기업이 주요 정보자산 보호를 위해 구축·운영하고 있는 정보보호 관리체계가 적합한지 심사해서 인증을 부여하는 제도다. 위험 관리로 사업 안정성이 제고되며, 침해 사고에 따른 사회·경제적 피해를 최소화할 수 있다.
한국인터넷진흥원(KISA)이 정보보호 관리 과정과 정보보호 대책 등 총 80개 인증 기준에 대한 적합성 평가를 진행한다. 정보보호관리체계(ISMS:Information Security Management System) 인증 유효기간은 3년이며, 인증 획득 이후 3년마다 갱신심사를 받아야 한다.
인증 의무 대상자는 △정보통신망 서비스 제공자(ISP) △집적정보통신시설(IDC) 사업자 △상급종합병원 △직전연도 재학생 1만명 이상인 학교 △연간 매출 또는 세입 등이 1500억원 이상인 사업자 △연간 정보통신서비스 매출 100억원 또는 이용자 100만명 이상인 사업자 등이다.
의무 대상자가 인증을 받지 않으면 3000만원 이하의 과태료가 부과된다. 인증을 받으면 정보통신기술(ICT) 관련 정부과제 입찰 시 인센티브가 부여되며, 환경·사회·지배구조(ESG) 평가에서 일부 항목을 대체할 수도 있다.
최근 특정금융정보법(특금법)에 따라 가상자산 거래소 가운데 ISMS 인증을 획득하지 못한 곳은 9월 24일 이후 폐업해야 하기 때문에 이슈가 됐다. 과학기술정보통신부는 일부 가상자산 사업자가 ISMS 인증 신청서만 제출한 후 곧 인증을 받을 것처럼 과대 홍보하는 사례가 예상돼 인증이 완료된 43개 업체 리스트를 공개했다.
손지혜기자 jh@etnews.com
