[컴퓨터월드] 정보보호 및 개인정보보호 관리체계 인증(ISMS-P) 제도가 개선된다. 실제 인증제도를 운영하고 있는 개인정보보호위원회가 현장에서 요구하던 유사·중복점검 해소, 인증·심사기관에 대한 관리 강화 등을 포함한 ‘정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시’ 개정안을 지난해 말 공포한 것이다.

ISMS-P 개선 사항은 K-사이버방역 정책에도 포함됐다. 클라우드, 교육, 의료 등 분야별 맞춤형 점검항목을 개발해 정보보호 사각지대를 해소하고, 표준화된 증빙 서류 양식과 가이드라인을 마련해 기업 스스로 인증을 준비할 수 있는 환경을 마련한다는 방침이다. 업계에서는 ISMS 인증 부담이 완화된다는 점에서 제도 개선을 환영하고 있다.

정보보호 체계 인증 통해 안전한 환경 구현

‘정보보호 관리체계 인증(ISMS) 제도’는 주요 정보자산 유출을 사전에 예방하기 위해 조직이 스스로 운영 중인 정보보호 및 개인정보보호 시스템이 적합한지 인증하는 제도다. 정보보호 관리체계 수립 및 운영, 정보보호대책 요구사항, 개인정보 처리단계별 요구사항 등 3개 분야 102개 항목을 심사해 인증을 발급한다. 일반 기업 및 기관을 대상으로는 325개의 점검항목, 금융기업을 대상으로는 385개의 점검항목을 통해 인증 심사를 진행하게 된다. 인증은 서비스 운영을 위한 조직 및 인력, 장소, 인프라는 물론, 개인정보 처리를 위한 조직 및 인력, 인프라를 대상으로 심사한다.

지난해 말 기준 ISMS-P 인증서는 총 466건 발급됐으며, 464건이 유지되고 있다. ISMS 인증은 349건이 유지되고 있다. ISMS 인증의 유효기간은 3년이며, 인증 발급 이후 매년 사후심사, 3년 주기로 갱신 심사를 진행해야 한다.

ISMS 인증의 특징은 의무 인증 대상자가 있다는 것이다. ‘전기통신사업법 제2조 8호’에 따르면, 전기통신사업자와 전기통신사업자의 전기통신역무를 이용해 정보를 제공하거나 정보를 매개하는 자로서 의무대상자 기준에 하나라도 해당되면 인증을 받아야 한다.

의무대상자는 ▲정보통신망서비스사업자(ISP) ▲집적정보통신시설 사업자(IDC) ▲연간매출액 또는 세입이 1,500억 원 이상인 상급종합병원 및 재학생 수 1만 명 이상인 학교 ▲정보통신서비스 부문 매출액 100억 원 이상인 자 ▲정보통신서비스 일일평균 이용자 수가 100만 명 이상인 자 등이다. 최근 가상화폐가 이슈가 됨에 따라 가상화폐 거래소 또한 ISMS 인증 의무대상자로 지정됐다. 의무대상자가 인증을 받지 않을 때에는 3천만 원 이하의 과태료가 부과된다.

또한 의무대상자 기준에 해당되지 않으나 자발적으로 정보보호 및 개인정보보호 관리 시스템을 구축·운영하고 있는 기업 및 기관은 자율적으로 신청해 인증심사를 받을 수 있다.

인증절차는 준비부터 신청, 심사, 인증까지 4단계로 구성된다. 인증 신청 기관 및 기업은 인증 신청을 준비하면서 관리 시스템을 구축해 2개월 간 운영해야 한다. 이후 신청 단계에서 공문을 접수하고 예비 점검을 받게 된다. 인증 수수료를 납부하면 본격적인 심사 단계에 접어들며, 서면 및 현장 심사가 진행된다. 심사 기관은 심사 결과로 결함 사항을 보완하도록 요청하며, 신청 기관 및 기업은 보완조치 결과를 제출해 보완조치를 이행했는지 점검 받아야 한다. 심사기관은 이를 토대로 심사결과보고서를 작성하고 인증위원회를 통해 인증서를 발급하게 된다.

인증 심사에 소요되는 시간은 약 4개월이며, 비용은 약 1,500만 원이다. 중소기업은 약 30%의 수수료 할인이 적용되며, 정보보호를 공시해도 30% 할인을 받을 수 있다.

ISMS 인증을 획득하면 정보보호 전문서비스 기업 지정 시 ‘업무 수행력 심사 평가표’의 정보보호 인증 기업 항목에서 만점을 받을 수 있다. 또한 보안 관제 전문 기업 지정 시에도 인증 기업 항목에서 만점을 받을 수 있다. 한국인터넷진흥원은 물품 구매·제조, 용역 및 공사, 위탁연구 등에 있어 계약자 선정 평가시 가산점을 부여한다. 국토교통부는 스마트시티 기반 시설 보호에 대해 인증 취득을 권고하고 있으며, 교육부 또한 사이버 대학 원격교육설비에 대해 인증을 취득해야 한다고 권고한다.

