먼 훗날 정보보호 인증의 역사를 되돌아본다면, 2016년은 아마도 변화의 원년으로 기억되지 않을까?

지난해 개정된 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률에 따라, 제도적 유사성으로 실효성을 지적 받아왔던 ‘개인정보보호 관리체계 인증(PIMS)’과 ‘개인정보보호 인증(PIPL)’이 올해 1월 하나의 인증제도로 통합됐다.

또 6월부터는 ICT 기업에 한정되어 있었던 ‘정보보호 관리체계 인증(ISMS)’ 의무 대상이 대폭 확대되는 까닭이다. 이에 각 인증제도가 어떻게 개정되었는지 세부적인 내용을 알아보는 시간을 가져보고자 한다.

■ ISMS 인증 의무대상 확대, 제도적 구속력 강화

▲ 김영원 컨설턴트

우선적으로 2001년 최초로 도입된 정보보호인증제도인 ISMS에 대해 알아보도록 하자. ISMS는 기업이 수립한 정보보호 관리체계와 정보보호를 위한 일련의 활동이 객관적인 인증 심사 기준에 적합한지를 국가 공인의 인증기관이 인증하는 제도다.

인증의무 대상 기업은 ISMS 인증을 받기 위해, ‘정보보호대책’과 ‘관리과정’ 2개 분야를 중심으로 18개 기준, 104개의 인증항목을 충족해야 한다. ISMS는 다른 인증제도와 달리, 인증 대상의 자격요건에 따라 인증의 의무적 취득이 법으로 명시되어 있는 것이 특징이다.

지금까지 ISMS 인증의무 대상은 사실상 ICT 기업에 한정되어 있었다. 정보통신서비스로 연 100억원 이상의 매출을 올리거나 홈페이지의 하루 평균 이용자 수가 100만 명 이상인 기업으로 인증의무 대상이 규정되어 있었기 때문이다. 그러나, 정보통신망에 대한 서비스 의존도가 높고 다량의 민감 정보를 다루고 있는 비 ICT 기업의 경우에도 보안 사고 발생 시 막대한 피해가 발생할 수 있는 만큼, 의무대상 범위를 조정해야 한다는 지적의 목소리가 높아졌던 것이 사실이다.

정보통신망법 개정에 따라 ISMS 인증의무 대상은 ICT, 비 ICT에 대한 업종 구분 없이 보안 사고 발생 시 그 사회적, 경제적 파급력이 높은 분야로 확대 적용되게 된다. 개정에 따르면, 기존 인증대상과 더불어 ‘전년도 연간 매출액 또는 세입액 등이 1,500억 원 이상인 기업’도 의무적으로 ISMS 인증을 획득하도록 인증의무 대상 범위가 확대되었다.

이를 근거로 할 때, 매출 규모가 크고 다량의 민감 정보를 취급하는 의료, 교육 업종이 새롭게 ISMS 인증의무 대상에 포함되게 된다. 한편, 전자금융거래법에 따라 별도 보안 평가를 받는 금융 회사의 경우, 규제개혁위원회의 인증 의무대상 제외 개선권고에 따라 인증 의무대상에 포함되지 않았다.

▲ ISMS 인증대상 확대 방안

또한 의무 대상자 중 ISMS 인증 의무를 이행하지 않는 기업에 대한 과태료가 기존 1,000만원에서 3,000만원으로 상향 조정되는 등 제도의 신뢰성을 증대하는 방향으로 개정이 이뤄졌다는 점에도 주목해야 한다.

ISMS 인증 획득을 위해서는 최소 6개월 이상의 시간과 1억원 가량의 비용이 요구되는 만큼, 상대적으로 적은 1,000만원의 과태료를 내는 것으로 인증을 대신하는 사업자도 있었던 것이 사실이다. 따라서 이번 개정을 통해 부재했던 제도적 구속력이 한층 높아질 것으로 기대되고 있다.

▲ 법령대비 개정 사항

■ 하나로 통합된 개인정보보호 관리체계 인증, 기업 부담 해소 기대

다음은 하나로 통합된 개인정보보호 관리체계 인증에 대해 알아볼 차례다. 그 동안 방송통신위원회와 행정자치부는 공공, 민간 기업의 개인정보관리체계와 개인정보보호조치 등을 심사해 일정 수준 이상의 보호 수준을 갖춘 경우 이를 인증해 주는 ‘개인정보보호 인증제도’를 각각 별도로 운영하여 왔다.

