내년부터 의료기관이나 교육기관 등 일정 규모 비ICT분야 산업체는 정보보호 관리체계를 반드시 구축해야 한다. 정보통신서비스 제공 비중이 낮은 대형 제조업체나 유통업체도 포함된다. 산업계 전반에 걸친 정보보호 수준 향상이 기대된다.
10일 업계에 따르면 최근 정보보호관리체계(ISMS) 인증 의무대상자 확대 등이 담긴 정보통신망법 개정안 국회 통과에 따라 총매출액 1500억원 이상 사업체는 내년부터 정보보호 관리체계를 수립한다. 내년 6월 시행한다.
ISMS 인증제도는 기업이 각종 위협으로부터 주요 정보자산을 보호하기 위해 수립·관리·운영하는 종합체계 인증 제도다. 정보보호정책 수립부터 인적·물리적 보안, 암호·접근 통제, 침해사고 관리까지 12개 요구사항과 104개 통제사항으로 구성된다.
기존에는 매출액 100억원 이상 혹은 이용자 수 100만명 이상인 정보통신서비스제공자가 의무대상이었다. 의무대상과 비의무대상을 합쳐 370여개 업체가 인증을 받았다. 주로 ICT 업체에 집중됐다. 대기업이라도 정보통신서비스 관련 매출액이 100억원 미만이면 대상에서 제외됐다.
개정안은 기존 의무대상자 외에도 총 매출액이 1500억원 이상 사업자로 확대했다. 비영리 단체도 포함한다. 학생 개인정보, 의료정보 등을 대량 보유한 학교, 병원도 적용한다.
의무대상자 미인증 과태료도 현행 1000만원에서 3000만원으로 상향 조정한다. 제도 구속력을 강화하기 위해서다. 기존에는 과태료를 내며 인증을 받지 않는 사업자도 있었다. 소관 부처 미래창조과학부는 인증 최신성 유지를 위해 점검 기준을 강화할 계획이다.
ISO27001 등 외국계 유사 인증을 획득한 기업은 ISMS 심사 기준을 다소 완화한다. 동일한 항목은 상호 인정한다. 중복 인증 수행에 따른 부담을 줄이기 위해서다.
홍진배 미래창조과학부 정보보호기획과장은 “의무대상자 규모가 얼마나 될지 아직 세부 기준을 마련 중이지만 현재에 비해 많은 수가 증가할 것”이라며 “내년 정보보호 수요 시장에 큰 변화가 있을 것”이라고 말했다.
정보보호 관련 업계는 관련 시장이 확대될 것으로 기대한다. 단기적으로 의무 인증 대상 기업이 1500~2000개까지 늘어날 전망이다. 인증에 도움 주는 다양한 보안 장비나 솔루션, 컨설팅 수요도 함께 커진다. 전문인력 요구도 늘어난다. 정보보호 전담 직원이나 조직이 없던 중소·중견 기업으로 범위가 확장됐기 때문이다.
업계는 정보보호 이해도가 낮고 IT관련 예산이 부족한 비ICT기업을 대상으로 한 맞춤형 솔루션을 준비 중이다.
ISMS 인증지원 솔루션업체 대표는 “인증 의무대상 기준은 낮아지고 범위가 확대돼 중소·중견기업 고객이 늘 것”이라며 “정부가 보호 수준 강화(규제)와 인증제도 중 어느 쪽에 정책 무게중심을 둘지 귀추가 주목된다”고 말했다.
박정은기자 jepark@etnews.com