ISMS-P 인증제도의 법적 근거는 ▲정보통신망 이용촉진 및 정보보호에 관한 법률 제47조 ▲정보통신망 이용촉진 및 정보보호에 관한 법률 시행령 제47조~제54조 ▲정보통신망 이용촉진 및 정보보호에 관한 법률 시행규칙 제3조 ▲개인정보보호법 제32조의2 ▲개인정보보호법 시행령 제34조의2~제34조의8 등이다.

정책기관인 과학기술정보통신부와 개인정보보호위원회는 이러한 법적 근거를 바탕으로 ‘정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시’를 마련했으며, 인증기관과 심사기관을 지정해 제도를 운영하고 있다.

인증기관은 한국인터넷진흥원과 금융보안원이다. 한국인터넷진흥원은 ▲제도 운영 및 인증품질 관리 ▲신규·특수 분야 인증심사 ▲인증서 발급 ▲인증심사원 양성 및 자격관리 등의 업무를 전담하고 있다. 금융보안원은 금융분야 인증심사 및 금융분야 인증서 발급을 담당한다. 심사기관으로는 정보통신진흥협회(KAIT), 정보통신기술협회(TTA), 개인정보보호협회(OPA)가 지정돼 있다.

2018년 ISMS-P로 통합…기업 부담 완화

ISMS 인증은 지난 2002년부터 시행되고 있으며, 정보보호의 중요성이 강조되면서 인증 대상과 범위에 따라 ▲민간기업을 대상으로 하는 정보보호관리체계(ISMS) ▲공공기관 대상의 정부 정보보호관리체계(G-ISMS) ▲금융기관에 적용되는 금융 정보보호관리체계(F-ISMS) ▲개인정보보호 관리체계(PIMS) ▲개인정보보호인증제(PIPL) 등 다양한 인증제도가 마련됐었다.

하지만 유사 항목이 많은 다양한 인증제도가 동시다발적으로 운영됨에 따라 일원화된 관리의 필요성이 대두됐다. 2014년에는 G-ISMS가 ISMS 인증으로 통합돼 민간 및 공공기관이 동일한 인증제도를 따르게 됐다. 2016년에는 개인정보보호 관련 유사한 인증제도의 별도 운영에 따른 기업의 혼란을 없애기 위해 PIMS 인증과 PIPL 인증을 PIMS 인증으로 통합하고 인증심사기관을 한국인터넷진흥원으로 일원화했다.

2018년에는 ISMS와 PIMS 인증 간의 중복 문제가 제기됐다. 과학기술정보통신부에 따르면 ISMS 인증항목 104개, PIMS 인증항목 86개에 대한 비교 검토 결과, ISMS 인증항목 82개(78.8%)가 PIMS 인증과 동일하거나 유사했으며 PIMS 인증항목 86개를 기준으로 볼 때 58개 항목이 동일, 유사한 것으로 분석됐다.

ISMS 인증의 경우 의무대상자가 있으며, PIMS 인증은 의무 규정은 아니지만 개인정보보호 관련 법령 위반으로 인한 과징금 부과 시 경감 혜택을 받을 수 있기 때문에 대부분이 발급받고 있는 상황이었다. 시장에서는 ISMS와 PIMS 인증을 이중으로 받아야 해 물리적·경제적 부담이 과중되고 있다는 지적이 잇따랐다.

이에 정부는 정보와 개인정보를 단일제도에서 체계적으로 보호하기 위해 개별 운영되던 ISMS와 PIMS의 행정 및 인증심사 절차의 통합을 추진했고, 2019년 5월부터 ‘ISMS-P’가 본격적으로 시행됐다. 통합된 이후 기관 및 기업은 업무 성격에 따라 ISMS 또는 ISMS-P 인증을 선택해 심사를 진행할 수 있게 됐다는 점과 비용과 시간을 절약할 수 있다는 점에서 긍정적으로 평가하고 있다. 특히 인증 통합 이후 별도인증 대비 약 40%(기업당 약 1천만 원)의 비용을 절감할 수 있어 긍정적인 반응을 보이고 있다.

K-사이버방역 정책 일환으로 ISMS 개선 추진

ISMS-P 통합 이후에도 인증의 부담을 낮춰달라는 요구는 지속돼 왔다. KISA에서 인증을 신청한 기업 및 기관을 대상으로 설문조사를 진행해 제도 효과를 측정한 결과를 살펴보면, 직원들의 정보보호 관련 인식 개선과 사내 정보보호 수준 강화에 효과가 있는 것으로 나타났다. 하지만 유사한 내용으로 반복되는 현장검사 등 중복 점검을 줄여야한다는 의견과 함께 신기술을 고려한 점검항목이 필요하다는 등의 의견이 제시됐다.

과기정통부와 개인정보보호위원회는 이러한 의견을 수용해 지난해 말 ISMS-P 인증 고시를 개정, 발표했다. 이번에 발표된 고시 개정안은 ▲유사·중복 점검제도의 부담 해소 ▲심사 품질 향상 ▲인증 인센티브 확대 ▲코로나19 등 재난·재해 상황 발생 시 예외 조항 신설 등이 포함됐다.

