[이슈분석]ISMS-PIMS 인증 통합과 과제는

1분기 정보보호관리체계(ISMS)와 개인정보보호관리체계(PIMS) 인증이 통합된다.

과학기술정보통신부, 방송통신위원회, 행정안전부 3개 부처는 지난해 말 이 두 인증을 통합키로 결정했다.

과기정통부는 2002년부터 정보통신망의 안정성과 신뢰성 확보를 위해 ISMS 인증을 운영했다. 기업이 주요 정보 자산 보호를 위해 수립, 관리, 운영하고 있는 ISMS가 인증 기준에 적합한 지 심사해서 인증을 부여한다. 정보통신망법 제47조 2항에 따라 인터넷 접속 서비스, 인터넷 전화 서비스 등 정보통신망 서비스 사업자와 IDC는 ISMS 의무 대상이다. 이 밖에 연간 매출액 또는 세입 등이 1500억원 이상이거나 정보통신서비스 매출액 100억원 또는 이용자 수 100만명 이상 사업자는 반드시 ISMS를 받아야 한다. 인터넷쇼핑몰, 포털, 게임, 상급종합병원, 대학교 등이 대상이다. 현재까지 발급된 ISMS 인증서는 총 754건이며, 유지되는 인증서는 517건이다.

ISMS가 기업 전반에 걸친 보안 체계 인증이라면 PIMS는 개인 정보 보호에 집중한다. PIMS는 개인 정보 보호 활동 인증이다. 2010년부터 방통위가 운영하던 PIMS 인증과 2013년부터 행안부가 운영하던 개인정보보호(PIPL) 인증을 2016년 PIMS로 통합했다. 기관과 기업이 PIMS를 갖추고 보호 업무를 지속해서 수행하는지를 심사, PIMS 인증을 부여한다.

PIMS 인증은 개인 정보 보호 활동을 체계화해서 수행하기 위해 필요한 관리, 기술, 실물 보호 조치를 포함해 종합 관리 체계를 수립해서 운영하는 개인 정보 수집·취급 사업자를 대상으로 한다. 2011년 이후 현재까지 발급된 PIMS 인증서는 108건이다. 이 가운데 유지되고 있는 인증서는 71건이다. ISMS와 PIMS를 모두 받은 곳은 46개다.

GettyimagesBank
GettyimagesBank

◇왜 통합하나

이들 제도의 통합은 최근 정보 보안과 개인 정보 보호가 밀접해지고 있는 추세를 반영한다. 제도 간 연계성을 강화하고, 인증 중복 운영에 따른 기업의 부담 해소가 목적이다. 인증을 받는 기업의 입장을 수렴했다. 정부는 제도 통합으로 보안과 개인 정보 보호를 아우르는 종합 ISMS 인증 제도를 수립했다는 의미를 부여했다.

최동원 과기정통부 사이버침해대응과장은 “과거 ISMS와 PIMS 인증 간 유사·중복 항목을 이중으로 인증 받아야 하던 기업들의 비용과 시간 등이 절감된다”면서 “기업 정보 보안, 개인 정보 관리 등 수준 향상에 크게 기여할 것”이라고 기대했다.

연도별 ISMS 인증서 발급현황(자료:KISA)
연도별 ISMS 인증서 발급현황(자료:KISA)
연도별 PIMS 인증서 발급현황(자료:KISA)
연도별 PIMS 인증서 발급현황(자료:KISA)

◇어떻게 통합하나

정부는 정보 보호 관련 학계·업계 및 인증 대상 기업 등 전문가 검토와 토론, 관계 부처 간 협의로 통합을 결정했다고 밝혔다.

ISMS 인증은 정보 보호 관리 과정과 대책으로 구성된 104개 인증 기준이 있다. 정보 보호 관리 과정은 5단계 12개 통제 사항, 보호 대책은 13개 분야 92개 통제 사항으로 각각 구성된다. 기업은 정보 보호 정책을 수립하고 범위를 설정한다. 경영진 책임과 조직을 구성하는 한편 위험 관리, 정보보호 대책 구현, 사후 관리 라이프사이클을 만들어야 한다.

여기에 정보 보호 정책, 외부자 보안, 정보 보호 교육, 물리 보안, 암호 통제, 운영 보안, 정보기술(IT) 재해 복구, 정보 보호 조직, 정보 자산 분류, 인력 보안, 시스템 개발 보안, 접근 통제, 침해 사고 관리 등 13개 분야 통제 항목을 수행해야 한다.

PIMS는 관리 과정 16개, 생명 주기 권리 보장 20개, 개인 정보 보호 대책 50개 등 총 86개 항목이 있다. PIMS 인증은 공공기관이나 대기업, 정보통신서비스 제공자, 중소기업, 소상공인 등 신청 기관 유형에 따라 구분한다. 소상공인은 개인 정보 보호를 위한 최소한의 법률 요구 사항 이행과 보호 조치를 준수하면 된다. 중소기업은 조직 구성과 의사결정 체계를 반영한 관리 체계를 만들고 개인 정보 보호를 위한 기술·관리 보호 조치를 체계화해야 한다.

통합 논의 과정에서 ISMS 인증 항목 104개, PIMS 인증 항목 86개를 비교 검토했다. ISMS 인증 항목 82개(78.8%)가 PIMS 인증과 동일하거나 유사했다. ISMS 고유 항목은 22개다. PIMS 인증 항목 86개 기준으로 볼 때 58개 항목이 동일하거나 유사하다. PIMS 고유 항목은 28개다.

'통합 정보 보호 인증'에서는 ISMS와 PIMS의 동일·유사한 인증 항목을 통폐합한다. 정보 보안 관련 80개 항목, 개인 정보 보호 관련 20개 항목 등 총 100개 인증 항목으로 단일화한다.

[이슈분석]ISMS-PIMS 인증 통합과 과제는
ISMS 인증 (자료:과기정통부)
ISMS 인증 (자료:과기정통부)
PIMS 인증 (자료:KISA)
PIMS 인증 (자료:KISA)

◇통합 인증 ISMS-P란

통합에 따라 기업은 80개 보안 항목을 기본으로 'ISMS 인증'을 받는다. 여기에 추가 신청해서 20개 개인 정보 보호 항목까지 인증 받으면 'ISMS-P(가칭)' 인증이 된다. 본래 ISMS 의무화 기업은 80개 항목만 받으면 된다. 개인 정보 보호까지 더욱 강화된 인증을 받고 싶은 기업은 20개를 추가해서 ISMS-P를 받는다.

과기정통부, 방통위, 행안부는 통합 정보 보호 인증 제도의 원활한 운영을 위해 '인증운영 협의체'를 구성·운영한다. 올해 상반기까지 부처 간 공동 고시 개정(안)을 마련, 시행한다.

기업이 인증 준비에 6개월 이상 소요되는 점을 감안해 시행 이후 6개월 동안 기존 인증 또는 통합 인증 제도 가운데 선택이 가능, 제도 통합에 따른 기업 부담을 경감한다.

GettyimagesBank
GettyimagesBank

김인순 보안 전문기자 insoon@etnews.com