통신사·플랫폼 등 고위험 기업 대상 '강화 인증' 도입 검토
서면 중심 심사 탈피…취약점 점검·현장 실증형 심사 확대
보안 사고 발생 시 인증 취소 등 사후관리·심사기관 감독 강화
![[서울=뉴시스] 윤정민 기자 = 과학기술정보통신부와 개인정보보호위원회는 12일 오후 서울 종로구 HJ비즈니스센터에서 한국인터넷진흥원(KISA), 금융보안원 등과 함께 ISMS·ISMS-P 인증제 실효성 강화를 위한 현장 간담회를 열었다. 2026.03.12. alpaca@newsis.com](https://img1.newsis.com/2026/03/12/NISI20260312_0002082267_web.jpg?rnd=20260312141923)
[서울=뉴시스] 윤정민 기자 = 과학기술정보통신부와 개인정보보호위원회는 12일 오후 서울 종로구 HJ비즈니스센터에서 한국인터넷진흥원(KISA), 금융보안원 등과 함께 ISMS·ISMS-P 인증제 실효성 강화를 위한 현장 간담회를 열었다. 2026.03.12. [email protected]
[서울=뉴시스]윤정민 기자 = 정부가 '정보보호 및 개인정보보호 관리체계(ISMS-P)' 인증 제도를 전면 개편한다. 기업 규모와 위험 수준에 따라 기존 단일 기준에서 간편·표준·강화 등 3단계 등급 체계로 바꾸고 통신사·대형 플랫폼 등 고위험 사업자에는 더 엄격한 인증 기준을 적용한다. 기존 서면 위주의 샘플링 점검 방식에서 벗어나 실제 시스템을 직접 확인하는 기술·현장 중심의 심사 체계도 구축할 계획이다.
송경희 개인정보보호위원회 위원장은 12일 오후 서울 종로구 HJ비즈니스센터에서 열린 ISMS·ISMS-P 인증제 실효성 강화를 위한 현장 간담회에서 "심사 시점에 발급받은 인증서 표지로 만족하는 것이 아니라 일정 수준 이상의 보호 조치가 지속적으로 유지될 수 있는 구조를 만들겠다"며 이같이 밝혔다.
ISMS·ISMS-P 인증은 기업·기관이 구축·운영 중인 정보보호 및 개인정보보호 체계가 적합한지 인증하는 제도다. 하지만 최근 인증을 받은 이동통신사, 대형 플랫폼 사업자 등에서 유출 사고가 발생해 인증제 실효성 논란이 제기돼 왔다.
![[서울=뉴시스] 과학기술정보통신부와 개인정보보호위원회가 12일 오후 서울 종로구 HJ비즈니스센터에서 '정보보호 및 개인정보보호 관리체계(ISMS·ISMS-P) 인증제 실효성 강화를 위한 현장간담회'를 열었다. (왼쪽부터) 류제명 과학기술정보통신부 제2차관, 송경희 개인정보보호위원회 위원장, 양청삼 개인정보보호위원회 사무처장이 박수치고 있다. 2026.03.12. (사진=과학기술정보통신부 제공)](https://img1.newsis.com/2026/03/12/NISI20260312_0002082395_web.jpg?rnd=20260312152607)
[서울=뉴시스] 과학기술정보통신부와 개인정보보호위원회가 12일 오후 서울 종로구 HJ비즈니스센터에서 '정보보호 및 개인정보보호 관리체계(ISMS·ISMS-P) 인증제 실효성 강화를 위한 현장간담회'를 열었다. (왼쪽부터) 류제명 과학기술정보통신부 제2차관, 송경희 개인정보보호위원회 위원장, 양청삼 개인정보보호위원회 사무처장이 박수치고 있다. 2026.03.12. (사진=과학기술정보통신부 제공)
송 위원장은 "인증제도는 기업의 개인정보 보호 관리 체계를 선제적으로 점검해 침해 사고를 예방하는 중요한 사전 예방 정책"이라면서도 "최근 인증제 실효성에 대한 지적이 계속되고 있다. 인증받았음에도 왜 유출 사고가 발생하는지 냉철한 분석이 필요하다"고 전했다.
류제명 과기정통부 2차관도 "인증제는 사람의 건강을 지키는 '건강검진'과 같다"며 "그동안 제도가 기업의 보안 역량 강화에 기여해 온 것은 사실이나 최근의 대형 사고들은 현행 제도가 변화된 기술 진화의 양상을 충분히 반영하지 못했음을 보여준다"고 말했다.