자세히 살펴보면, 먼저 수탁사가 ISMS-P 인증을 획득한 경우 위탁사에서 심사에 부수되는 현장점검을 면제받을 수 있다. ISMS 인증은 매년 인증 사후심사를 받아야 하는데, 위탁사들이 ‘ISMS-P 인증’ 심사를 받을 때마다 인증심사 범위에 포함된 수탁사(콜센터, 택배회사 등)들도 반복적으로 현장점검을 받는 등 부담이 큰 실정이었다. 이번 개정으로 수탁사는 위탁사가 인증심사를 받을 때마다 추가적인 현장심사를 받지 않아도 된다.

과기정통부와 개인정보보호위는 심사기관 지정 공고 절차를 개선해 인증제도의 내실도 다진다. 심사기관 지정을 준비하는 기관이 언제든지 신청할 수 있도록 규정을 변경해 심사기관 준비에 대한 부담을 낮췄다. 이를 통해 전문성과 역량을 갖춘 심사기관 확대와 함께 인증수요 증가에 적극적으로 대처한다는 전략이다.

또한 심사기관 지정 이후 사후관리 미흡으로 심사기관마다 제각각이던 심사품질 문제 등을 개선하기 위한 인증·심사기관의 사후관리 강화 방안이 마련됐다. 인증·심사기관이 지정기준에 적합한 지에 대한 현장실사를 하고, 미흡 사항에 대해 시정조치 명령을 내릴 수 있게 됐다. 더불어 인증·심사기관이 지정 취소 또는 업무 정지 명령을 받은 경우, 이 사실을 관보 또는 홈페이지(개인정보위 또는 과기정통부)에 공고하도록 하는 근거를 신설했다. 과기정통부와 개인정보보호위는 심사기관에 대한 관리감독 체계를 강화함으로써, 심사기관별로 제각각인 심사품질을 상향 평준화할 수 있을 것으로 기대하고 있다.

인증 인센티브도 이번에 강화된다. 인증 수수료 할인 기준에 정보보호공시가 추가된 것이다. 기업이 정보보호를 공시하면 ISMS-P 인증수수료를 할인 받을 수 있다. 이외에도 코로나19 등 재난·재해 상황이 발생했을 때 ▲심사원 자격 유효기간 유예 ▲인증 의무대상자 이행 기한 연장 ▲유사시 비대면 원격 심사 병행 등이 가능하도록 예외 조항이 신설됐다.

부담 완화 위해 지속적으로 개선한다

ISMS 인증은 K-사이버방역 정책에 따라 지속적으로 개선될 것으로 전망된다. 특히 기관 및 기업들이 느끼는 인증에 대한 부담을 줄여, 인증 제도를 더욱 활성화할 계획이다. 이러한 정책의 첫 발걸음으로 ISMS-P 인증을 개선했다. 한국인터넷진흥원 보안수준인증팀 관계자는 이번 고시 개정이 시장에서 긍정적인 반응을 얻고 있다고 설명했다. 특히 현장심사 면제 등 유사·중복점검을 해소한 것과 재난·재해 상황 발생 시 예외조항을 신설했다는 점이 가장 큰 호응을 받고 있다고 덧붙였다.

이어 KISA는 이러한 정책 방향에 맞춰, 자금력이 약한 영세·중소기업의 원활한 인증 준비를 위해 기업 대상 ISMS-P, 교육·가이드라인 지원을 강화할 계획이다. 더불어 가명정보, 안정성확보조치 개정 등의 최근 트렌드를 반영해 개인정보보호 인증 기준도 개선해나갈 방침이다.

KISA 보안수준인증팀 관계자는 “이번 ISMS-P 인증 고시 개정은 불필요한 행정 및 자원이 소요되지 않도록 인증제도의 부담을 줄이면서 인증의 효과성을 기업 스스로 체감할 수 있도록 인증 체계를 내실화에 초점을 맞췄다”면서 “KISA는 고시 개정에 따라 인증·심사기관관리를 위한 절차를 마련해 실시하고, 인증심사원의 양성/보수교육 등 자격 관리를 개선해 인증 심사 품질을 제고할 예정”이라고 말했다.

이어 “많은 기업 및 기관들이 개인정보보호에 관심을 갖고 자율적으로 ISMS-P 인증을 획득해 기업 활동에 도움이 되고, 국민의 개인정보를 안전하게 보호하도록 지원하겠다”고 덧붙였다.

ISMS 인증의 개선 방향을 살펴보면, 기업들의 부담을 완화하는 데 초점이 맞춰져 있다. 심사 품질을 높이고, 적용 범위를 확대하는 한편, 기업들이 느끼는 부담을 줄여 인증 제도를 더욱 활성화한다는 방향으로 풀이된다.

이번 K-사이버방역 정책 중 ISMS 인증 개선 부분 역시 이러한 방향의 연장선일 것으로 전망된다. KISA 또한 정책 방향에 맞춰, 중소기업들이 인증을 준비하는 데 있어 부담을 덜 수 있도록 교육 및 가이드라인도 마련할 계획이라고 얘기했다. 이번 ISMS 인증 고시 개정은 물론, K-사이버방역 정책으로 ISMS 인증이 더욱 활성화되기를 기대해본다.