이통사·포털 대상 새로운 'ISMS-P 인증' 기준 나오나

[디지털투데이 강진규 기자] 한국인터넷진흥원(KISA)이 침해사고 발생 시 파급력이 큰 부문을 대상으로 별도의 정보보호 및 개인정보보호 관리체계(ISMS-P)를 마련하는 방안을 추진한다. 대형 통신사, 플랫폼 사업자, 인공지능(AI) 및 클라우드 서비스 사업자, 대형 이커머스 등이 대상이 될 것으로 보여 파장이 예상된다. 

7일 보안 업계에 따르면 최근 한국인터넷진흥원(KISA)이 홈페이지 공고를 통해 ‘고위험산업군 ISMS-P 인증 적용 방안 연구’와 ‘고위험산업군 ISMS-P 인증기준 개발’ 사업을 각각 11월까지 진행한다고 밝혔다.

KISA는 제안요청서를 통해 통신사업자, 데이터센터(IDC), 대형 플랫폼 기업 등 침해사고 발생 시 국민생활 파급력이 큰 고위험산업군을 대상으로 한 ISMS-P 인증 적용 방안을 연구하기 위해 사업을 진행한다고 설명했다.

ISMS-P는 정보통신망법과 개인정보보호법에 의거해 정보보호 및 개인정보보호를 위한 일련의 조치와 활동을 인증하는 제도다. 과학기술정보통신부와 개인정보보호위원회가 주무 부처이며 KISA와 금융보안원 등이 인증을 담당하고 있다.

ISMS-P는 분야에 상관없이 같은 기준과 형태로 이뤄지고 있는데 KISA는 고위험산업군 ISMS-P를 따로 만들려는 것으로 보인다. 이는 최근 SK텔레콤과 예스24 해킹 사태 여파로 해석된다. 그동안 ISMS-P 인증을 받는 기업들에서 해킹 사건이 발생할 때 마다 ISMS-P 인증이 비판을 받아왔다. SK텔레콤과 예스24도 ISMS-P 인증을 받았는데 해킹을 당했다. 이에 ISMS-P 인증을 보완, 강화해야 한다는 지적이 있었다.

KISA는 이번 사업을 통해 고위험산업군 정의, 대상 등을 연구하고 현재 ISMS-P 인증 의무 대상 기업에서 고위험산업군을 선정하는 방법론을 개발할 방침이다. 또 고위험산업군 ISMS-P 도입을 위한 법제도 개편 방안도 연구한다. 동시에 KISA는 고위험산업군 ISMS-P 인증 기준도 개발할 예정이다.

고위험산업군으로 분류되는 기업들은 더 강화되고 까다로운 기준의 ISMS-P 인증을 받아야할 것으로 보인다.

고위험산업군 범위가 어떻게 될지 여부는 연구 결과가 나와야 명확해질 것으로 전망된다. 다만 KISA는 예시로 ▲통신 ▲인공지능(AI) ▲데이터센터(IDC) ▲클라우드 서비스 ▲검색 ▲이커머스 ▲메신저 등이 고위험산업군이 될 수 있다고 설명했다.

예시로 가정해 보면 SK텔레콤, KT, LG유플러스 등 통신사와 네이버, 카카오 등 플랫폼 사업자 그리고 삼성SDS, LG CNS, SK AX 등 데이터센터, 클라우드 서비스 기업이 대상이 될 수 있다. 쿠팡, SSG닷컴 등 이커머스 기업들 역시 포함될 가능성이 있다. 즉 연구 결과에 따라 여파가 커질 수 있다.

KISA가 이번 연구를 올해 11월까지 진행하는 만큼 실제 도입과 시행은 내년에 이뤄질 것으로 예상된다.