법제도/정책

“ISMS 인증제도에 등급제 도입 필요”

이민형 기자
- “매출액 100억원 기준 산업 전체에 일괄 적용 힘들다”

[디지털데일리 이민형기자] 지난달 18일부로 개정 정보통신망법(정보통신망 이용촉진 및 정보보호 등에 관한 법률) 시행으로 정보보호관리체계(ISMS) 인증제도가 의무화됐으나, 실효성과 관련한 의문이 끊이지 않고 있다.

이는 기업이 ISMS 인증제도를 획득한다고 하더라도 해킹, 정보유출 등의 보안사고를 모두 막을 수 있는 것도 아닐 뿐더러, 각 기업들의 ‘정보보호관리체계’를 합격, 불합격으로 재단하기엔 무리가 따르기 때문이다.

더욱이 매출액을 기준으로 설정되는 기준 자체는 오히려 역차별을 가져올 수 있다. 산업별로 매출액 대비 영업익 수준이 상이하기 때문에 단순히 매출액을 기준으로 법의 잣대를 들이 댈 경우 선의의 피해자가 나올 수 있다.

6일 이경호 고려대 정보보호대학원 교수 기자와의 통화에서 “ISMS 인증을 받은 기업이 정말 보안이 우수하다는 등식이 성립한다고 보기는 힘들다. 이를 위해서 ISMS 인증제도에 등급제 등 명확한 평가기준을 만들어야 한다”고 말했다.

이어 “정보통신망법 상에도 ISMS의 등급제도에 대한 부분이 있기 때문에 법적으로도 문제가 없을 것”이라고 덧붙였다.

ISMS 인증제도는 기존 ‘정보보호 안전진단제도’를 대체하는 정보보호 인증제도다. 정보통신 서비스 제공자는 의무적으로 인증을 받아야하며, 매년 사후심사를 받도록 돼 있다. 올해 말까지 ISMS 인증을 획득해야하는 업체는 약 250개다.

ISMS 인증 의무 대상자는 ‘전기통신사업법’ 제6조 제1항에 따른 허가를 받은자로서 대통령령으로 정하는 바에 따라 정보통신망서비스를 제공하는 사업자와 집적정보통신시설 사업자, 연간매출액, 또는 이용자 수 등이 대통령령으로 정하는 기준에 해당하는 자 등이다.

이동통신사, 인터넷서비스사업자 등 대부분의 정보통신서비스 사업자들이 의무적으로 인증을 받아야한다. 특히, 전년도 매출액 100억원 이상의 방통위가 고시하는 기준에 해당하는 경우와 전년도말 기준 3개월간의 일일평균 이용자수가 100만명 이상으로서 방통위가 고시하는 기준에 해당되는 경우도 포함된다.

ISMS 인증제도와 관련 시장에서 우려하는 점은 ‘전년도 매출액 100억원’이라는 기준이다.

이 교수는 “인터넷서비스업체의 매출액 100억과 유통업체의 매출액 100억은 의미가 다르다. 순이익률이 현저하게 차이가 나기 때문이다”라며 “같은 매출액이라도 이익률이 낮을 경우 정보보호인프라 구축, 정보보호책임자 선임과 같은 규정은 이치에 맞지 않는다”고 강조했다.

이어 “위험과 규모에 따라 등급을 나눠 평가할 수 있는 방안이 필요하다. 대신 민감한 정보 등 기존 규정에 벗어나지 않도록 해결책을 제시해주는 것도 필요하다”고 덧붙였다.

실제 정보통신망법 제47조의5 1항에 의하면 ISMS인증을 획득한 기업은 통합적 정보보호 관리수준을 제고하고 이용자로부터 정보보호 서비스에 대한 신뢰를 확보하기 위해 방송통신위원회로부터 정보보호 관리등급을 받을 수 있다다고 명시돼 있다.

현재 ISMS 인증기준은 획득만 하면 효력이 발생하는데, 이를 등급제로 나눠 관리해야한다는 것이다.

이 교수는 “ISMS 인증 의무화가 아직 초기 단계이기 때문에 많은 시행착오를 겪을 것이라고 본다”며 “등급제는 반드시 필요한 규정이지만 그렇다고 급하게 추진하면 역효과를 볼 수 있다. 면밀한 검토와 연구개발을 통해 자리잡도록 해야할 것”이라고 말했다.

<이민형 기자>kiku@ddaily.co.kr
이민형 기자
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널