정부, ISMS·ISMS-P 인증제 전면 개편
정부가 정보보호 및 개인정보보호 관리체계(ISMS·ISMS-P) 인증제도를 전면 손본다. 서면·스냅샷 중심 심사에서 벗어나 실제 운영 상태를 따라가며 취약점 진단과 모의침투까지 하는 현장 중심 체계로 바꾸는 게 핵심이다.
공공·민간의 대규모 개인정보처리자에는 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증을 의무화하고, 통신사·데이터센터 같은 고위험군에는 더 강한 인증기준을 적용한다.
개인정보보호위원회와 과학기술정보통신부는 10일 정부서울청사에서 열린 경제관계장관회의에서 ‘정보보호 및 개인정보보호 관리체계 인증제 실효성 강화방안’을 발표했다. 두 부처는 최근 통신사와 이커머스 기업에서 해킹 사고가 잇따르며 인증제 실효성에 대한 의문이 커졌다고 봤다. 정부 자료에 따르면 최근 3년간 ISMS·ISMS-P 인증기업 179곳, 약 14%에서 침해사고가 발생했다.
ISMS·ISMS-P는 기업이나 기관이 구축·운영하는 정보보호, 개인정보보호 관리체계가 적합한지 점검해 인증하는 제도다. 현재 ISMS는 일정 규모 이상 정보통신서비스 사업자 등에 의무가 부과돼 있지만, ISMS-P는 사실상 자율 취득 방식으로 운영돼 왔다. 정부는 이번 개편의 배경으로 대규모 개인정보처리 영역에 관리 공백이 있었고, 기업 중요도와 무관하게 획일적인 기준을 적용해 온 점을 들었다.
대규모 개인정보처리자에 ISMS-P 의무화
가장 큰 변화는 ISMS-P 의무대상 확대다. 정부는 공공·민간의 중요 개인정보처리시스템을 중심으로 ISMS-P 인증을 의무화하기로 했다. 대상안에는 주요 공공시스템운영기관, 이동통신사업자, 본인확인기관, 매출액과 처리하는 개인정보 규모를 고려한 대규모 개인정보처리자가 포함됐다. 지금까지 자율에 맡겼던 ISMS-P를 주요 개인정보 처리 영역의 상시 안전관리 체계로 바꾸겠다는 뜻이다. 시행은 2027년 하반기부터 추진할 계획이다.
의무화와 함께 인증체계 자체도 3단계로 재편한다. 정부는 기존 단일 구조를 강화인증, 표준인증, 간편인증으로 나누기로 했다. 강화인증은 국민생활 파급력이 큰 고위험군에 적용한다. 대상안으로는 매출 1조원 이상 주요 인터넷서비스제공자(ISP)·인터넷데이터센터(IDC), 매출 3조원 이상 정보통신서비스 제공자 등이 제시됐다. 표준인증은 현행 기본 원칙 중심 체계를 유지하고, 간편인증은 인증 부담을 낮춘다.
기준도 더 세분화된다. 표준 ISMS 기준은 80개, ISMS-P 기준은 101개다. 여기에 강화인증군에는 별도 강화기준 20개를 추가한다. 정부는 주요 보안위협 사례와 주요국 보안 요구사항을 참고해 강화기준을 만들겠다고 밝혔다. 예시로는 최고정보보호책임자(CISO)와 개인정보보호책임자(CPO)를 최고경영자 직속 임원으로 두고 실질적 통제권을 부여하는 방안, 자동화 도구를 활용한 정보자산 식별, 무결성 검증 도구 운영, 계정 생명주기 자동화, 중요 시스템 접근 시 강화된 인증수단과 적응형 인증 적용, 액세스 토큰과 API키의 전체 생명주기 관리, 외부 인터넷 접점 최소화와 중요망 분리 등이 제시됐다.
인증범위도 넓힌다. 정부는 인증대상 서비스와 관련된 장비, 시설이 빠지지 않도록 범위를 단계적으로 확대하기로 했다. 특히 외부 인터넷과 연결돼 공격 경로로 쓰일 수 있는 디지털 자산은 인증범위에 반드시 포함하도록 할 방침이다. 그동안 인증범위 밖에 있던 접점 자산이 사고의 우회 경로가 되는 문제를 겨냥한 조치다.
서면 심사에서 현장 실증으로
심사 방식도 바꾼다. 지금까지는 기업이 제출한 서류와 자체 증적을 바탕으로 심사하는 비중이 컸다. 정부는 이를 현장 실증형으로 바꾸기로 했다. 핵심은 본심사 전에 핵심항목과 기술심사를 먼저 검증하는 구조다. 보안사고와 직결되는 핵심항목을 예비심사 단계에서 확인하고, 이를 통과한 기업만 본심사로 넘어가게 한다. 핵심항목 예시로는 CISO·CPO의 정보보호 정책 관리 권한, 개인정보 처리 자산과 외부 인터넷 접점 자산 식별, 개인정보 처리시스템의 비밀번호·암호화 적용, 취약점·패치관리 등이 제시됐다. 핵심항목을 충족하지 못하면 최초 인증은 신청 반려, 사후심사는 미보완 시 인증효력 취소까지 갈 수 있다.
