[디지털투데이 정유림 기자] 과학기술정보통신부(장관 최기영)와 개인정보보호위원회(위원장 윤종인)는 정보보호 유사·중복 부담을 완화하고 정보보호 사각지대를 해소하고자 정보보호(ISMS) 및 개인정보보호 관리체계(ISMS-P) 인증 제도 개선을 추진한다고 1일 밝혔다.
ISMS는 정보통신망의 안전성·신뢰성 확보를 위해 기업이 운영하고 있는 관리·기술·물리적 보호조치를 포함한 종합 관리체계다.
ISMS-P는 주요 정보자산 유출, 피해를 예방하기 위해 기업이 스스로 수립, 운영 중인 정보보호 및 개인정보보호 관리체계가 적합한지를 한국인터넷진흥원 등이 인증해주는 제도다. ISMS와 개인정보보호 관리체계(PIMS), 두 인증을 통합한 개념으로 2018년 11월부터 시행됐다.
정부는 우선 가상자산(암호화폐) 사업자와 중소기업에 특화된 ISMS 인증 심사체계를 구축해 정보보호 사각지대를 해소한다는 방침이다.
그간 가상자산 사업은 금융 서비스 특성이 있지만 사업자의 법적 지위 미비 등 제도적 기반이 없어 정보통신 서비스 분야에 적합한 ISMS 인증 심사 항목을 적용해 인증해왔다. 현재까지 가상자산 거래소 업비트를 운영하는 두나무와 빗썸코리아, 코빗, 코인원, 스트리미, 플루토스디에스, 뉴링크 등 7곳이 ISMS 인증을 받았다.
가상자산 거래소 신고제 등 내용을 담은 특금법 개정을 통해 앞으로 가상자산 사업자가 사업을 계속 하기 위해서는 ISMS 인증을 의무적으로 획득해야 한다는 제도적 기반이 마련됐다.
이에 따라 과기정통부는 금융위원회(금융보안원)와 함께 가상자산에 특화된 점검 항목(지갑·암호키, 전산원장 관리, 비인가자 이체탐지 등 56개)을 개발하고 11월부터 이를 공지해 ISMS 인증 심사에 적용토록 할 예정이다.
가상자산 사업자 심사시 기존 ISMS 항목(325개)에 가상자산 특화 항목(56개)을 더해 총 381개 항목을 점검한다는 계획이다.
또 정보보호가 중요한 영세·중소 기업도 기업 스스로 ISMS 인증을 준비할 수 있도록 ISMS 인증항목절차(102개)를 경량화한 중소기업용 인증체계를 마련해 인증 비용과 소요 기간을 단축하도록 지원할 예정이다.
아울러 ISMS-P를 중심으로 개인정보 및 정보 보안성은 유지하되 기업 부담을 경감시키는 방향으로 유사 제도를 통합 운영한다는 방침이다.
그동안 ISMS-P 인증 범위에는 수탁회사(콜센터, 택배회사)의 정보보호 관리체계가 포함돼 위탁회사들이 ISMS-P 인증 심사를 할 때마다 수탁회사 역시 반복적으로 현장 점검을 받는 불편이 있었다는 지적이다. 이에 수탁회사가 ISMS-P 인증을 획득한 경우에는 위탁사들의 ISMS-P 인증심사에 포함됐던 수탁사의 현장 점검을 면제할 예정이다.
예를 들어 고객사가 3곳인 A콜센터는 위탁사 심사에 따라 ISMS-P 현장 점검도 3번 받아야 했는데 앞으로 이를 1번만 받도록 한다는 것이다. 이를 위해 정부는 정보보호 및 개인정보 관리체계 인증 등에 관한 고시(제20조) 개정을 추진한다.
한편 클라우드 서비스 보안인증의 경우도 ISMS 인증과 유사한 인증 항목이 다수라는 지적이 있었다. 이에 ISMS 인증 기업이 클라우드 보안인증 신청 시 인증 항목의 54%(117개→ 54개 항목)에 대해선 심사를 생략할 수 있도록 클라우드 서비스 보안인증 안내서를 11월 중으로 개정해 12월부터 시행한다는 계획이다.
또 교육부가 주관하는 정보보호 수준진단에서 '우수(80점)' 등급을 획득한 대학은 ISMS 인증 의무를 면제하는 내용을 골자로 하는 정보통신망 이용촉진 및 정보보호 등에 관한 법률(시행규칙 제3조) 개정 입법예고를 이달 중 추진한다.
ISMS 인증 의무(재학생 수 1만명 이상, 44개)를 미이행한 13개 대학 중 10개 대학(조선대, 경북대, 충북대, 전남대, 공주대, 부경대, 경상대, 부산대, 충남대, 서울과기대)이 올해 교육부 정보보호 수준진단에서 우수 등급을 획득해 ISMS 인증이 면제될 예정이다.
과기정통부와 개인정보보호위원회는 "이번 정보보호 및 개인정보보호 관리체계 제도개선으로 기업과 대학의 행정 부담을 경감하고 정보보호 사각지대를 해소하는데 크게 기여할 것으로 기대한다"며 "앞으로도 정부는 현장 목소리에 귀기울여 관련 제도를 개선하고 지원책을 마련해 기업이나 기관이 정보보호 활동을 하는데 어려움이 없도록 할 것"이라고 말했다.
SNS 기사보내기
관련기사
- 업비트, ISMS 인증 사후 심사 완료
- 코로나19 재확산에 ISMS 심사 지연? 가상자산 거래소들 촉각
- 오라클 퍼블릭 클라우드, KISA ISMS 보안 인증 획득
- NH농협은행, 태평양-헥슬란트와 개정 특금법 컨퍼런스
- 크로키닷컴 ‘지그재그’, ISMS-P 인증 획득
- 카카오페이, 금융보안원 ISMS-P 통합 인증 획득
- KISA, ISMS-P 인증심사원 자격검정 다음달 8일부터 접수
- [블록체인핫이슈] "디지털화폐는 금융의 미래" 세계 각국 CBDC 개발 박차
- 버라이즌, 블록체인 기술로 가짜뉴스 가린다
- 은행이 가산자산 사업자 평가한다...특금법 개정안 시행령 입법예고
- 과기정통부 '2020 차세대 미디어 대전' 온라인 개최
- 은행 ATM 보안 강화...비밀번호 자판 랜덤 방식으로 속속 변경
- 업비트, 코인마켓캡 기준 가상자산 거래 국내 1위...2위 두배 이상
- KISA, 클라우드 보안 인증 사업자 대상 맞춤형 모의 훈련 실시
- 빗썸, 12월 수수료 보상 이벤트...최대 80% 환급
- 가상자산 입출금 계좌 허용 기준 놓고 당국 vs 업계 이견
- 코인원, ISMS 인증 사후 심사 통과