위험 기반 3단계 인증 체계 재편… 대규모 사업자 ISMS-P 의무화

[이데일리 한광범 기자] 과학기술정보통신부와 개인정보보호위원회는 10일 정부서울청사에서 열린 경제관계장관회의를 통해 ‘정보보호 및 개인정보보호 관리체계(ISMS·ISMS-P) 인증제 실효성 강화방안’을 발표했다.

이번 방안은 최근 통신사 및 이커머스 등 인증을 획득한 기업에서 연이어 해킹 사고가 발생함에 따라 제기된 인증제의 실효성 논란을 해소하기 위해 마련됐다. 실제 최근 3년간 인증 기업 중 약 14%에 해당하는 179개 사에서 침해 사고가 발생한 것으로 나타났다. 정부는 기존의 서면 위주 및 특정 시점의 보안 상태만 확인하는 ‘스냅샷’ 방식의 한계를 탈피해, 실제 운영 현황을 추적하고 개선하는 기술 중심의 체계로 전면 개편할 방침이다.

◇기업 위험도 따른 3단계 인증 재편 및 대규모 사업자 ISMS-P 의무화

정부는 획일적이었던 기존 인증 체계를 위험 기반에 따라 ‘강화인증’, ‘표준인증’, ‘간편인증’의 3단계로 재편한다. 특히 그동안 기업 자율에 맡겨졌던 개인정보보호 인증(ISMS-P)을 공공 및 민간의 주요 시스템을 중심으로 단계적 의무화를 추진한다.

의무 대상에는 주요 공공시스템 운영기관, 이동통신사업자, 본인확인기관, 그리고 매출액과 처리 규모가 큰 대규모 개인정보 처리자 등이 포함된다. 매출액 1조 원 이상의 주요 ISP·IDC나 매출액 3조 원 이상의 대형 정보통신서비스 제공자 등 국민 생활 파급력이 큰 고위험군은 ‘강화인증’을 받아야 한다.

강화인증 기준에는 보안 위협 사례와 주요국 보안 요구 사항을 반영한 20개 항목이 추가 적용된다. 정보보호 최고책임자(CISO)와 개인정보 보호책임자(CPO)를 최고경영자(CEO) 직속 임원으로 임명해 실질적인 보안 통제 권한을 부여해야 하며, 자동화 도구를 활용한 정보자산 관리와 소프트웨어·펌웨어의 무결성 검증 도구 운영이 요구된다.

또한 적응형 인증(MFA) 등 강화된 인증 수단 적용과 외부 네트워크 연결 접점 최소화 등의 특화된 보안 요구 사항이 포함됐다. 아울러 외부 인터넷과 연결되어 공격 경로가 될 수 있는 모든 디지털 자산은 반드시 인증 범위에 포함되도록 단계적으로 확대할 계획이다.

◇서류 대신 기술로 검증… 모의침투 및 현장실증 심사 강화

심사 방식은 서류 증적 확인 중심에서 현장 실증과 기술 심사 중심으로 전면 전환된다. 본심사 전 핵심 항목을 사전에 점검하는 예비심사 단계를 도입해 부실한 관리체계를 가진 기업의 본심사 진입을 차단한다. 취약점 점검 전문 인력이 취약점 스캐너와 소스코드 진단툴을 활용해 직접 모의 침투 테스트를 수행하는 기술 심사 방식이 적용된다.

특히 강화인증군의 경우 심사 인력을 기존 5명에서 10명으로 늘리고 심사 기간을 최대 12일까지 확대하며, 점검 자산 수도 기존 10대에서 최대 500대까지 대폭 늘려 정밀 심사를 진행한다. 심사원이 계정 권한 회수나 백업 데이터 복구 등을 실시간 시연으로 확인하는 현장 실증 심사 방법도 도입된다.

사후 관리 체계도 엄격해진다. 주기별 점검 양식을 표준화해 사후 심사 시 보안 관리의 지속 여부를 집중적으로 확인하는 상시 점검 체계를 구축한다. 만약 중대한 침해 사고가 발생할 경우 정부의 조사와 처분이 끝날 때까지 해당 기업의 인증 심사를 잠정 중단하며, 심사 재개 시에는 심사 인력과 기간을 2배로 투입해 사고 원인과 재발 방지 대책을 철저히 검증한다. 또한 법령에 규정된 인증 취소 사유를 구체화하고, 중대 결함에 대한 보완 조치를 기한 내에 이행하지 않을 경우 실제 인증 취소로 이어지도록 엄격히 관리할 방침이다.

정부는 상시 점검 강화 및 인증 취소 등 사후 관리와 관련된 사항은 2026년 하반기부터 즉시 시행할 예정이다. ISMS-P 의무화 및 강화인증 기준 적용 등 법령 개정이 필요한 사항은 관련 작업을 거쳐 2027년부터 본격적으로 시행된다.

송경희 개인정보위 위원장은 “사이버 공격이 고도화되는 상황에서 ISMS·ISMS-P 인증제를 통해 국민 피해를 사전에 예방할 수 있도록 제도 전반에 대한 근본적 개편이 필요한 시점”이라며 “오늘 발표된 실효성 강화방안을 시작으로 인증제도를 개인정보 보호의 사전예방 핵심수단으로 개선하여 국민이 안심할 수 있는 디지털 환경을 구현하겠다”라고 약속했다.

류제명 과기정통부 2차관은 “정보보호 관리체계 인증제도는 국민이 안심하고 디지털 서비스를 이용할 수 있도록 하는 핵심 안전장치”라며 “급변하는 사이버 보안 환경에 대응하여 정보보호 관리체계를 보다 엄격하고 내실 있게 운영하여 인증제도의 실효성을 높이고, 국민이 신뢰할 수 있는 인증체계로 발전시켜 나가겠다”고 밝혔다.