민감정보 쌓인 국민연금·LH, 정보보호 인증 ‘셀프 패스’ 작성일 05-25 41 목록 <div id="layerTranslateNotice" style="display:none;"></div> <strong class="summary_view" data-translation="true">집중관리 58곳 중 LH·연금공단 등 대다수 인증 미보유<br>이달 중 의무 공공기관 범위 담은 개정안 초안 공개 전망</strong> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="5Sg7RkJ6lv"> <figure class="figure_frm origin_fig" contents-hash="ebd9e018bca9f946aa6df3f8674fb400d1b781828c01bb3bbe68685ed7495225" dmcf-pid="1vazeEiPWS" dmcf-ptype="figure"> <p class="link_figure"><img alt="미리캔버스가 그린 일러스트." class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202605/25/dt/20260525163619681vvxx.png" data-org-width="640" dmcf-mid="ZHR1fL6bTT" dmcf-mtype="image" height="auto" src="https://img2.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202605/25/dt/20260525163619681vvxx.png" width="658"></p> <figcaption class="txt_caption default_figure"> 미리캔버스가 그린 일러스트. </figcaption> </figure> <p contents-hash="2c10fc71aa62386474281882f9b6bfd1cc9ebae077b7e754d9f215f2ec636af8" dmcf-pid="tTNqdDnQyl" dmcf-ptype="general"><br> 전 국민의 직장·사업·소득 정보를 가진 국민연금공단과 아파트 청약을 위한 정보를 다루는 한국부동산원, 한국토지주택공사(LH) 등 공공기관 다수가 정보보호 및 개인정보보호 관리체계(ISMS·ISMS-P) 인증을 받지 않은 것으로 확인됐다.</p> <p contents-hash="3bf51a801d57e1be836bbbb9c35b3087a214eeca16f18688d04f79c207731d84" dmcf-pid="FyjBJwLxlh" dmcf-ptype="general">내년 7월 공공기관 ISMS-P 인증 의무화 시행을 앞두고 개인정보보호위원회가 시행령 개정 작업을 하는 가운데 의무 대상 공공기관을 대폭 확대해 사각지대를 없애야 한다는 주장이 설득력을 얻고 있다.</p> <p contents-hash="ae9d75b2514260d9c742f923196d886a96622071ff3e7ea8b79095986d5fc0de" dmcf-pid="3WAbiroMlC" dmcf-ptype="general">25일 정보보안 업계에 따르면 공공기관 ISMS-P 인증 의무화 범위가 포함된 개인정보 보호법 시행령 개정안 초안이 이르면 이달 중 공개될 전망이다. ISMS-P 인증은 국제표준을 토대로 기업이나 기관의 보안 수준을 점검·인증하는 제도다. 매출액 등을 기준으로 일정 규모 이상 기업에만 의무가 부여되고, 공공기관의 인증 취득은 자율에 맡겨져 있다. 인증은 한국인터넷진흥원(KISA)이 담당한다.</p> <p contents-hash="93bb77ceb33e04276dedd84b0d2887795147d18379ecb00ba670c05ad06bca52" dmcf-pid="0YcKnmgRlI" dmcf-ptype="general">그러나 최근 잇따른 유출 사태와 사고 증가에 공공기관 인증 의무화가 추진돼 왔다. 개인정보위 집계에 따르면 지난해 공공기관 유출 사고는 128건이 일어났다.</p> <p contents-hash="6f68039a6ffcca3556b7efdc3b1ac0694d7cefe51e585b3f677e76b914c487b1" dmcf-pid="pGk9LsaevO" dmcf-ptype="general">개인정보위는 ISMS-P와 별개로 시스템 중요도에 따라 ‘공공기관 집중관리시스템’을 지정하고 있다. 현재 58개 기관 387개 시스템이 강화된 안전성 확보조치 의무를 적용받는다.