일정 규모 이상 정보통신서비스사업자가 1년에 한 번씩 받아야 했던 정보보호 안전진단제도가 폐지되고 `정보보호관리체계(ISMS:Information Security Management System) 인증`으로 일원화된다. 해당 기업은 앞으로 ISMS 인증을 의무적으로 받아야 한다.
정부는 7일 김황식 국무총리 주재로 국무회의를 열고 이 같은 `정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법)` 일부 개정안을 심의, 의결했다.
이에 따라 지난 2005년 이후 매년 안전진단이 시행돼 왔으나, 초대형 개인정보 유출사고가 잇따라 터지는 등 유명무실했던 기업 정보보호 관행에 대수술이 불가피해졌다.
안전진단 수행업체가 30개 이상 난립하면서 값싼 진단필증만 받으면 된다는 이른바 `날림 진단`도 철퇴를 맞게 됐다.
조래현 인포섹 상무는 “안전진단 수행업체 간 가격 경쟁이 심화되면서 싼값에 한 명만 나와서 대충 필증만 교부해주는 일이 허다했다”며 “1년에 한 번 유명무실하게 안전진단을 받는 것보다 ISMS 인증을 받고 1년에 한 번 사후진단을 받는 것이 보안상 훨씬 강화된 조치”라고 평가했다.
염흥열 순천향대 정보보호학과 교수도 “ISMS는 정보보호의 전반적인 관리뿐 아니라 경영 일부로서 위험을 평가하고 프로세스를 유지하며 정보보호를 개선하려는 체계화된 인증”이라며 “ISMS 제도가 안전진단보다 보안성 담보에 훨씬 효과를 발휘할 수 있다”고 말했다.
방송통신위원회는 ISMS 의무적용 기업의 혼선을 막기 위해 신속하게 후속절차에 들어갔다.
방통위 관계자는 “상반기에 ISMS 인증 의무화에 따른 시행령을 만들 계획”이라며 “올해 안전진단을 받은 기업은 내년 2월까지 ISMS 인증이 유예된다”고 말했다.
시행령 규정에 의해 기존 290여개 안전진단 대상 사업자 대부분은 ISMS 인증을 받게 될 것으로 예상된다. 여기에 신규 적용 사업자까지 더해져 실제 ISMS 인증 사업자는 크게 늘어날 것으로 업계는 내다보고 있다.
이에 따라 ISMS 인증 수행기관을 한국인터넷진흥원(KISA)에만 국한시켜서는 인증 수요를 감당할 수 없을 것이라는 지적도 나온다.
이에 대해 방통위 관계자는 “업체가 몰리는 때에 대비해 KISA 외에 다른 기관에서 인증을 부여하는 방안 등을 다각도로 고민 중”이라고 말했다.
한재호 에이쓰리시큐리티 사장은 “기존에는 안전진단도 안 받고 벌금 내고 만다는 식의 업체가 많았다”며 “ISMS 인증에는 좀 더 현실화된 벌칙기준을 적용해 의도적으로 회피하려는 사례를 막아야 할 것”이라고 지적했다.
이진호·장윤정기자 jholee@etnews.com