코앞으로 다가온 ISMS 의무대상 확대, 제2의 `뽐뿌` 사고 막을까

관련 통계자료 다운로드 ISMS 인증 발급 추이

정보보호관리체계(ISMS) 인증 의무 대상 확대가 초읽기에 들어갔다. 매출 1500억원 이상 의료기관과 금융기관 등이 의무 대상에 새로 포함된다. 당초 비ICT 기업 전반으로 확대가 예상됐으나 정부 규제 완화 기조에 따라 확대 규모는 100여곳 이하로 추정된다.

ISMS 인증마크
ISMS 인증마크

관련 업계와 미래창조과학부에 따르면 미래부는 `정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법)` 개정안 시행령을 확정하고 다음달 2일 시행일에 맞춰 공포한다. 차관회의를 통과하고 국무회의 상정 절차를 진행 중이다.

ISMS 인증 의무 대상 확대가 민간 분야 규제 일종으로 여겨지면서 시행령 확정이 다소 늦어졌다. 확대 규모 역시 기존 예상보다 줄었다. 다만 법 개정 취지를 살려 의료기관과 교육기관 등 주요 대상은 포함된 것으로 알려졌다.

ISMS 인증 제도는 주요 정보자산 유출과 피해를 사전에 예방하기 위해 기업 스스로 수립·운영 중인 정보보호 체계가 적합한지 인증하는 제도다. 그동안 정보통신망서비스 제공사업자(ISP)와 집적정보통신시설 사업자(IDC), 정보통신 서비스 제공자 등 주로 ICT 관련 기업 중 일정 규모(매출액 100억원 또는 이용자 수 100만명 이상) 이상 기업이 의무적으로 인증을 받았다.

ISMS 인증기업 추이(자료:KISA)
ISMS 인증기업 추이(자료:KISA)

지난해 12월 정보통신망법이 개정되면서 연매출 1500억원 이상 기업으로 의무 인증 대상을 확대했다. 병원과 교육기관, 금융업종 등 보안사고 발생 시 사회·경제적 파급이 큰 비ICT 기업과 비영리기관으로 인증을 넓히기 위해서다.

의무대상자 미인증 시 부과되는 과태료도 1000만원에서 3000만원으로 높인다. 인증에 들어가는 비용에 비해 과태료가 낮아 인증을 받지 않는 행태를 개선하기 위해서다. 지난해 대형 정보유출 사고가 발생한 온라인 커뮤니티 `뽐뿌`를 비롯해 27개 기업이 ISMS 의무 인증 대상임에도 인증을 받지 않았다.

6월부터 새로 의무대상에 포함되는 기업 역시 올해 말까지 인증을 받지 않으면 내년에 과태료 부과 대상이 될 수 있다. 인증신청 시점부터 인증서 교부까지 4개월에서 5개월이 소요되는 만큼 촉박한 일정에 하반기 인증심사 수요가 집중될 전망이다.

미래부 관계자는 “ISMS 인증이 꼭 필요한 분야부터 단계적으로 적용되도록 인증 의무 대상 확대 기준에 조정이 있었다”며 “이번 주 중으로 시행령을 확정하고 시행일에 맞춰 공식 발표할 예정”이라고 말했다.

박정은기자 jepark@etnews.com