정보보호 인증 유명무실 지적에…“ISMS-P도 의무화·현장심사 전면 강화” 작성일 12-06 35 목록 <div id="layerTranslateNotice" style="display:none;"></div> <strong class="summary_view" data-translation="true">개인정보위·과기정통부, 인증제 개선 대책회의<br>핵심항목 중심 점검 강화, 사후관리 강화 등<br>유출사고 발생 인증기업 대상 특별 현장점검</strong> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="QAfIsWhDOT"> <p contents-hash="571a2629148fde21289853ae95592a7256703b15fd3ba721132dda704d8cd559" dmcf-pid="xc4COYlwsv" dmcf-ptype="general"> [이데일리 권하영 기자] 최근 정보보호·개인정보보호 관리체계(ISMS·ISMS-P) 인증 기업의 대규모 정보 유출 사고가 반복되자 정부가 제도 강화에 나섰다.</p> <figure class="figure_frm origin_fig" contents-hash="062a9a8d876c4f2ed152f21945d853db0b51a148ec9a48bac206fc43d579d6fc" dmcf-pid="yuhf2R8BIS" dmcf-ptype="figure"> <p class="link_figure"><img alt="송경희 개인정보보호위원회 위원장이 12월 6일 오후 정부서울청사에서 개최된 ISMS-P 인증 개선 관련 회의에서 모두발언을 하고 있다. 사진=개인정보위" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202512/06/Edaily/20251206173649501rhen.jpg" data-org-width="670" dmcf-mid="PVt1Z7FYEy" dmcf-mtype="image" height="auto" src="https://img1.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202512/06/Edaily/20251206173649501rhen.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> 송경희 개인정보보호위원회 위원장이 12월 6일 오후 정부서울청사에서 개최된 ISMS-P 인증 개선 관련 회의에서 모두발언을 하고 있다. 사진=개인정보위 </figcaption> </figure> <div contents-hash="b51fa706a470b50ac12a88ed5df8a137f9d6d07f0c5bd824ec195c1d7aa45b7f" dmcf-pid="W7l4Ve6bsl" dmcf-ptype="general"> 개인정보보호위원회(위원장 송경희), 과학기술정보통신부(부총리 겸 과기정통부 장관 배경훈)는 6일 인증제 개선 관계부처 대책회의에서 ISMS·ISMS-P 제도 전면 개편 방안을 추진한다고 밝혔다. </div> <p contents-hash="629a500d11564f517c91e8f6d620274ffda509ff61b4ac0233c23c3a36617423" dmcf-pid="Y61nJcoMDh" dmcf-ptype="general">이날 회의는 송경희 개인정보위 위언장 주재로 류제명 과기정통부 제2차관, 이상중 한국인터넷진흥원(KISA) 원장이 참여했다.</p> <p contents-hash="95f6bab69bef1b060efb66fd8a3baff8d6ceb93e7c9f115d24a837c315bc997c" dmcf-pid="GPtLikgRsC" dmcf-ptype="general">먼저, 기존에 자율적으로 운영되던 ‘ISMS-P’ 인증을 의무화한다. 주요 공공시스템, 통신사, 대규모 플랫폼 등 공공·민간 주요 개인정보처리시스템이 대상이다. 특히 통신사와 대형 플랫폼 사업자 등 국민 파급력이 큰 기업에는 강화된 인증기준을 적용한다. </p> <p contents-hash="371b9911e5b70b0570cb22d034c0cb4496b535e1370a760e989380fc3cc772a8" dmcf-pid="HQFonEaemI" dmcf-ptype="general">양 기관은 이를 위한 개인정보 보호법 및 정보통신망법 개정을 조속히 추진할 예정이다. </p> <p contents-hash="72a81762fe779a1c4cb5ecb8f90c528adad9113250ba9c6c130eb2192d50c578" dmcf-pid="Xx3gLDNdwO" dmcf-ptype="general">또한, 심사 방식을 강화한다. 