정보통신망법에 따라 정보통신망 서비스를 제공하는 사업자는 지난해까지 정보보호관리체계(ISMS) 인증을 완료해야 했다. 기존에 정보보호안전진단 인증을 획득한 곳은 2월까지 인증이 유지되므로 2월까지 인증을 완료해야 한다.
ISMS에는 경영진의 책임을 강화하고, 정보보호조직 구성 강화, 외부자 보안 강화, 모바일 기기 보안 강화 등의 내용이 포함돼 있다. 의무 대상은 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률(정통망법)’에 의해 기간통신사업 허가를 받은 서울시·광역시에서 정보통신망 서비스 제공사업자와 인터넷 데이터센터(IDC), 전년도 매출액 100억원 이상 또는 전년도말 기준 3개월간 일일평균 이용자 수 100만 명 이상인 정보통신서비스 제공 사업자 등이 대상이다. 온·오프라인 물품판매를 병행할 경우 정보통신망을 이용한 서비스에서 발생된 매출을 기준으로 대상자를 선정한다.
인증심사는 최초심사, 재심사, 사후관리, 갱신심사로 구분되며, 기본적으로 인증유효기간은 3년, 인증취득 후 1년에 1회 이상 사후 심사를 받아야 한다. 인증을 신청한 기관이 인증심사 신청을 하고 인증서 발급을 받기까지 약 3개월이 소요된다.
ISMS는 인증에만 3개월이 소요되기 때문에 컨설팅과 시스템 구축, 2개월의 증적을 쌓는 기간까지 감안하면 6개월 내외의 기간이 소요될 것으로 예상해야 한다. ISMS 인증 준비를 통해 모든 임직원이 정보보호의 생활화와 정보보호 의식을 제고할 수 있어야 하며, 무엇보다 의사결정권자의 강력한 의지가 필요하다.
ISMS는 정보보호의 체계를 수립하고 이를 정해진 규격에 맞게 문서화해야 하므로 전문기관의 도움을 받는 것이 좋다. 컨설팅과 ISMS 인증을 도와주는 솔루션을 함께 도입하면 시간과 비용을 줄일 수 있다. ISMS 솔루션은 반복적으로 되풀이되는 작업을 자동화한 후 정해진 규격에 맞게 ISMS 보고서를 만들어주기 때문에 컨설턴트와 정보보호 전담조직의 업무를 크게 줄일 수 있다.
지난해 ISMS는 대상기관의 이해부족과 인증기관의 준비 부족으로 제대로 운영이 되지 않았으며, 하반기부터 본격화되기 시작했다. 정부는 2월까지 인증신청을 완료하면 의무를 지킨 것으로 인정하겠다고 밝혔지만, 새롭게 인증대상으로 지정된 기관들은 상당수가 인증 준비에 소극적인 상황이다.
금융기관이나 이동통신사, 대규모 인터넷 서비스 사업자 등 보안 사고가 일어났을 때 많은 피해를 입게 되는 기업들은 ISMS 인증의무 규제에 적극적으로 임하고 있다. 특히 대규모 고객정보 유출 사고를 일으킨 금융기관들이 서둘러 ISMS 인증을 준비하고 있으며, 주관부서인 미래창조과학부도 의무대상 기관을 대상으로 적극적인 홍보활동을 벌이고 있으며, 연내 주요 기관에 대해서는 반드시 인증을 받도록 한다는 방침을 밝힌다.
그러나 중소규모 사업자들은 그리 큰 관심을 갖고 있지 않는다. 규제준수를 위해 투자해야 하는 비용보다 과태료가 더 낮기 때문이다. ISMS를 위해 컨설팅을 하고 필요한 보안 시스템을 구축하는 비용, 인증 수수료, 인증을 완료하기 까지 투입돼야 하는 전담인력 등을 감안하면, 차라리 규제 미준수로 인한 과태료가 훨씬 경제적이라고 생각한다.
ISMS·PIMS·PIPL … 중복규제 부작용 우려
중복되는 규제가 너무 많아 기업/기관의 규제준수 의지를 약화시킨다는 문제도 있다. ISMS는 ISO27001을 기반으로 국내 상황에 맞게 조정한 것이며, 방송통신위원회에서는 개인정보보호관리체계(PIMS) 인증제도를 마련해 기업이 개인정보 보호 활동을 체계적·지속적으로 수행할 수 있도록 한다. PIMS는 국제표준을 추진하고 있다.
공공기관을 대상으로 안전행정부가 개인정보 영향평가(PIA) 제도를 마련해 이행중이다. 안행부는 민간기업을 대상으로 한 개인정보 보호수준 인증제(PIPL)를 올해부터 시행하고 있으며, 기업/기관의 개인정보 보호체계와 개인정보 보호활동의 수준을 측정해 공공기관, 대기업, 중소기업, 소상공인용으로 인증마크를 구분해 발급한다.
PIMS는 방송통신위원회가 주관하고 개인정보보호협회가 위탁해 한국인터넷진흥원(KISA)이 인증기관 업무를 수행하고 있다. 기업이 개인정보보호 활동을 체계적·지속적으로 수행하기 위해 필요한 보호조치 체계를 구축했는지 여부를 점검하고, 평가해 기업에게 부여하는 인증제도다.
인증체계는 개인정보관리과정, 개인정보보호대책 및 개인정보생명주기 3개 분야의 118개 통제 항목, 325개의 세부점검 사항으로 구성된다. 인증대상은 개인정보를 처리하는 기업 및 기관, 개인이라면 누구나 가능하고, 인증취득은 자율이다.
PIMS 인증 취득시 기업이 개인정보 사고가 발생했을 때 과징금과 과태료를 경감해 준다. 과징금은 위반 전기통신사업자가 개인정보보호를 위해 방송통신위원회가 인정할 경우 100분의 50이내이며, 과태료는 위반행위의 동기·내용·결과·유형 및 개인정보보호를 위한 사업자 노력 등을 고려해 과태료 금액의 2분의 1의 범위에서 그 금액을 가중 또는 감경받을 수 있다.
PIPL은 안행부가 주관하고 한국정보화진흥원(NIA)이 인증심사를 맡는다. 지난해 11월부터 시행됐으며, 개인정보를 수집·이용하고 있는 공공기관과 민간 기업이 ‘개인정보보호법’에서 요구하는 보호조치와 활동을 이행하고 일정수준 이상 달성했는지 살펴본다.
ISMS는 기업/기관의 정보보호 체계가 전반적으로 잘 구축됐는지, 보안 수준을 지속적으로 유지할 수 있는지 살펴보는 것이며, PIMS, PIA, PIPL은 개인정보 보호 체계를 갖췄는지 살펴본다. 그러나 세부 내용은 크게 다르지 않으며, 인증에 필요한 비용만 중복해 투입된다는 지적이 있다. 기업들은 규제완화를 통한 경제 활성화를 주장하면서 의무화 시점을 미루거나 재개정을 강력하게 요구하고 있는 상황이다.
중복되는 규제가 많다고 해서 규제준수를 위한 노력을 소홀히 해서는 안 된다. 단지 컴플라이언스만을 위해서가 아니라 기업의 경쟁력에 치명적인 영향을 받을 수 있기 때문이다. 보안사고가 발생하면 기업의 자산이 파괴되거나 경쟁사에 유출돼 엄청난 피해를 입게 될 뿐 아니라 기업 신뢰도가 하락해 장기간 회복하기 어려운 상황에 직면할 수 있다.
