[아이티데일리] 정보보호 및 개인정보보호 관리체계 인증(ISMS-P) 제도가 개선된다. 실제 인증제도를 운영하고 있는 개인정보보호위원회가 현장에서 요구하던 유사·중복점검 해소, 인증·심사기관에 대한 관리 강화 등을 포함한 ‘정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시’ 개정안을 지난해 말 공포한 것이다.

ISMS-P 개선 사항은 K-사이버방역 정책에도 포함됐다. 클라우드, 교육, 의료 등 분야별 맞춤형 점검항목을 개발해 정보보호 사각지대를 해소하고, 표준화된 증빙 서류 양식과 가이드라인을 마련해 기업 스스로 인증을 준비할 수 있는 환경을 마련한다는 방침이다. 업계에서는 ISMS 인증 부담이 완화된다는 점에서 제도 개선을 환영하고 있다.

K-사이버방역 정책 일환으로 ISMS 개선 추진

ISMS-P 통합 이후에도 인증의 부담을 낮춰달라는 요구는 지속돼 왔다. KISA에서 인증을 신청한 기업 및 기관을 대상으로 설문조사를 진행해 제도 효과를 측정한 결과를 살펴보면, 직원들의 정보보호 관련 인식 개선과 사내 정보보호 수준 강화에 효과가 있는 것으로 나타났다. 하지만 유사한 내용으로 반복되는 현장검사 등 중복 점검을 줄여야한다는 의견과 함께 신기술을 고려한 점검항목이 필요하다는 등의 의견이 제시됐다.

과기정통부와 개인정보보호위원회는 이러한 의견을 수용해 지난해 말 ISMS-P 인증 고시를 개정, 발표했다. 이번에 발표된 고시 개정안은 ▲유사·중복 점검제도의 부담 해소 ▲심사 품질 향상 ▲인증 인센티브 확대 ▲코로나19 등 재난·재해 상황 발생 시 예외 조항 신설 등이 포함됐다.

자세히 살펴보면, 먼저 수탁사가 ISMS-P 인증을 획득한 경우 위탁사에서 심사에 부수되는 현장점검을 면제받을 수 있다. ISMS 인증은 매년 인증 사후심사를 받아야 하는데, 위탁사들이 ‘ISMS-P 인증’ 심사를 받을 때마다 인증심사 범위에 포함된 수탁사(콜센터, 택배회사 등)들도 반복적으로 현장점검을 받는 등 부담이 큰 실정이었다. 이번 개정으로 수탁사는 위탁사가 인증심사를 받을 때마다 추가적인 현장심사를 받지 않아도 된다.

과기정통부와 개인정보보호위는 심사기관 지정 공고 절차를 개선해 인증제도의 내실도 다진다. 심사기관 지정을 준비하는 기관이 언제든지 신청할 수 있도록 규정을 변경해 심사기관 준비에 대한 부담을 낮췄다. 이를 통해 전문성과 역량을 갖춘 심사기관 확대와 함께 인증수요 증가에 적극적으로 대처한다는 전략이다.

또한 심사기관 지정 이후 사후관리 미흡으로 심사기관마다 제각각이던 심사품질 문제 등을 개선하기 위한 인증·심사기관의 사후관리 강화 방안이 마련됐다. 인증·심사기관이 지정기준에 적합한 지에 대한 현장실사를 하고, 미흡 사항에 대해 시정조치 명령을 내릴 수 있게 됐다. 더불어 인증·심사기관이 지정 취소 또는 업무 정지 명령을 받은 경우, 이 사실을 관보 또는 홈페이지(개인정보위 또는 과기정통부)에 공고하도록 하는 근거를 신설했다. 과기정통부와 개인정보보호위는 심사기관에 대한 관리감독 체계를 강화함으로써, 심사기관별로 제각각인 심사품질을 상향 평준화할 수 있을 것으로 기대하고 있다.

인증 인센티브도 이번에 강화된다. 인증 수수료 할인 기준에 정보보호공시가 추가된 것이다. 기업이 정보보호를 공시하면 ISMS-P 인증수수료를 할인 받을 수 있다. 이외에도 코로나19 등 재난·재해 상황이 발생했을 때 ▲심사원 자격 유효기간 유예 ▲인증 의무대상자 이행 기한 연장 ▲유사시 비대면 원격 심사 병행 등이 가능하도록 예외 조항이 신설됐다.

부담 완화 위해 지속적으로 개선한다

ISMS 인증은 K-사이버방역 정책에 따라 지속적으로 개선될 것으로 전망된다. 특히 기관 및 기업들이 느끼는 인증에 대한 부담을 줄여, 인증 제도를 더욱 활성화할 계획이다. 이러한 정책의 첫 발걸음으로 ISMS-P 인증을 개선했다. 한국인터넷진흥원 보안수준인증팀 관계자는 이번 고시 개정이 시장에서 긍정적인 반응을 얻고 있다고 설명했다. 특히 현장심사 면제 등 유사·중복점검을 해소한 것과 재난·재해 상황 발생 시 예외조항을 신설했다는 점이 가장 큰 호응을 받고 있다고 덧붙였다.

이어 KISA는 이러한 정책 방향에 맞춰, 자금력이 약한 영세·중소기업의 원활한 인증 준비를 위해 기업 대상 ISMS-P, 교육·가이드라인 지원을 강화할 계획이다. 더불어 가명정보, 안정성확보조치 개정 등의 최근 트렌드를 반영해 개인정보보호 인증 기준도 개선해나갈 방침이다.

KISA 보안수준인증팀 관계자는 “이번 ISMS-P 인증 고시 개정은 불필요한 행정 및 자원이 소요되지 않도록 인증제도의 부담을 줄이면서 인증의 효과성을 기업 스스로 체감할 수 있도록 인증 체계를 내실화에 초점을 맞췄다”면서 “KISA는 고시 개정에 따라 인증·심사기관관리를 위한 절차를 마련해 실시하고, 인증심사원의 양성/보수교육 등 자격 관리를 개선해 인증 심사 품질을 제고할 예정”이라고 말했다.

이어 “많은 기업 및 기관들이 개인정보보호에 관심을 갖고 자율적으로 ISMS-P 인증을 획득해 기업 활동에 도움이 되고, 국민의 개인정보를 안전하게 보호하도록 지원하겠다”고 덧붙였다.

ISMS 인증의 개선 방향을 살펴보면, 기업들의 부담을 완화하는 데 초점이 맞춰져 있다. 심사 품질을 높이고, 적용 범위를 확대하는 한편, 기업들이 느끼는 부담을 줄여 인증 제도를 더욱 활성화한다는 방향으로 풀이된다.

이번 K-사이버방역 정책 중 ISMS 인증 개선 부분 역시 이러한 방향의 연장선일 것으로 전망된다. KISA 또한 정책 방향에 맞춰, 중소기업들이 인증을 준비하는 데 있어 부담을 덜 수 있도록 교육 및 가이드라인도 마련할 계획이라고 얘기했다. 이번 ISMS 인증 고시 개정은 물론, K-사이버방역 정책으로 ISMS 인증이 더욱 활성화되기를 기대해본다.