기존에는 인증 신청 시 관리체계 운영명세서만 제출하면 됐지만, 앞으로는 인증범위 자산현황을 추가해야 한다. </p> <p contents-hash="951bc7f74235a3427ab0bdb27799c28fe1daf15ee557fc079fe5f418fcd0a0f6" dmcf-pid="ZM0aowjJss" dmcf-ptype="general">심사 팀장 1명이 하루 방문하는 수준에 그쳤던 예비 심사는 핵심 항목을 선제 검증하고, 취약점 진단과 모의 침투 등 기술 심사를 적용할 예정이다. 본 심사는 핵심 항목을 충족하지 못하면 아예 불가능하며, 심사 자체도 코어시스템 중심의 현장 실증형 심사를 강화하기로 했다.</p> <p contents-hash="3a7a248984481f829aa0ed443d66ab3b1187d9f9bb63b0e897f036a9f63a9119" dmcf-pid="5RpNgrAiwm" dmcf-ptype="general">분야별 인증위원회를 운영하고 심사원 대상으로 AI 등 신기술 교육을 통해 인증의 전문성도 높일 방침이다.</p> <p contents-hash="8d526c3604d0dafe50b0298c6839f71228eb3d35063961618af31d15a5561b0c" dmcf-pid="1eUjamcnIr" dmcf-ptype="general">아울러, 사후관리를 대폭 강화한다. 인증기업임에도 유출사고 발생 시 적시에 특별 사후심사를 실시해 인증기준 충족 여부를 확인할 수 있도록 한다. </p> <p contents-hash="52e6d90ce1d7b665dab346ab8232476d4c324c890de0936eb06def56a53cbb95" dmcf-pid="tduANskLsw" dmcf-ptype="general">특히 사후심사 과정에서 인증기준의 중대 결함이 발견되는 경우 인증위원회 심의·의결을 거쳐 인증을 취소한다. 또한 사고기업에 대해서는 사후심사 투입 인력·기간을 2배로 확대하고, 사고원인 및 재발방지 조치를 집중 점검할 계획이다.</p> <p contents-hash="ea435a9adc755cd62b370e03d67bef39da35dc872a49a76662f0a299123477cf" dmcf-pid="FJ7cjOEosD" dmcf-ptype="general">한편, 개인정보위는 유출사고가 발생한 인증기업에 대해 이달부터 현장점검을 실시한다. 특히 쿠팡 등 현재 조사가 진행 중인 기업의 경우, 과기정통부 민관합동조사단·개인정보위 조사와 연계해 인증기관 주관으로 인증기준 적합성 등에 대해 점검한다.</p> <p contents-hash="5b648930c4c82f56dfff1aa1c407498c33f5d69f3d8cfe2bfd37c9a7334d984a" dmcf-pid="3x3gLDNdDE" dmcf-ptype="general">과기정통부도 지난달 22일 발표한 범부처 정보보호 종합대책 후속으로 통신·온라인쇼핑몰 등 900여개 ISMS 인증기업에 긴급 자체 점검 실시를 요청한 상태로, 기업들의 점검 결과에 대해 내년 초부터 현장 검증을 실시할 예정이다. </p> <p contents-hash="57d68cd5f491eec4ddfa683e4fae566a2f36908da9617f2ccd6bed02bf142a68" dmcf-pid="0M0aowjJwk" dmcf-ptype="general">양 기관은 지난달부터 운영 중인 과기정통부·개인정보위·인증기관 합동 제도개선 TF를 통해 개선방안을 최종 확정하고, 특별 사후점검 결과 등을 반영해 내년 1분기 중 관련 고시를 개정하여 단계적으로 시행할 예정이다.</p> <p contents-hash="c273c4cb42464205bcd748e1b15bfd3a3829b73fa2d8b8f7357b00b2bebb0e16" dmcf-pid="pRpNgrAirc" dmcf-ptype="general">권하영 (kwonhy@edaily.co.kr) </p> </section> </div> <p class="" data-translation="true">Copyright © 이데일리. 무단전재 및 재배포 금지.</p> 관련자료 이전 정보보호 인증 유명무실 지적에…“ISMS-P도 의무화·현장심사 전면 강화” 12-06 다음 아홉·넥스지·킥플립, 베스트 뉴 아티스트 수상 "더 높이 올라갈 것"[10주년 AAA 2025] 12-06 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
