[서울=뉴스핌] 양태훈 기자 = 정부가 통신사·대형 플랫폼 등에서 개인정보 유출 사고가 잇따르자 정보보호 관리체계(ISMS)·개인정보보호 인증(ISMS-P) 제도를 전면 강화하기로 했다. 올해 연말까지 개선안을 확정해 내년부터 고시 개정을 추진하며, 중대한 결함이 확인될 경우 인증을 취소하는 방안도 적극 검토한다는 입장이다.

6일 양청삼 개인정보보호위원회(이하 개인정보위) 개인정보정책국장은 정부서울청사에서 기자들과 만나 "대형 사고가 반복되며 인증제 실효성에 대한 국민 우려가 커졌다"며 "국정감사 이후 과학기술정보통신부·개인정보위·한국인터넷진흥원(KISA) TF를 통해 논의해 온 개선안을 연말까지 확정하고 내년 1분기 중 고시 개정을 추진할 것"이라고 밝혔다.

이어 양 국장은 "이번 개편은 특정 사고에 따른 돌발 대응이 아니라 국감·국회 질의 등을 거치며 지속적으로 제기된 문제를 제도화하는 과정"이라며 "정보보호 인증이 사고를 0으로 만드는 것은 아니지만, 보안 관리 수준을 끌어올리는 기본 장치로 볼 수 있다. 중대한 법규 위반이나 인증 기준 미달이 확인되면 사후심사를 통해 인증 취소를 적극 검토하겠다"고 덧붙였다.

정부의 이번 개선안에는 정보보호 관리체계 인증 신청 단계에서 자산 현황 파악 의무화, 코어 시스템 중심의 현장 심사 강화, AI 기반 서비스 위험 반영 등이 주요 내용으로 포함됐다. 정부는 이러한 개선 조치가 효과를 내려면 고위험군 기업에 대한 규율 체계도 함께 강화한다는 계획이다.

최광기 과학기술정보통신부 사이버침해대응과장은 "국민 파급력이 큰 기업에 강화된 인증 기준을 적용할 수 있다는 규정이 이미 정보통신망법 개정안에 반영돼 있으며 법사위까지 통과한 상태"라며 "통신사·대규모 플랫폼 등 사고 발생 시 사회적 영향이 큰 기업을 중심으로 강화 기준을 마련 중이다. 제재 수단도 보완돼 반복 사고에는 과징금·이행강제금 등이 강화될 것"이라고 전했다.

현장 심사를 수행하는 KISA 역시 정보보호 관리체계 인증 심사의 디테일을 강화한다는 계획이다.

김선미 KISA 보안인증단장은 "자산 식별은 인증 범위 설정의 출발점이지만 실제 현장에서는 미흡한 사례가 반복돼 이를 명확히 반영하겠다"며 "예컨대 암호키·퇴직자·접근 권한 관리 등은 이미 기준에 포함돼 있지만 심사 과정에서 확인 범위와 깊이에 차이가 있었을 수 있다. 심사 기준을 더 촘촘히 적용해 동일 수준의 심사가 이뤄지도록 하겠다"고 전했다.

또 "AI 기반 서비스가 늘어나면서 새로운 위험 요소가 등장하고 있다"며 "AI 서비스 기업을 대상으로 한 인증 항목 약 60개를 도출해 공개 의견을 받고 있으며, 정리되는 대로 정식 심사 기준에 반영할 것"이라고 덧붙였다.

정부는 ISMS-P 의무화 추진도 병행한다. 윤여진 개인정보위 자율보호정책과 과장은 "주요 공공시스템과 대규모 민간 개인정보처리시스템에는 ISMS-P 인증을 의무화하는 방안을 검토 중이며, 의무화 시 ISMS와 마찬가지로 위반 시 과태료 부과 체계가 적용될 수 있다"며 "ISMS만 보유한 기업은 ISMS-P 전환 시 개인정보보호 항목 약 21개를 새로 충족해야 한다"고 전했다.

dconnect@newspim.com