과학기술정보통신부와 개인정보보호위원회는 29일 한국인터넷진흥원, 금융보안원 등 인증기관과 민간 전문가가 참여한 관계 기관 대책 회의를 열고, 정보보호 및 개인정보보호 관리체계ISMS·ISMS-P 인증 취소 기준과 절차를 구체화해 즉시 시행하기로 했다. 이는 최근 인증 기업에서 사이버 침해와 개인정보 유출 사고가 잇따르자 사후 관리의 실효성을 높이기 위한 후속 조치다.
인증 기업이 개인정보보호법 위반으로 과징금 등 처분을 받은 경우, 위반 행위의 중대성에 따라 인증을 취소할 방침이다. 특히 피해 규모가 1000만명 이상이거나 반복적으로 법을 위반해 사회적 영향이 큰 경우 원칙적으로 인증을 취소한다. 정보통신망법 개정을 통해 중대한 위반 시 인증 취소가 가능하도록 조치 중이다.
외부 인터넷 접점 자산 식별, 접근 권한 관리, 패치 관리 등 실제 사고와 밀접한 핵심 항목을 연 1회 사후 심사에서 집중 점검할 방침이다. 사후 관리 점검을 거부하거나 자료를 미제출·허위 제출할 경우, 또는 중대 결함이 발견되면 인증위원회 심의를 거쳐 인증을 취소한다.
인증 취소 이후 관리 방안으로, 법상 의무 대상 기업은 취소 후 1년간 재신청 유예기간을 두되, 이 기간에는 인증 의무 미이행에 따른 과태료를 면제한다. 비의무 대상 기업에도 재취득을 권고해 관리 체계를 유지하도록 한다.
개인정보위 관계자는 “인증 기준에 미달하거나 중대한 위반이 있는 기업이 인증을 유지할 수 없도록 엄격히 관리해 인증제도 신뢰성을 회복할 것”이라고 말했다. 과기정통부 관계자는 “인증 사후심사 시 기준을 미달하는 등 인증받은 기업이 정보보호관리체계의 수준을 지속 유지하지 않는 경우 인증 취소를 적극 실시하여 정부 인증제의 실효성을 높이겠다”고 강조했다.
@Meerae AI 빅데이터 연구소 meerae.info@gmail.com