[디지털데일리 이민형기자] 정보보호관리체계(ISMS) 인증기관이 늘어난다. 현재는 한국인터넷진흥원(KISA)이 유일한 인증기관이다.

이강용 미래창조과학부 정보보호정책과 사무관은 22일 서울 양재동에서 열린 ‘정보보호 인증제도 설명회’에서 ISMS 인증기관을 추가 지정할 것이라고 밝혔다.

이 사무관은 “정보통신망법 개정으로 ISMS 인증이 의무화됨에 따라 인증을 받고자하는 기관, 기업의 수도 크게 증가하고 있다”며 “이에 따라 미래부는 KISA 이외의 인증기관을 추가로 지정해 ISMS 인증 심사의 질을 높일 계획”이라고 말했다.

미래부는 올해 중 2~3개의 ISMS 인증기관을 추가로 지정해 운영할 계획이다.

추가 인증기관은 정부 산하 공공기관 중에서 정보보호와 관련된 업무를 수행할 수 있는 곳을 지정할 예정이다. 또 인증기관끼리 경쟁할 수 있는 분위기를 조성해 인증품질을 높일 것이라고 이 사무관은 설명했다.

그는 “인증기관이 많아지면 선택의 폭도 다양해지고, 보다 원활하게 인증 심사를 진행할 수 있게 될 것”이라며 “특히 인증기관간 경쟁 등을 통해 품질 향상, 기간 단축 등의 효과도 기대된다”고 말했다.

올해부터는 정보보호 관리등급 제도도 시행된다. 이 제도는 ISMS 인증을 취득한 기업의 정보보호 수준을 측정해 ‘최우수’, ‘우수’의 등급을 부여하는 제도다. 신청자격은 ISMS 인증을 3년 연속 유지한 기업으로 의무제도는 아니다.

‘우수’ 단계는 기업에 내재된 정보보호 통제와 프로세스를 지속적으로 측정, 관리하는 단계로 정기적으로 정보보호 상태를 점검하는 단계로 규정돼 있다. ‘최우수’ 단계는 정보보호 통제 활동에서 얻어진 문제점을 지속적으로 개선해 반영함으로써 기업의 정보보호 수준을 최적화하는 단계다.

두 단계를 세부 평가기준으로 비교해보면 ▲정보보호 예산의 비율 정도(우수: 최근 3년간 평균 7%, 최우수: 최근 3년간 평균 10%) ▲정보보호 활동의 공시 수준(예산, 인력 등의 세부사항) ▲경영진의 의사결정 정의 ▲위험관리 관리체계 수립횟수 등으로 구분할 수 있다.

모든 평가항목에 대해 단계가 나뉘어진 것은 아니며, 활동 내역을 구분할 수 있는 항목에만 구분이 돼 있다.

미래부는 올해 정보보호 관리등급 제도의 인지도를 높이고 기업의 관심을 유도하기 위해 설명회와 간담회를 개최하고, 관심기업에게 무료 등급진단을 제공하는 등의 활동을 추진한다. 또 정보보호 관리등급 획득에 따른 인센티브를 마련할 계획이다.

이 사무관은 “올해 한시적으로 등급심사 수수료를 전액 면제해주기로 결정됐다. 추가로 세제(稅制) 혜택 등 기업들이 체감할 수 있는 인센티브를 내놓을 예정”이라고 설명했다.

미래부는 이 외에도 ▲정보보호최고책임자(CISO) 지정 의무화 ▲중소기업 정보보호 안정망 확충(인천·경기, 부산·경남) ▲정보보호 생활화 문화조성 캠페인 등을 조성할 계획이다.

오승곤 미래부 정보보호정책과장은 “정보보호는 국가와 국민을 위한 사회적 의무”라며 “ISMS 인증은 옵션이 아닌 필수요소로 기업의 적극적인 노력과 투자가 필요하다”고 강조했다.

<이민형 기자>kiku@ddaily.co.kr