침해사고/위협동향

내년부터 ISMS 인증 의무화…“혼란은 없을 것”

이민형 기자
- KISA “‘정보보호 안전진단제도’와 크게 다르지 않아”

[디지털데일리 이민형기자] 내년 2월 18일부터 개정 정보통신망법(정보통신망 이용촉진 및 정보보호 등에 관한 법률) 시행으로 ‘정보보호관리체계(ISMS) 인증제도가 의무화되지만 시장의 혼란은 없을 것으로 보인다.

13일 장상수 한국인터넷진흥원(KISA) 보안관리팀장은 “ISMS 인증제도 의무화는 1년 간의 유예기간을 거쳐 시행될뿐더러, 기존 정보보호 안전진단제도와 크게 다르지 않아 의무대상자들의 혼란은 없을 것으로 예상된다”며 “업체의 자발적인 인증 획득 분위기 조성으로 현재까지 약 120여개의 업체가 ISMS 인증을 획득했다”고 말했다.

ISMS 인증제도는 기존 ‘정보보호 안전진단제도’를 대체하는 정보보호 인증제도다. 정보통신 서비스 제공자는 의무적으로 인증을 받아야하며, 매년 사후심사를 받도록 돼 있다. 내년 말까지 ISMS 인증을 획득해야하는 업체는 약 250개다.

KISA는 ISMS 인증이 의무화됨에 따라 인증심사원도 대폭 확보했다. 올해 초부터 KISA는 ISMS 인증심사원을 양성해왔다. 심사원은 KISA 내부에서 40시간의 교육을 받고 평가를 통해 발탁된다.

장 팀장은 “ISMS 인증 수요가 급증할 것을 대비해 올 초부터 꾸준히 ISMS 인증심사원을 양성해 왔으며, 현재 총 1000여명의 인증심사원을 확보했다”며 “KISA는 인증 방법과 절차, 인증심사 기준 해설, 구축 가이드 등 해설서 개발을 마무리 짓고 있으며, 이는 내년 초 배포할 예정이다”고 설명했다.

또 KISA는 ‘정보보호 관리등급 부여에 관한 고시’에 따라 ISMS 인증기업에 관리등급을 부여, 상위 수준의 정보보호활동을 유도하고, 기업이미지를 제고를 유도할 계획이다. 현재 ‘정보보호 관리등급 부여에 관한 고시’는 제정중에 있다.

ISMS 인증은 방통위가 내리고, 인증 업무 전반은 현행대로 KISA, 인증위원회 등 인증기관에서 수행한다. 인증서 발급은 KISA에서 이뤄진다. ISMS 인증을 받게되면 3년간 유효하며, 매년 1회 이상의 사후관리 심사를 통해 인증기준 이행 여부를 지속적으로 확인해야한다.

ISMS 인증 대상 업체는 약 250여개로, 안전진단제도 대상 업체 수 292개보다 소폭 감소했다. 이와 관련 장 팀장은 “영세한 정보통신 서비스업체들은 ISMS 인증을 받을 여력이 부족하다는 지적이 나와 VIDC는 제외하기로 결정했다”고 전했다. 현재 국내에서 영업중인 VIDC 업체는 약 50개다.

ISMS 인증 기준은 기존 인증 기준을 명확화, 구체화해 현행 127개에서 104개로 축소했다.

신설된 기준으로는 ▲경영진 책임(예산·인력지원, 의사결정 참여) 강화 ▲최고정보보호책임자(CISO) 지정 등 조직 구성 강화 ▲최신기술과 보안사고 반영(외주개발 보안, 스마트워크 보안, 망분리 등)의 항목이 추가됐다.

업무연속성관리, 물리적 보안, 전자거래보안 등은 유사항목으로 통합됐으며, 적격심사, 물리적 위치와 구조조건, 입력데이터·내부처리·출력데이터 검증 등의 항목은 실효성 부족으로 삭제됐다.

한편 ISMS 인증 의무 사업자가 인증 의무를 미이행시 1000만원 이하의 과태료를 부과받을 수 있으며, 해당 업체들은 내년 12월 31일까지 인증을 모두 획득해야 한다.

<이민형 기자>kiku@ddaily.co.kr
이민형 기자
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널