방송통신위원회(위원장 이계철)는 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’(이하 정보통신망법)의 개정에 따라 신설·강화된 기업 정보보호 제도에 대한 세부사항을 정하는 고시 제·개정안(3건)을 의결하고, 2월 18일부터 시행한다고 밝혔다.
개정 고시는 ‘정보보호 관리체계 인증 등에 관한 고시’ 및 ‘정보보호조치에 관한 지침’이며, 제정 고시는 ‘정보보호 사전점검에 관한 고시’다. 제·개정된 고시에는 기업의 실질적인 정보보호 활동 및 정보보호 투자를 촉진하고 해킹 등 사이버 위협에 대한 사전예방 조치를 강화하기 위한 내용이 반영됐다.
‘정보보호 관리체계 인증 등에 관한 고시’는 통신사, 포털, 쇼핑몰 등 주요 정보통신서비스 제공자를 인증 의무대상자로 지정하고, 인증 기준 등을 재정비했다.
‘정보보호조치에 관한 지침’은 정보통신서비스 제공자가 관리적·기술적·물리적 보호조치를 위해 준수해야 할 최소한의 권고 기준이다.
‘정보보호 사전점검에 관한 고시’는 새로운 정보통신망의 구축 또는 정보통신서비스의 제공 이전에 계획 또는 설계 단계에서 정보보호를 고려해 필요한 대책을 마련토록 했다. IBM 시스템 연구소에 따르면 보안사고의 90% 이상은 서비스 구축과정에서 보안조치를 강화하면 미연에 방지할 수 있으며, 보안조치에 필요한 비용도 60~100배 정도 절감할 수 있다.
특히 고시 내용 중 관련 기업들이 주목해야 할 사항은 주요 정보통신서비스 제공자에 대한 정보보호 관리체계(ISMS) 인증을 의무화한 조치다. 인증 의무대상자는 정보통신망서비스 제공자(ISP), 집적정보통신시설 사업자(IDC), 정보통신서비스 제공자 중 정보통신 부문 연매출 100억원 이상 또는 전년도 말 기준 직전 3개월간의 일평균 이용자수 100만명 이상인 사업자다. 의무대상자가 인증을 받지 않을 경우, 1000만원 이하의 과태료가 부과된다.
이번 고시 제·개정으로 최근 다양한 원인에 의해 발생하고 있는 개인정보침해, 기업정보유출, DDoS 공격 등의 보안 사고를 실질적으로 예방하는데 효과가 있을 것으로 예상된다.
방통위 관계자는 “이번 고시 제·개정은 실효성이 낮은 안전진단 제도를 폐지하고 정보보호 관리체계 인증제도로 일원화하는 등 기업의 정보보호 수준을 제고하기 위한 조치의 일환이다”며 “이를 통해 관련 기업들이 정보보호에 대한 종합적인 관리체계를 수립·운영할 것으로 기대된다”고 밝혔다.
