련해서는 민감, 대규모 개인정보를 처리하는 공공기관은 ISMS-P 인증을 반드시 획득하도록 하고, 민간에서도 통신사 등 2차 피해 우려가 큰 업종을 대상으로 인증을 의무화한다.</p> <p contents-hash="a76f2364c3f5c8163e52bfbc7afd22f07aefb9475534831a28accc48c3853739" dmcf-pid="0FLs9CVZg5" dmcf-ptype="general">개인정보 영향평가는 의무 대상 공공기관 범위를 확대하고, 공공기관만 의무화해 서비스 도입 전 위험식별·감경에 한계가 있었던 만큼 민간에서도 자율적·체계적으로 수행할 수 있는 여건을 조성한다. 대규모 개인정보를 처리하거나 중요도가 높은 개인정보를 처리하는 업종, 새로운 데이터 처리 기술을 사용하는 업종도 개인정보 영향평가 대상으로 권고된다.</p> <p contents-hash="9357dc6cf66a432adb21c0be8c3085e8f82634f53cb7191d6b3921a5e16cffd2" dmcf-pid="pUNh4v6FgZ" dmcf-ptype="general">이 외에도 개인정보 영향평가의 전문성 및 책임성 강화를 위해 ▲영향평가 품질검토 도입 ▲영향평가 전문인력 전문성 제고 ▲공공, 민간의 CPO가 평가결과의 최종 책임자로 서명하고 경영진에 보고하도록 권한 및 책임 강화 등의 방안을 도입한다.</p> <p contents-hash="4f4da9cfd1949418193ad4d693fdcd51c37146f1315aab45318e618b505b5302" dmcf-pid="Uujl8TP3jX" dmcf-ptype="general">김기찬 기자(71chan@zdnet.co.kr)</p> </section> </div> <p class="" data-translation="true">Copyright © 지디넷코리아. 무단전재 및 재배포 금지.</p> 관련자료 이전 "개보위, AI 시대 개인정보 활용 방안 강구" 09-30 다음 '시 쓰는 피겨 국가대표' 김현겸‥"감수성을 연기에 녹이고 싶어요" 09-30 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
