법제도/정책

방통위 “ISMS 인증 수행업체 심사 강화”

이민형 기자
[디지털데일리 이민형기자] 내년 2월부터 ‘정보보호 안전진단 제도’가 폐지되고 ‘정보보호인증체계(ISMS) 인증’이 의무화됨에 따라 ISMS 인증 수행업체 지정과 지정기준에 대한 관심이 증가하고 있다.

기존 안전진단 수행기관들은 그 효력을 상실하고 새롭게 ISMS 인증 수행기관으로 지정받기 위한 심사를 받아야한다. ISMS 인증 수행기관으로 지정받기 위한 기준으로는 5명 이상의 인증심사원 보유, 방통위의 업무수행요건·능력심사 적합 인정 등이다.

방통위와 KISA는 이번 ISMS 인증 수행업체 지정과 관련, 꼼꼼한 심사를 거칠 것이라고 강조했다. KISA는 지난 2006년 안전진단 수행업체들을 지정할 당시 제대로된 심사능력을 갖추지 못한 업체를 수행업체로 지정했다는 비난을 받은 바 있다.

당시 방통위는 법에서 요구하는 기준을 맞춘 기업들 대부분에게 수행업체 권한을 부여했다. 수요와 공급을 조절할 수 없었고, 시장초기단계였기 때문에 자격요건만 맞춰지만 무조건 수행업체로 지정됐다.

이 때문에 정보보호 비전문업체들이 대거 수행업체로 지정됐고, 안전진단 심사의 수준이 대폭 하락, 본래 취지를 훼손했다는 비난을 받았다.

이와 관련 장상수 KISA 보안관리팀장은 “과거에 있었던 문제를 보완하기 위해 이번에 제출된 고시안을 살펴보면 방통위가 직접 수행업체의 수를 정하도록 지정돼 있다. 정말 수행업체로의 실력을 갖춘 기업들만 지정될 수 있도록 고심하고 있다”며 “아직 수행업체에 대한 명확한 지침이 발제되지 않았으나 고시를 준수하기 위한 준비에 박차를 가하고 있다”고 강조했다.

안전진단 제도가 폐지됨에 따라 기존 19개의 안전진단 수행기관들도 바쁘게 움직이고 있다. 인포섹 관계자는 “현재 ISMS 관련 고시안이 공포되지 않았기에 상황을 주시하고 있으나, 흐름에 따라갈 것”이라고 전했다.

ISMS 인증이 권장이 아닌 필수요소로 변함에 따라 이를 심사할 인증심사원의 확보에도 관심이 쏠리고 있다. 이와 관련 KISA 장 팀장은 “ISMS 인증 심사를 할 심사원 양성을 위해 오는 10월까지 10회에 걸쳐 교육을 실시할 계획이며 500명의 심사원을 선발 할 것”이라며 “심사원은 KISA 내부에서 40시간의 교육을 받고 평가를 통해 발탁되며, 인증 방법과 절차, 인증심사 기준 해설, 인증 수수료 산정 등을 위한 안내서를 개발해 12월 경 배포할 것”이라고 말했다.

현재 KISA에서 보유하고 있는 인증심사원은 약 500명으로 올해 말 까지 1000명을 확보, 내년부터 시행되는 ISMS 인증 고시를 수행할 계획이다. KISA는 현재 인증심사관 교육을 위해 40시간의 커리큘럼을 개설, 운영하는 등 자리잡기에 촉각을 곤두세우고 있다.

한편 ISMS 인증 수행기관이 지정되더라도 KISA는 인증의 공정성과 객관성을 통제하기 위해 최상위 인증기관으로 과업을 수행하게 된다. ISMS 인증 수행기관은 방통위에서 심사, 평가 후 지정하며 이와 관련된 고시는 10월 중 공포, 시행될 계획이다.

<이민형 기자>kiku@ddaily.co.kr
이민형 기자
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널