과기정통부·개인정보위, ISMS-P 인증 전면 개편

과학기술정보통신부(부총리 겸 장관 배경훈, 이하 과기정통부)와 개인정보보호위원회(위원장 송경희, 이하 개인정보위)는 6일 오후 관계부처 대책회의를 열고 ‘정보보호 관리체계(ISMS)’와 ‘정보보호 및 개인정보보호 관리체계(ISMS-P)’ 인증의 실효성을 전면 강화하는 개편 방안을 추진한다고 밝혔다.

올해 통신3사와 롯데카드, 쿠팡 등 국내 주요 기업에서 대규모 개인정보 유출 사고가 잇따르면서, 현행 인증 제도가 기업의 실제 보안 수준을 충분히 검증하지 못한다는 우려가 나온 데 따른 조치다.

의무 대상 확대, 심사 구조도 개편

정부는 먼저 자율 신청 구조였던 ISMS-P 인증을 주요 공공시스템, 통신사, 대형 온라인 플랫폼 등으로 의무화해 상시적 개인정보 안전관리체계를 갖추도록 할 계획이다. 국민 파급력이 큰 기업에는 강화된 별도 기준도 적용한다. 이를 위해 개인정보보호법과 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 정보통신망법)’ 개정이 추진된다.

심사 방식도 전면 개편된다. 예비심사에서 핵심 통제항목을 먼저 검증해 미충족 시 본심사 자체가 불가능하도록 했으며, 최초 인증은 신청이 반려되고 사후심사는 인증 효력이 취소될 수 있다. 서면 중심이던 본심사는 실제 운영 환경을 확인하는 코어시스템 기반 현장실증형 점검으로 강화된다. 취약점 진단과 모의침투 등 기술심사 방식도 ISMS-P에 적용된다.

유출 사고가 발생한 기업은 사후심사 인력과 기간을 2배로 확대해 사고원인과 재발방지 조치를 집중 점검한다. 정부는 분야별 인증위원회 운영, 심사원 대상 인공지능(AI) 등 신기술 교육 확대 등을 통해 인증의 전문성도 높일 계획이다.

이번 정부의 개편안은 쿠팡 개인정보 유출 이후 국회에서 제기된 ISMS-P 제도 한계 논의가 맞물리며 더욱 힘을 얻었다. 국회 정무위원회는 현재의 심사가 “연 5일간의 스냅샷 점검”에 그쳐 그 외 기간 발생하는 저속·잠복형 침투를 잡지 못한다고 지적했다. 실제로 쿠팡 공격은 약 5개월 동안 지속됐지만, 기존 정기 심사에서는 이상 징후가 포착되지 않았다.

또한 퇴직자 계정 관리(2.5.1), 암호키 관리(2.7.2) 등 핵심 통제항목이 지켜지지 않았음에도 기업이 인증을 유지한 점도 문제로 지적됐다. 현 구조가 실질적인 보안 상태를 점검하기보다 기업이 제출한 문서와 체크리스트를 확인하는 데 치우쳤다는 비판이다.

여야 의원들은 ▲중대 사고 발생 시 인증 즉시 취소 및 재심사 의무화 ▲스냅샷 점검을 보완하는 상시 모니터링 체계 구축 ▲과징금 감경 기준 재정비 등을 요구했다. 고위험 개인정보를 다루는 빅테크 기업에는 ISMS-P를 자율이 아닌 의무 감독 체계로 전환해야 한다는 제언도 이어졌다.

사고기업 특별점검 즉시 착수, 내년 초부터 현장 검증 확대

개인정보위는 이달부터 유출사고가 발생한 인증기업에 대한 현장점검을 시작한다. 쿠팡 등 현재 조사가 진행 중인 기업은 과기정통부 민·관 합동조사단과 개인정보위 조사와 연계해 한국인터넷진흥원(원장 이상중, 이하 KISA), 금융보안원(원장 박상원)이 인증 기준 적합성을 직접 점검한다.

과기정통부는 지난 10월 발표한 ‘범정부 정보보호 종합대책’ 후속으로 통신사, 온라인 쇼핑몰 등 약 900개 ISMS 인증기업에 긴급 자체 점검을 요청한 바 있다. 내년 초부터는 기업 자체 점검 결과에 대한 현장 검증을 단계적으로 시행한다.

과기정통부와 개인정보위는 두 기관 및 인증기관이 참여하는 제도개선 TF를 통해 개편안을 최종 확정하고, 특별 사후점검 결과 등을 반영해 2026년 1분기 중 관련 고시를 개정할 예정이다. 정부는 인증 제도의 목적이 단순히 규정을 충족하는 형식적 절차가 아니라, 기업이 평상시에도 안전관리체계를 유지하도록 만드는 책임 구조로의 전환이라고 강조했다.

글. 바이라인네트워크
<곽중희 기자> god8889@byline.network