“정보 보호인증 유명무실” 비판 커지자…정부, ‘ISMS-P’ 심사방식 강화 작성일 12-06 27 목록 <div id="layerTranslateNotice" style="display:none;"></div> <strong class="summary_view" data-translation="true">ISMS-P 자율신청→주요시스템 의무화<br>개인정보 유출 사고 땐 ‘인증 취소’도<br>사고기업 사후심사 인력·기간 2배로 확대<br>2026년 1분기 고시 개정 추진</strong> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="KORu9M4qWe"> <figure class="figure_frm origin_fig" contents-hash="7614e64b1e4727036e0aee46203514da7e332f6b36f9d583bcb463e676621023" dmcf-pid="9Ie72R8BSR" dmcf-ptype="figure"> <p class="link_figure"><img class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202512/06/mk/20251206171502734exmi.jpg" data-org-width="650" dmcf-mid="bo7vXutWvd" dmcf-mtype="image" height="auto" src="https://img3.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202512/06/mk/20251206171502734exmi.jpg" width="658"></p> </figure> <div contents-hash="dc2dd03505a7f43ca6662ad0b5e9f34696b2af497058761ace60e9f3c99f78f0" dmcf-pid="2CdzVe6blM" dmcf-ptype="general"> 최근 쿠팡 등 정보보호 관리체계(ISMS)와 정보보호·개인정보보호 관리체계(ISMS-P) 인증기업에서 개인정보 유출 사고가 반복되자, 정부가 두 인증제도의 사후관리와 심사 기준을 대폭 강화하기로 했다. </div> <p contents-hash="c230cbc5a9fc4b4de53f3c3913350f9785b94456986d546de6c001a56ad6ca53" dmcf-pid="VhJqfdPKTx" dmcf-ptype="general">특히 인증기업에서 유출 사고가 발생하면 특별 사후심사를 실시하고, 인증기준에 중대한 결함이 확인되면 인증을 취소하는 방안도 추진된다.</p> <p contents-hash="7b8ca9245994c17ac796ce057482d6d1c6db1c69750123d6f242029fd0975d48" dmcf-pid="fliB4JQ9CQ" dmcf-ptype="general">과학기술정보통신부와 개인정보보호위원회는 6일 관계부처 대책회의를 열고 이 같은 내용의 인증제 개선 방안을 논의했다고 밝혔다.</p> <p contents-hash="f7cf02cddbcd4593380c2a4e2b42089403e8efe35d3100f8648efb2819939875" dmcf-pid="4Snb8ix2lP" dmcf-ptype="general">개편안에 따르면 기존에 자율 신청 방식으로 운영돼 온 ISMS-P 인증을 공공·민간 주요 개인정보처리시스템에 의무화해 상시적 안전관리체계를 갖추도록 할 계획이다.</p> <p contents-hash="3a13bafbd7f89f6d2d19befa32bdb74066e0a021892c2dd247f2bf8856439d3e" dmcf-pid="8To9PLRfv6" dmcf-ptype="general">주요 공공시스템, 통신사, 대규모 플랫폼 등이 대상이며, 특히 국민 파급력이 큰 기업에는 강화된 인증기준을 새로 마련해 적용한다. 이를 위해 개인정보보호법과 정보통신망법 개정도 조속히 추진한다.</p> <p contents-hash="1a3040d7ee5ce4d7ba6afcf0e7e8a2a7c429e52a5f4a55f7fddfacee85cd2f56" dmcf-pid="6yg2Qoe4C8" dmcf-ptype="general">심사 방식도 한층 강화된다. 예비심사 단계에서 핵심 항목을 먼저 검증하고, 기술심사와 현장실증 심사 강도를 높인다. 분야별 인증위원회를 운영하고 심사원에 대한 AI 등 신기술 교육을 확대해 전문성도 보강한다.</p> <p contents-hash="7fc41b431d6202aaeae5aba3c362e7282fd6cac4b77f46bfa1376047173cd96a" dmcf-pid="PWaVxgd8y4" dmcf-ptype="general">사후관리는 더욱 엄격해진다. 인증기업에서 유출 사고가 발생하면 즉시 특별 사후심사를 해 인증기준 충족 여부를 확인하고, 중대한 결함이 드러날 경우 인증위원회 심의·의결을 거쳐 인증을 취소할 수 있도록 한다. 지금까지 ISMS-P 인증을 받았다가 취소된 기업은 없다. 만약 쿠팡의 인증이 취소될 경우 최초 사례가 된다.</p> <p contents-hash="1eb52bcf19cbc8771670adde7dfc0c9775852a41d12987987e0255cd3e8366d3" dmcf-pid="QYNfMaJ6Tf" dmcf-ptype="general">사고기업에는 사후심사 인력과 기간을 기존보다 두 배로 투입해 사고원인과 재발 방지 조치를 집중 점검한다. 개인정보위는 유출 사고가 발생한 인증기업에 대해 이달부터 현장점검을 실시한다. 특히 쿠팡 등 현재 조사가 진행 중인 기업은 과기정통부 민관합동조사단 및 개인정보위 조사와 연계해 한국인터넷진흥원(KISA)과 금융보안원이 인증기준 적합성 등을 점검한다.</p> <p contents-hash="16e2ef6f779a1f36db88dae38016f58c27b682bbbba8bc37f7f9280de7f2089f" dmcf-pid="xGj4RNiPTV" dmcf-ptype="general">과기정통부는 지난 10월 발표한 ‘정보보호 종합대책’ 후속 조치로 900여개 ISMS 인증기업에 인터넷 접점 보안 취약점 긴급 자체점검을 요청했다. 내년 초부터 기업 점검 결과에 대한 현장 검증을 실시할 예정이다.</p> <p contents-hash="6629171bb1549508075b2fb338116b772a1b76d36bbafaaa59aabbffa8aba109" dmcf-pid="yephY0ZvS2" dmcf-ptype="general">두 기관은 현재 운영 중인 과기정통부·개인정보위·인증기관 합동 제도개선 태스크포스(TF)를 통해 개선방안을 확정한 뒤, 특별 사후점검 결과 등을 반영해 내년 1분기 중 관련 고시를 개정하고 단계적으로 시행할 방침이다.</p> </section> </div> <p class="" data-translation="true">Copyright © 매일경제 & mk.co.kr. 무단 전재, 재배포 및 AI학습 이용 금지</p> 관련자료 이전 박나래 '주사의모'는 의료인인가? 불러다 링거 맞은건 불법인가? 쟁점 [Oh!쎈 이슈] 12-06 다음 '열혈농구단' 라이징이글스, 박진영 팀과 첫 대결 "떨려서 잠도 못 자" 12-06 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
