법제도/정책

정보보호관리체계(ISMS) 의무화…시장 분위기는 ‘미지근’

이민형 기자
- 중소기업들은 ISMS 인증 취득 면제 방향도 논의 중

[디지털데일리 이민형기자] 지난 2월 정보통신망법(정보통신망 이용촉진 및 정보보호 등에 관한 법률) 개정으로 정보보호관리체계(ISMS) 인증제도가 의무화됐으나 아직 ISMS 인증 취득에 적극적인 기업은 소수인 것으로 나타났다.

ISMS 인증은 기존 ‘정보보호 안전진단’ 폐지와 함께 인증 대상 기관, 기업에게 강제적으로 적용되는 제도다. 2002년에 등장해 지금까지는 권고사항으로 분류돼, 현재까지 약 140건의 인증서만 발급된 상황이다.

ISMS 인증 의무 대상자는 안전진단 인증 의무 대상자와 범위가 같다. ‘전기통신사업법’ 제6조 제1항에 따른 허가를 받은자로서 대통령령으로 정하는 바에 따라 정보통신망서비스를 제공하는 사업자, 집적정보통신시설 사업자, 연간매출액, 또는 이용자 수 등이 대통령령으로 정하는 기준에 해당하는 자 등은 ISMS 인증을 필히 받아야 한다.

ISMS 인증을 받게되면 3년간 유효하며, 매년 1회 이상의 사후관리 심사를 통해 인증기준 이행 여부를 지속적으로 확인해야한다. 정보보호 관리등급을 받은 경우, 그 유효기간(1년) 동안 ISMS 인증을 받은 것으로 간주하는 조항도 신설됐다.

현재 ISMS 인증을 받은 곳은 인터넷서비스업체, 보안업체, 이동통신사, 유통업체, 금융기관 등 굵직한 기업들이다. 이들은 고객들과의 접점이 많기 때문에 일찍부터 ISMS 인증에 적극적인 것으로 알려졌다.

포털업계 관계자는 “최근 일어난 일련의 사고들로 인해 고객과 접점이 많은 기업들은 ISMS 인증을 서둘러 획득하는 분위기”라며 “인증 취득이 법적 책임과는 무관하지만 개인정보보호체계(PIMS) 인증을 동시에 취득해, 사고 발생시 처벌 경감과 면책을 염두해 두고 있는 기업이 많은 것으로 알고있다”고 전했다.

반면 이들을 제외한 대부분의 인증 의무 대상자들은 ISMS 인증  획득에 적극적이지 않은 것으로 알려졌다. 게다가 ISMS 인증을 받은 업체 중 30%는 3년의 유효기간이 만료돼 재심사를 받아야하는 것으로 조사됐다.

이와 관련 업계 관계자는 “아직 고시안이 확정되지 않았고, 18개월이라는 기간이 남아있기 때문에 추이를 살피는 중인 것 같다”며 “특히 의무 대상자의 범위가 축소될 것이라는 소문이 업계에 돌고 있어 더욱 조용한 것 같다”고 귀뜸했다.

이번에 발표된 고시안에 따르면 ISMS 인증 의무 대상자는 총 292개 업체다. 이중 기업 규모가 작은 기업들은 ISMS 인증 취득을 면제하는 방향도 논의 중인 것으로 알려졌다.

이와 관련 장상수 한국인터넷진흥원 보안관리팀장은 “중소기업들은 ISMS 인증 취득을 면제하는 방향이 논의 중인 것은 사실이지만 아직 정해진 것은 없다”며 “안전진단 제도가 그대로 넘어가는 것으로 이해하는 것이 좋다”고 설명했다.

<이민형 기자>kiku@ddaily.co.kr
이민형 기자
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널