</p> <p contents-hash="d2cbc0f8169db837f4264b64e3a4bcf0aabf2325a8641ceddc99412e59b298b4" dmcf-pid="UHE2oONdls" dmcf-ptype="general">집중관리 기관 중에는 자발적으로 ISMS-P 인증을 취득한 곳도 있다. KISA의 인증서 발급현황에 따르면 국민건강보험공단, 한국지역정보개발원 등이 자율적으로 인증을 받았다. 반면 한국부동산원, LH, 국민연금공단, 한국전력공사, 한국가스공사 등 대부분 집중관리 기관은 인증을 받지 않았다. 이들 중에는 직원 실수나 시스템 부재로 유출 사고가 발생한 곳도 있다.</p> <p contents-hash="b5b33052d26e376fcf2c3d747a7bd00051d723e15ce2034101a1809171755fe0" dmcf-pid="uXDVgIjJhm" dmcf-ptype="general">집중관리 명단에도 포함되지 않고 인증도 받지 않은 ‘이중 사각지대’ 기관도 있다. 자동차 운전면허 정보를 보유한 한국도로교통공단, 수능 정보를 다루는 한국교육과정평가원, 부동산 관련 민감 정보를 취급하는 HUG주택도시보증공사·한국주택금융공사 등이다. 제주 면세점 이용 내·외국인 정보를 관리하는 제주국제자유도시개발센터(JDC)도 마찬가지다.</p> <p contents-hash="87217a0924ea511d43aae289f09e1ba21695c6a5fcf25365f19cb1b2f4171af6" dmcf-pid="7ZwfaCAiyr" dmcf-ptype="general">인증을 받지 않은 한 공공기관의 보안 담당자는 디지털타임스가 그 이유를 묻자 “그동안 ISMS-P 인증이 법령상 의무가 아니어서 받지 않은 것”이라고 해명했다. 그러나 KISA의 한 인증 심사원은 “공공기관 중 정보보안을 전문가가 아닌 일반 직원 순환 보직으로 담당하고 관리체계가 잡혀 있지 않은 곳이 많다”면서 “인증은 실제로 체계가 갖춰져 있는지 외부로부터 객관적으로 확인받는 것이라 대단히 중요하다”고 설명했다.</p> <p contents-hash="33c1a23026f0c985aba437fe8d42b93b1adc0a3d435176d7f61c3c26e95c1b3f" dmcf-pid="zQ0DHq5TWw" dmcf-ptype="general">전문가들은 시행령 개정안이 인증 의무에 대형 공공기관을 반드시 포함시키는 방향으로 설계돼야 한다고 지적했다.</p> <p contents-hash="6a36b7e026bf4151d0e24a202c2868cb767c355a29a10d4369f282a167b88bc3" dmcf-pid="qxpwXB1ySD" dmcf-ptype="general">김도승 전북대 교수(개인정보보호법학회장)는 “그동안 민간의 ISMS 인증 의무 대상은 정보통신서비스 제공자를 전제로 매출이나 이용자 수 같은 규모 기준으로 정해졌지만 공공은 이같은 영리 관점으로 접근하면 맞지 않다”며 “다루는 데이터의 민감성과 특이성, 그 데이터를 얼마나 크리티컬하게 활용하는가가 핵심 기준이 돼야 한다”고 제언했다.</p> <p contents-hash="bb298f6aef418e3f2be55daffd3189cb2a860c9cb8b54b1398481685675304de" dmcf-pid="BMUrZbtWhE" dmcf-ptype="general">인증 체계 자체의 한계도 지적했다. 그는 “현행 인증은 문서 중심이고 점검 시점에만 문제가 없다는 것을 보증하는 ‘스냅샷 인증’이라는 본질적 한계가 있다”며 “인증 형식의 개선이 병행되지 않으면 또 다른 문서 작업이 늘어날 뿐”이라고 강조했다.</p> <p contents-hash="7c5c9a76b6809d803500c55ab508db797f30b1c0ab6ea8f50469a820db4e033b" dmcf-pid="bRum5KFYTk" dmcf-ptype="general">김남석 기자 kns@dt.co.kr</p> </section> </div> <p class="" data-translation="true">Copyright © 디지털타임스. 무단전재 및 재배포 금지.</p> 관련자료 이전 삼성전자, 세계 최초 '900단 V낸드' 구현…1000단 시대 머지않았다 05-25 다음 '이번엔 태국이다'…스포츠스태킹, 역대급 국가대표 선발전 포문 05-25 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