ISMS-P 인증, 3단계 등급제로 개편…스냅샷 심사 이제 없다
기존에는 인증 부여 여부를 심사하는 데 기업 규모와 상관없이 같은 기준을 적용했다. 앞으로는 위험 수준에 따라 인증을 3단계(간편·표준·강화)로 구분한다.
특히 통신사, 대형 플랫폼 등 고위험군에 대해서는 보다 강력한 인증 기준을 적용한다. 정부는 주요 보안위협 사례, 주요국 보안 요구 사항을 참조해 강화 인증 기준을 개발할 계획이다.
또 보안 사고의 주요 통로가 되는 외부 인터넷 연결 자산을 인증 범위에 반드시 포함할 계획이다. 기업이 임의로 서버나 클라우드 자산을 제외하고 인증받는 편법을 막아 관리 사각지대를 없애겠다는 취지다.
특정 시점만 확인하는 기존 '스냅샷' 방식의 한계를 극복하기 위해 심사 절차를 고도화한다. 본 심사 전 핵심 항목(비밀번호 암호화, 최신 패치 등)을 미리 점검하는 단계를 만들어 준비가 미흡한 기업의 부실 인증을 사전에 차단한다.
취약점 스캐너, 소스코드 진단, 모의 침투 테스트 등을 통해 보안 상태를 직접 검증하며 이를 위해 전문 기술 인력과 심사 기간을 대폭 늘린다.
"인증 받았다고 끝 아냐"…사후관리·심사 품질도 강화
![[서울=뉴시스] 과학기술정보통신부와 개인정보보호위원회가 12일 오후 서울 종로구 HJ비즈니스센터에서 '정보보호 및 개인정보보호 관리체계(ISMS·ISMS-P) 인증제 실효성 강화를 위한 현장간담회'를 열었다. 2026.03.12. (사진=과학기술정보통신부 제공)](https://img1.newsis.com/2026/03/12/NISI20260312_0002082397_web.jpg?rnd=20260312152716)
[서울=뉴시스] 과학기술정보통신부와 개인정보보호위원회가 12일 오후 서울 종로구 HJ비즈니스센터에서 '정보보호 및 개인정보보호 관리체계(ISMS·ISMS-P) 인증제 실효성 강화를 위한 현장간담회'를 열었다. 2026.03.12. (사진=과학기술정보통신부 제공)
인증 취득 후 보안 관리가 소홀해지는 것을 막기 위해 사후 감시망도 강화한다. 앞서 정부가 예고했듯 중대한 보안 사고가 발생하거나 개선 권고를 이행하지 않을 경우 인증을 취소할 수 있도록 구체적인 기준을 만든다.
또 사고 발생 이력이 있는 기업이 다시 인증을 신청할 경우 재발 방지 대책을 중심으로 집중적인 사후 점검을 받게 할 계획이다.
아울러 심사 품질의 일관성을 확보하기 위해 심사 주체에 대한 관리도 강화한다. 심사 품질이 미달하는 심사 기관에 대해 업무 정지나 지정 취소 등 강력한 행정 처분을 내릴 수 있는 법적 근거를 만든다. 심사원AI, 클라우드 등 최신 기술에 대한 실무 교육을 강화하고, 전문 분야별로 심사원을 관리할 계획이다.
한편 이날 간담회는 인증 심사를 담당하는 전문가들과 이러한 강화 방향이 적절한지 논의하기 위해 마련됐다. 참석자들은 인공지능(AI) 발전과 해킹 기술 고도화 등 급변하는 기술 환경에 대응하기 위한 시의적절한 접근이라고 평가했다.
참석자들은 기술심사 강화 등의 개선책이 현장에서 실질적으로 작동하기 위한 의견을 전했다. 특히 심사 일관성을 확보하기 위해 기술심사 가이드 마련 등 제도적 보완이 필요하며 전반적인 심사 품질 강화를 위해 심사기관에 대한 적극적인 모니터링과 심사원의 심사 참여 요건 개선 등의 정책이 필요하다고 말했다.
정부는 이번 간담회에서 논의된 현장 의견을 강화방안에 반영할 예정이다.
송 위원장은 "제도 개선이 문서에만 머물지 않으려면 정부뿐 아니라 기업과 인증 심사기관 모두가 개선의 주체가 돼야 한다"며 "인증제가 우리 사회 전반의 데이터 보호 수준을 높이는 실질적인 인프라로 기능하도록 지속적으로 개선해 나가겠다"고 말했다.
◎공감언론 뉴시스 [email protected]
