과학기술정보통신부와 개인정보보호위원회는 29일 한국인터넷진흥원KISA, 금융보안원 등과 합동 대책 회의를 열고, ISMS·ISMS-P 인증 취소 기준을 마련했다. 이번 대책은 쿠팡을 포함한 인증 기업에서 발생한 대규모 보안 사고와 유출이 반복되면서 제도의 실효성에 대한 우려가 제기된 상황에서 마련됐다.
인증 취소는 개인정보보호법 위반으로 과징금 등의 처분을 받은 기업에서 중대성을 따져 적용할 계획이다. 특히 1000만명 이상 피해가 발생하거나 반복적으로 법을 위반해 사회적 영향을 낳은 경우 원칙적으로 인증을 취소한다. 고의·중과실 위반행위도 해당되며, 정보통신망법 위반 시 중대성에 따라 인증이 취소될 수 있다.
사후관리 항목 중 외부 인터넷 접점 자산 식별, 접근권한 관리, 패치 관리 등 개인정보 유출 사고와 연관된 항목을 연 1회 사후심사에서 점검받게 된다. 사후관리를 이행하지 않거나 거부하거나 자료를 제출하지 않거나 허위로 제출하는 경우 인증이 취소된다. 심사에서 중대한 결함이 발견되면 인증위원회 심의를 거쳐 인증이 취소될 수 있다.
인증 취소 이후 정보통신망서비스제공자ISP 등 의무대상 기업에는 1년간 재신청 유예기간을 두고 보안 개선을 유도한다. 해당 기간에는 인증 의무 미이행 과태료를 면제한다. 의무대상이 아닌 기업은 지속적인 관리 체계 구축을 위해 인증 재취득을 권고한다.
개인정보위 관계자는 “인증 기준에 미달하거나 중대한 위반이 있는 기업이 인증을 유지할 수 없도록 엄격히 관리해 인증제도 신뢰성을 회복할 것”이라고 말했다. 과기정통부 관계자는 “인증 취소를 적극 실시해 정부 인증제도 실효성을 높이겠다”고 강조했다.
@Meerae AI 빅데이터 연구소 meerae.info@gmail.com