쿠팡 유출 등 사고 반복에···인증 의무화·심사 강화·사후관리 확대

정부가 정보보호관리체계 인증(ISMS)과 정보보호 및 개인정보보호 관리체계 인증(ISMS-P)의 실효성을 대폭 강화한다. 최근 인증 취득 기업에서 해킹과 대규모 개인정보 유출사고가 반복되자 인증 기준과 심사 체계를 전면 개선하겠다는 방침이다.

과학기술정보통신부와 개인정보보호위원회는 6일 배경훈 과기정통부 장관과 송경희 개인정보위 위원장 주재로 관계기관 대책회의를 열고 제도 개편안을 마련했다고 밝혔다. 회의에는 한국인터넷진흥원(KISA) 등 인증기관도 참여했다.

개선안의 핵심은 의무대상 확대와 심사체계 강화, 사고 이후 사후관리 강화다. 우선 그동안 자율신청 대상이었던 ISMS-P를 공공기관, 통신사, 대규모 온라인 플랫폼 등 개인정보 처리 영향도가 큰 사업자에게 의무화한다. 정부는 이를 위해 개인정보보호법과 정보통신망법 개정을 추진할 계획이다.

심사 방식도 단계별로 강화된다. 예비심사 단계에서 핵심 보호항목을 우선 검증하고, 고위험군 기업이나 사고 발생 기업은 기술 기반 심사(취약점 진단·모의해킹) 적용이 의무화된다. 예비심사를 통과하지 못하면 본심사 진행 자체가 불가능해진다. 본심사에서는 서면 확인 중심 방식에서 벗어나 코어시스템 중심 현장 실증 심사가 추가된다.

사후관리는 기존 대비 크게 강화된다. 인증 취득 기업이 개인정보 유출 사고를 일으킬 경우, 즉시 특별 사후심사가 진행되며 결과에 따라 인증 취소가 가능하다. 사고 기업의 사후심사 인력과 기간은 기존의 두 배로 적용된다.

정부는 이번 개편과 연계해 ISMS 인증기업 900여곳을 대상으로 보안 취약점 긴급 자체 점검을 요청했으며, 내년 초부터 현장 검증에 나선다. 특히 개인정보위는 조사 중인 기업 중 쿠팡 등 최근 사고 기업에 대해 인증기관과 함께 현장 점검을 진행할 예정이다.

정부는 이번 개선안을 기반으로 운영 중인 합동 제도개선 태스크포스(TF) 논의를 거쳐 2026년 1분기 관련 고시를 개정하고 단계적으로 시행할 계획이다.

/김진홍기자 kjh25@kbmaeil.com

김진홍 기자

kjh25@kbmaeil.com

• 과기정통부·개인정보위, ISMS·ISMS-P 인증제 전면 손본다
• AI 데이터센터, 축복인가 숙제인가
• 中 “샌프란시스코 조약 무효” 주장···日 대외정책·대만 변수로 부상

다른기사 보기