정보통신망법에 따라 정보통신서비스 제공자를 대상으로 시행한 ‘개인정보보호 관리체계 인증(PIMS)과 개인정보보호법에 따라 공공기관 및 일반 사업자 대상으로 시행하는 ‘개인정보보호 인증(PIPL)’이 그것이다.

▲ 정보통신망법 개정 전 인증제도 비교

그 동안 기업들은 방송통신위원회와 행정자치부가 별도로 운영하는 유사한 인중 중 하나를 선택해야 하는 혼란을 겪어왔다. 정보통신서비스 제공자와 일반 사업자의 경계가 점점 흐릿해지고 있을뿐더러, 산업을 불문하고 개인정보를 안전하게 보호해야 할 필요성이 높아지고 있었기 때문이다.

행정자치부와 방송통신위원회는 ‘개인정보보호 정상화 대책’과 규제개혁 일환으로 개인정보보호 인증제도 통합을 추진해 왔으며, 행정예고를 거쳐 2016년 1월 1일 공동 고시 시행을 통해 법적 준거성을 획득하게 되었다. 사업자의 혼란 방지를 위해 통합된 신규 PIMS 인증은 2017년 1월 1일부터 적용될 방침이다.

통합된 PIMS 인증은 기존 PIMS, PIPL 항목의 통합 및 개정을 통해, 3가지 공통 항목(개인정보보호 관리과정, 생명주기 및 권리보장, 개인정보보호대책)에 대한 9개 적용 기준과 이에 따른 86개 항목으로 구성되었다. 단, 통합된 PIMS 인증은 신청 기관의 유형(공공기관, 대기업ž정보통신 서비스 사업자, 중소기업, 소상공인) 등을 고려하여, 차등 적용될 방침이다.

PIMS 인증절차는 인증 신청서를 접수하는 준비단계, 인증기준에 적합한지 심사하는 심사단계, 인증심사의 결과를 토대로 인증이 적합한지 확인하는 심의 인증단계, 인증취득 후 매년 유지 상태를 점검하는 사후관리단계 등 4단계로 구분된다.

▲ 신청기관 유형별 인증기준

개정을 통해 개인정보보호 관리체계 인증이 하나로 통합되고 인증기관도 한국인터넷진흥원 1곳으로 단일화됨에 따라, 기업의 불편과 부담을 해소하며 기업의 개인정보보호 수준을 높일 수 있을 것으로 기대되고 있다.

■ 정보보호, 기업의 경쟁력을 높일 수 있는 핵심 요소

지난 2015년은 전 세계적으로 기밀정보 및 개인정보 유출과 관련된 각종 범죄가 연이어 발생하며 정보 보호에 대한 경각심이 그 어느 때보다 높아진 한 해였다. 의료 기관, 선거관리위원회. 로펌 등 다양한 형태의 기관, 기업에서 대량의 기밀 및 개인 정보를 노린 공격이 잇달아 발생했으며, 각종 금융정보와 개인정보를 탈취하여 금전적인 손해를 입히는 피싱, 파밍 공격 역시 한층 진화된 형태로 나타났다.

이러한 보안 환경의 변화는 기업의 성장을 가속화시킬 수 있는 기회이자 기업 성장을 저해하는 위기가 될 수 있다. 정보보호의 중요성이 날로 커지고, 개인 정보를 기반으로 하는 새로운 비즈니스가 확산되고 있는 만큼, 정보를 안전하게 보호할 수 있는 보안 체계 구축은 기업의 경쟁 우위를 높이고 고객의 신뢰를 얻는 핵심 요인이 될 수 있기 때문이다. 반대로, 정보보호 규제를 어기거나 정보가 유출된 기업의 경우, 과징금을 물고 보다 엄격한 규제를 적용 받게 될뿐더러 고객의 신뢰도 잃어버리게 된다.

이와 같이 정보보호의 중요성이 날로 커지고 있는 만큼, 기업은 자사의 정보보호 수준을 기업의 경쟁력을 높일 수 있는 핵심 요소로 인지하고 이를 고객에게 어필할 필요가 있다고 생각된다. IT 전담 조직이 없거나 혹은 일상적 업무를 수행하며 자체적으로 인증을 준비하기 어려운 기업의 경우에는, 다년간의 컨설팅 경험을 갖춘 외부 컨설팅 업체에 의뢰하여 인증 준비를 하는 방안도 고려해봄 직 하다.

저작권자 © 디지털투데이 (DigitalToday) 무단전재 및 재배포 금지