정부, 정보보호 인증 제도 강화…결함 확인 시 ‘인증 취소’
2025.12.06 20:17
정부, 정보보호 인증 제도 강화…결함 확인 시 ‘인증 취소’
또 인증 기업에서 유출 사고가 발생하면 특별 사후 심사를 실시하고 중대한 결함이 발견되면 인증을 취소하는 방안도 추진됩니다.
개인정보보호위원회와 과학기술정보통신부는 오늘(6일) 오후 정부서울청사에서 대책 회의를 열고 이 같은 내용을 담은 인증제 개선 방안을 논의했습니다.
우선 그동안 자율에 맡겼던 ISMS-P 인증을 공공과 민간의 주요 개인정보처리시스템에 의무화합니다.
주요 공공시스템, 통신사, 대규모 플랫폼 등이 대상입니다.
특히 통신사 등 국민 파급력이 큰 기업에 대해서는 강화된 인증 기준을 적용할 방침입니다.
서면 위주로 이뤄지던 인증제 심사도 기술 심사와 현장 실증 심사를 강화하는 방식으로 바꿉니다.
분야별 인증위원회를 운영하고 심사원을 대상으로 인공지능(AI) 등 신기술 교육을 확대해 전문성을 높이기로 했습니다.
아울러 인증 기업에서 유출 사고가 발생하면 즉시 특별 사후 심사를 진행해 인증 기준 충족 여부를 확인하고, 중대한 결함이 드러나면 인증위원회 심의·의결을 거쳐 인증을 취소할 방침입니다.
현재까지 ISMS-P 인증을 받았다가 취소된 기업은 없는 것으로 전해졌습니다.
개인정보위는 유출 사고가 발생한 인증 기업에 대해 이번 달부터 현장 점검을 실시한다고 밝혔습니다.
특히 쿠팡 등 현재 조사가 진행 중인 기업은 과기부 민관합동조사단과 개인정보위 조사와 연계해 한국인터넷진흥원(KISA) 등 인증기관 주관의 적합성도 점검합니다.
이밖에 과기부는 지난 10월 발표한 ‘정보보호 종합대책’의 후속 조치로 900여 개 정보보호 관리체계(ISMS) 인증기업에 인터넷 접점 보안 취약점에 대한 자체 점검을 요청했습니다.
개인정보위와 과기부는 지난달부터 운영 중인 합동 제도개선 TF를 통해 개선 방안을 최종 확정하고 특별 사후 점검 결과 등을 반영해 내년 1분기 중 관련 고시를 개정할 예정입니다.
