"보안 사고 내고 로그 없으면 인증 취소"…정부, IT 대기업 ISMS-P 대수술

[서울=뉴시스]윤정민 기자 = 정부가 이동통신3사(SK텔레콤, KT, LG유플러스), 네이버, 카카오, 쿠팡 등 국민 생활과 밀접한 기업의 정보보호·개인정보보호 관리체계(ISMS·ISMS-P) 인증 기준을 101개에서 120여개로 확대한다. 이들 기업은 향후 인증 재심사에서 취약점 점검과 모의침투 등 강화된 심사를 받게 된다. 정부는 심사 사후 관리를 거부하거나 로그를 보관하지 않는 등 중대한 결함 행위가 확인된 기업·기관에 대해 인증을 취소할 방침이다.

과학기술정보통신부와 개인정보보호위원회는 10일 정부서울청사에서 열린 경제관계장관회의에서 이러한 내용의 '정보보호 및 개인정보보호 관리체계 인증제 실효성 강화방안'을 발표했다.

ISMS·ISMS-P는 기업의 정보보호, 개인정보보호 관리체계를 점검·인증하는 제도다. 하지만 최근 인증 기업의 연이은 보안 사고로 인증제 실효성에 대한 우려가 커지고 있다. 최근 3년간 ISMS·ISMS-P 인증 기업 중 179곳에서 침해 사고가 발생했다.

정부는 인증 대상·기준, 심사 방식, 사후 관리, 심사 품질 확보 등 제도를 전반적으로 개선했다.

우선 주요 공공시스템 운영기관, 이동통신사, 본인확인기관, 대규모 개인정보처리자 등을 대상으로 ISMS-P 인증을 의무화할 계획이다.

표준 인증과 간편 인증(영세·중소기업 대상)으로 구분했던 인증 체계에 '강화 인증'도 추가했다. ISMS-P 표준 인증 기준 101개에 강화 인증 기준 20개를 추가하는 방식이다.

정부가 공개한 강화 인증 기준안에는 ▲최고책임자 지정 ▲정보자산 식별 강화 ▲무결성 검증 ▲자동화된 계정 관리 ▲사용자 인증 강화 ▲인증 정보(액세스 토큰, API 키 등) 관리 ▲네트워크 접근 강화 등이 담겼다.

강화 인증이 적용되는 사업자는 매출액 1조원 이상인 주요 인터넷 서비스 제공자(ISP), 데이터 센터(IDC) 사업자와 매출액 3조원 이상인 정보통신서비스 제공자 등이다. 이동통신3사와 삼성SDS, LG CNS 등 인프라 사업자, 네이버와 카카오, 쿠팡 등 대규모 이용자를 보유한 주요 플랫폼 기업들이 대상군에 포함될 전망이다.

인증 대상 서비스와 관련된 장비, 시설 등은 빠짐없이 포함되도록 인증 범위도 단계적으로 확대한다. 특히 외부 인터넷과 연결돼 공격 경로로 활용될 가능성이 있는 디지털 자산도 인증 범위 내에 포함할 계획이다.

'서류 인증'에서 '현장 검증'으로…보안 심사 대수술

심사 방식도 서면 중심에서 기술 중심·현장 실증형 방식으로 바뀐다. 정부는 본심사 전 예비심사 단계에서 핵심 항목(최고정보보호책임자의 정보보호 정책 관리 권한 여부, 개인정보 처리시스템 비밀번호·암호화 적용 등)을 점검해 미흡한 기업은 본심사 진행을 제한할 계획이다.

또 강화 인증군에 해당하는 기업·기관에는 인증 심사원과 함께 취약점 점검 전문인력도 투입한다. 이 인력은 취약점 스캐너, 스크립트, 소스코드 진단툴 등을 활용해 취약점 진단과 모의침투를 수행한다. '선 검증 후 본심사' 방식으로 보안 수준이 미흡한 기업의 부실 인증을 사전에 차단하겠다는 방침이다.

인증 심사 이후에도 보안 관리가 유지될 수 있도록 상시 점검을 강화한다. 또 사고기업은 향후 인증 심사 시 심사인력·기간 투입을 확대해 사고 원인과 조치 현황 등을 집중 심사할 계획이다. 예를 들어 기존에는 인증 사후 심사 시 5일간 인력 5명이 투입했다면 사고기업한테는 인력 10명이 투입해 10일간 현장 실증·기술 심사, 사고 주요 원인 집중 심사를 진행하는 방식이다.

인증 취소 사유를 구체화하고 관련 법령에 따라 취소 절차도 만든다. ▲사후관리 포기 의사 제출, 사후심사 미신청, 예비인증-본인증 미실시 등 사후관리를 거부하거나 방해한 행위 ▲보안 패치 미적용, 로그 미보관 등 중대 결함을 보완하지 않은 행위 ▲정보통신망법, 개인정보보호법 등에 따라 위반행위가 매우 중대한 경우 인증 기준 미달로 간주해 인증 취소 절차에 들어간다.

또 정부는 심사기관, 심사원 전문성 강화를 위해 심사 품질에 대한 사후 평가와 관리 감독을 강화한다. 취약점 점검 등 기술심사 검증 능력을 높이기 위한 실무교육도 강화한다.

특히 기술심사 가이드를 제공해 현장실증형 심사 일관성을 확보하고 인공지능(AI)·클라우드 등 전문 분야별 특화 심사가 가능하도록 심사원별 전문 분야 정보를 관리할 계획이다. 심사원 인건비도 정보보안 전문가 평균임금과 연동·현실화해 처우 개선에 나선다.

정부는 시행령, 고시, 안내서 등을 개정하고 관련 예산을 확보하는 등 후속 조치도 수행할 예정이다. 상시 점검 강화·인증 취소 등 인증 사후 관리와 관련된 사항은 오는 하반기부터 추진할 계획이다. ISMS-P 의무화·인증 차등 적용, 강화 인증 기준 적용 등은 내년부터 시행될 수 있도록 관련 작업을 추진할 계획이다.

송경희 개인정보위원장은 "오늘 발표된 실효성 강화 방안을 시작으로 인증제도를 개인정보 보호의 사전예방 핵심수단으로 개선해 국민이 안심할 수 있는 디지털 환경을 구현하겠다"고 말했다.

류제명 과기정통부 제2차관은 "급변하는 사이버 보안 환경에 대응해 정보보호 관리체계를 보다 엄격하고 내실 있게 운영해 인증제도의 실효성을 높이고 국민이 신뢰할 수 있는 인증체계로 발전시켜 나가겠다"고 밝혔다.


◎공감언론 뉴시스 [email protected]