기술심사도 도입한다. 취약점 점검 전문인력이 취약점 스캐너, 스크립트, 소스코드 진단도구 등을 활용해 취약점 진단과 모의침투를 수행하는 방식이다. 점검 항목은 공개 취약점 목록(CVE), 보안 설정 취약점(CCE), 소스코드 취약점, 시나리오 기반 침투테스트 등으로 구성된다. 기업이 제출한 문서를 보는 데서 그치지 않고, 정부가 인증범위 안의 자산을 목록화한 뒤 중요도에 따라 범위를 정하고 실제 취약점을 찾아보겠다는 것이다.
현장 실증도 강화한다. 정부는 심사원이 정보자산 식별, 퇴직자 계정 회수, 이상행위 모니터링, 백업 데이터 복구 같은 절차를 현장에서 직접 시연으로 확인하는 방식을 도입하기로 했다. 예를 들어 테스트 계정을 만든 뒤 퇴직·직무변경 상황을 부여해 계정과 권한이 바로 회수되는지 확인하거나, 테스트 파일을 암호화한 뒤 실제 복구가 되는지 보는 식이다.
심사팀 규모도 커진다. 정부 안에 따르면 표준인증군은 기존보다 심사원을 1명 더 넣고, 강화인증군과 사고기업은 취약점점검원을 따로 투입한다. ISMS-P 기준으로 보면 기존 5명 7일 수준에서, 표준인증은 6명 7일, 강화인증·사고기업은 10명 12일 안으로 바뀐다. 취약점 점검 자산 수도 기존 10대에서 최대 500대까지 늘릴 계획이다. 이런 변화에 따라 인증수수료는 오를 예정이다. 정부는 기술심사 비중 확대와 투입 인력·기간 증가, 심사원 보수 현실화를 반영하면 수수료 상승이 불가피하다고 설명했다.
인증 뒤에도 상시 점검…중대 사고 나면 심사 중단
사후관리도 대폭 강화한다. 지금까지는 인증을 받은 뒤 특정 시점의 상태만 확인하는 ‘스냅샷’ 방식에 가까웠고, 인증취소 사례도 없었다. 정부는 인증 취득부터 유지, 갱신까지 전 과정에서 상시 점검을 강화하겠다고 밝혔다. 이를 위해 주기별 점검양식을 표준화하고, 사후심사 때 CISO·CPO 지정, 취약점 점검, 로그·접속기록 관리 같은 핵심항목이 계속 이행되는지를 집중 점검한다. 시행은 올해 하반기부터 추진한다.
중대한 침해사고가 발생한 기업에 대해서는 인증심사와 심의를 잠정 중단한다. 기업이 사고 복구와 재발방지에 집중하도록 하기 위한 조치다. 다만 인증 유효기간은 조건부로 일시 연장할 수 있다. 정부 조사와 처분이 끝나면 심사를 다시 시작하고, 사고 원인과 조치 결과, 재발방지 대책을 종합적으로 봐 인증 유지 여부를 결정한다. 사고기업은 사후심사 때 심사인력과 기간을 2배 수준으로 늘려 별도 관리한다.
인증취소 기준도 구체화한다. 정부는 법령상 취소 사유를 현실적으로 집행할 수 있도록 중대결함 기준을 만들겠다고 밝혔다. 예시로는 지원이 끝난 소프트웨어 사용, 보안패치 미적용, 로그 미보관 등이 제시됐다. 사후관리 거부·방해, 신청자료 미제출, 중대한 법령 위반도 취소 검토 대상에 넣는다. 특히 중대결함은 경영진 승인에 따른 위험수용 대상으로 인정하지 않고, 보완기한 100일 안에 조치하지 않으면 인증취소 절차를 밟도록 했다.
심사기관 관리 강화…심사원 전문성도 손본다
심사기관과 심사원 관리도 바뀐다. 정부는 매 인증심사 종료 뒤 심사기관 신뢰도 조사를 실시하고, 그 결과를 다음해 인증심사 배분에 반영하기로 했다. 과도한 수수료 부과나 역량 부족 심사원 배정 등이 신뢰도에 영향을 주게 된다. 아울러 심사기관의 지정·재지정 평가에 심사품질 항목을 넣고, 매년 사후점검으로 지정기준 준수 여부를 확인한다. 기준 미달이 확인되면 3~6개월 업무정지, 세 차례 누적 시 지정취소까지 가능하도록 했다.
심사원 전문성 강화도 포함됐다. 정부는 AI·클라우드 등 분야별 전문성을 관리해 해당 분야 심사에 우선 배정하고, 장비·서버별 취약점 점검과 운영체제 보안 설정 확인 같은 현장 실증 교육을 늘리기로 했다. 형식적 자격갱신 요건은 줄이고, 실제 심사에 참여하는 인력 중심 교육으로 바꾼다. 심사원 처우는 소프트웨어 기술자 평균임금 수준에 맞춰 현실화할 방침이다.
정부는 상시 점검 강화, 중대사고 심사중단, 사고이력 관리, 인증취소 관련 조치는 올해 하반기부터 추진한다. ISMS-P 의무화, 인증 차등화, 강화인증 기준, 심사팀 개편, 심사기관·심사원 제도 정비는 2027년부터 시행한다. 시행령과 고시, 가이드라인 개정이 함께 이뤄질 예정이다.
글. 바이라인네트워크
<곽중희 기자>god8889@byline.network
