티스토리 뷰
목차
🔒 쿠팡 사태 계기, ISMS-P 인증 '취소' 카드 꺼낸다: 정부, 정보보호 인증제 대수술 단행
Ⅰ. 반복되는 인증 기업 유출 사태와 정부의 강력 대응
✔ 배경: 쿠팡 등 인증 기업에서의 대규모 개인정보 유출 반복.
✔ 핵심 강화 방안: 유출 사고 기업에 특별 사후심사 실시 및 인증 취소 제도 도입 추진.
✔ 의무화 확대: ISMS-P 인증을 주요 공공·민간 개인정보처리시스템에 의무화.
✔ 심사 강화: 예비심사, 기술심사, 현장실증 심사 강화 및 AI 등 신기술 교육을 통한 심사원 전문성 향상.
✔ 시행 시기: 내년 1분기 중 관련 고시 개정 후 단계적 시행.
대규모 개인정보 유출 사고가 발생했던 이커머스 1위 기업 쿠팡 등, 정보보호 관리체계(ISMS)와 정보보호·개인정보보호 관리체계(ISMS-P) 인증을 받은 기업에서 보안 사고가 반복되면서 정부가 인증제도 전반에 대한 대대적인 개편에 나섰습니다. 기존의 인증 제도가 실질적인 보안 사고 예방에는 한계를 보였다는 비판에 대한 강력한 응답입니다.
개인정보보호위원회와 과학기술정보통신부는 6일 관계부처 대책회의를 통해 정보보호 인증제 개선 방안을 논의하고, 특히 인증 기업에서 유출 사고 발생 시 인증을 취소하는 방안까지 추진하겠다고 밝혔습니다. 이는 기업의 책임감을 극대화하고, 인증이 면죄부가 아닌 지속적인 관리의 의무임을 천명하는 파격적인 조치로 해석됩니다.
Ⅱ. '인증 취소' 카드 도입의 파급 효과와 책임 강화
이번 개선 방안 중 가장 강력하고 주목할 만한 조치는 바로 인증 취소 제도의 도입입니다. 인증을 받은 기업에서 개인정보 유출 사고가 발생하고, 특별 사후심사 결과 인증기준에 중대한 결함이 확인될 경우, 인증위원회 심의·의결을 거쳐 인증을 취소할 수 있도록 합니다.
현재까지 ISMS-P 인증이 취소된 기업은 전무합니다. 만약 쿠팡 등 조사 중인 기업의 인증이 취소된다면 이는 최초의 사례가 되며, 해당 기업의 대외 신뢰도에 치명적인 타격을 입힐 것입니다. 이처럼 인증 취소 제도는 기업들이 인증 획득 이후에도 보안 관리 체계를 지속적으로 유지 및 개선하도록 만드는 강력한 동기로 작용할 것으로 기대됩니다.
나아가, 사고를 낸 기업에 대해서는 사후심사 인력과 기간을 기존보다 두 배로 확대 투입하여 사고 원인과 재발 방지 조치를 집중적으로 점검하게 됩니다.
Ⅲ. ISMS-P 인증 의무화 확대와 법적 기반 마련
개편안에 따르면, 그동안 자율 신청 방식으로 운영되어 온 ISMS-P 인증이 공공·민간 주요 개인정보처리시스템에 대해 의무화됩니다. 이는 대규모 플랫폼, 통신사, 주요 공공시스템 등 국민 파급력이 큰 기업들을 대상으로 하며, 이들에게 상시적인 안전 관리 체계를 갖추도록 법적 강제력을 부여하는 것입니다.
특히 국민 파급력이 큰 기업에게는 강화된 인증기준을 새로 마련하여 적용함으로써, 보안 수준을 한층 높일 계획입니다. 이러한 의무화 조치를 뒷받침하기 위해 개인정보보호법과 정보통신망법 개정도 조속히 추진될 예정입니다. 이는 개인정보 보호를 선택의 문제가 아닌 필수적인 경영 책임으로 인식하도록 만드는 제도적 전환점이 될 것입니다.
Ⅳ. 심사 방식의 혁신과 전문성 강화
인증 심사의 실효성을 높이기 위해 심사 방식 자체도 대폭 개편됩니다. 기존 심사에서 놓치기 쉬웠던 부분을 보완하기 위해 예비심사 단계에서 핵심 항목을 먼저 검증하도록 하고, 기술심사와 현장실증 심사 역시 강화됩니다.
또한, 분야별 인증위원회를 운영하여 심사의 전문성을 심화시키고, 심사원에 대한 AI 등 신기술 교육을 확대하여 새로운 보안 위협 환경에 능동적으로 대처할 수 있는 역량을 갖추도록 지원합니다. 고도화되는 해킹 기술에 맞서기 위해서는 인증 제도와 심사원의 전문성 역시 지속적으로 진화해야 한다는 인식이 반영된 결과입니다.
Ⅴ. 결론: 보안 강화의 새 기준, 국민 신뢰 회복의 길
쿠팡 등 인증 기업의 정보 유출 사태는 보안 인증이 겉치레가 되어서는 안 된다는 강력한 교훈을 남겼습니다. 이번에 정부가 발표한 인증제 개선 방안은 정보보호 관리체계의 실효성을 높이고, 기업의 책임감을 강화하는 데 초점을 맞추고 있습니다.
인증 취소 제도 도입과 ISMS-P 의무화 확대는 국민의 개인정보를 보호하기 위한 가장 강력한 제도적 장치가 될 것으로 보입니다. 개인정보위와 과기정통부는 민관합동조사와 연계하여 사고 기업에 대한 현장점검을 실시하며, 내년 1분기 고시 개정을 통해 새로운 보안 기준을 확립할 예정입니다. 이러한 노력이 디지털 경제 시대에 국민이 기업을 믿고 서비스를 이용할 수 있는 신뢰 환경을 조성하는 데 기여하기를 기대합니다.