정부가 중소기업의 정보보호 인증 부담을 덜어주기 위해 기준과 비용을 간소화한다. 정보보호 및 개인정보보호 관리체계 인증 의무대상 기업 85개사가 혜택을 볼 것으로 보인다.
과학기술정보통신부와 개인정보보호위원회, 한국인터넷진흥원(KISA)이 오는 24일부터 ISMS 및 ISMS-P 인증 특례(간편인증) 제도를 시행한다.
현행 ISMS 및 ISMS-P 인증제도는 중견기업 이상이 인증 기준을 충족 가능하도록 설계했다. 중소기업은 인증을 취득하고 유지하는 데 있어 많은 인증 항목과 높은 비용 등 호소해왔다. 중소기업중앙회 등 중소기업 업계는 영세·중소기업을 대상으로 평가요소와 비용 등을 경량화한 간편인증제 도입을 건의한 바 있다.
앞서 정부는 올해 1월 중소기업의 규모·특성에 따라 완화된 인증 기준과 비용으로 인증을 취득할 수 있도록 특례제도를 도입하는 내용의 정보통신망법을 공포했다. 이후 특례제도 △적용대상 △인증기준 △수수료 등을 규정하기 위한 하위법령을 정비, ISMS 및 ISMS-P 간편인증 도입의 제도적 기반을 마련했다.
적용대상은 정보통신서비스 부문 매출액이 300억원 미만인 중소기업이다. 또 정보통신서비스 부문 매출액이 300억원 이상인 중기업 중에서 회사 내 자체서버, 네트워크 장비, 보안솔루션 등 주요 정보통신설비를 보유하지 않고 웹호스팅서비스, 클라우드 서비스를 이용하는 기업도 신청할 수 있다. 전체 의무대상 525개사 중 85개 기업(약 16%)이 적용받을 수 있을 전망이다.
국민 생활에 밀접한 영향을 미치는 △주요 정보통신서비스 제공자 △집적 정보통신시설 사업자 △일부 상급종합병원·대학교, △금융회사 △가상자산사업자는 적용 대상에서 제외된다.
인증 기준은 기업 부담을 줄이기 위해 중소기업 수준에서 불필요한 항목은 삭제·완화했다. 다만 기업이 실질적인 정보보호 활동을 할 수 있도록 하는 핵심적인 필수항목은 유지한다. 사용자 식별·인증, 비밀번호 관리, 암호정책 적용, 악성코드 통제, 취약점 점검 및 조치 등이 대표적이다. 이에 따라 기준 인증기준 수 대비 36~40개 항목이 줄어든다.
인증기준이 간소화함에 따라 인증심사 수수료도 절감된다. ISMS의 경우 800만~1400만원에서 400만~700만원으로 ISMS-P는 1000만~1800만원에서 600만~1100만원으로, 기존보다 약 40~50% 수준으로 감소할 것으로 보인다. 보안시스템 구축, 정보보호 조직 구성, 컨설팅 등 인증 준비에 필요한 기업 제반 비용도 감소할 것으로 기대된다.
KISA는 간편인증 제도가 기업에 안착할 수 있도록 적용대상 기업 등을 대상으로 절차, 방법 등을 안내하는 온라인 설명회를 24일 진행할 계획이다.
정창림 과기정통부 정보네트워크정책관은 “영세한 기업이 적은 부담으로도 사이버 위협을 선제적으로 예방.대응할 수 있게 돼 고무적”이라며 “기업 혁신을 저해하는 불필요·불합리한 부담 경감 등 제도 개선에 더욱 힘쓰겠다”고 말했다.
양청삼 개인정보위 개인정보정책국장은 “개인정보보호 관리체계의 수준을 향상하려는 기업의 자율적인 노력이 강화 계기가 되길 바란다”고 밝혔다.
정보보호업계는 인증 확산 계기가 될 것으로 기대했다. 다만
정보보호기업 대표는 “중소기업 부담 완화 조치는 긍정적”이라면서 “중소기업 ISMS-P 인증에 확대될 것”이라고 말했다.
중소기업 업계는 환영의 뜻을 밝혔다.
중기중앙회 관계자는 “업계 의견이 반영돼 고무적”이라며 “취득비용 뿐만아니라 유지비용 부담이 큰 폭으로 축소되길 기대하고 있다”고 말했다. 그러면서 “간편인증 대상확대 등 적극적인 ISMS(-P)인증 제도 정비를 희망한다”고 덧붙였다.
조재학 기자 2jh@etnews.com
