특히 올해는 사후 심사를 받아야 할 기업·기관이 100곳이 넘고, 개인정보보호인증(PIPL) 제도 신설로 인해 예년보다 심사원 부족 현상이 두드러질 것으로 보인다.

9일 관련업계에 따르면 ISMS 인증 심사가 4분기에 몰릴 것으로 예상됨에 따라 ISMS 인증 심사기관인 한국인터넷진흥원(KISA)이 심사원 확보에 전력을 다하고 있다.

인증 심사가 몰리면 인증 의무 사업자에 대한 심사를 제 때 수행할 수 없게 되고, 이는 시장의 혼란으로 이어질 수 있기 때문이다.

특히 보안업계에서는 심사원이 부족할 가능성이 제기되고 있다. 현재 KISA에 등록된 ISMS 인증 심사원 수는 약 1000여명이지만, 실제 심사에 나설 수 있는 인원은 절반이 채 되지 못한다.

현재 올해 신규 심사를 비롯해 사후 심사를 받아야하는 기관은 약 150여곳이다. 지금부터 모든 심사원을 동원해서 심사에 착수해야 올해 중 소화가 가능한 숫자다.

하지만 KISA는 기업들의 사정 등으로 인해 올해도 4분기에 접어들어야 심사를 신청할 것으로 예상하고 있다.

지상호 KISA 정보보호관리팀장은 “예년과 마찬가지로 올해도 연말에 인증 심사가 몰릴 것으로 예측하고 있다”며 “인증 심사 신청 시기는 기업이 결정할 부분이기 때문에 KISA에서 어떻게 할 수가 없다. 연말에 몰린다는 것을 예측한 상황이기 때문에 심사원을 최대한 확보해둬 적체가 일어나지 않도록 노력하겠다”고 전했다.

심사가 연말에 몰리는 현상은 지난해부터 나타났다. 작년에는 ISMS 인증 제도 의무화 시행에 따라 심사를 미루던 인증 대상 사업자들이 하반기에 일제히 인증을 신청하면서 북새통을 이뤘다. ISMS 인증 제도는 올해 1월부로 의무화된 바 있다.

올해는 지난해의 연장선이다. 우선 지난해 2월 이전 ‘정보보호 안전진단’ 인증을 받은 92개 사업자가 올해 2월까지 ISMS 인증을 받아야 하는 상황이며, 올해부터 ISMS 인증 대상이 확대돼 의무 사업자도 늘어났다.

여기에 추가로 지난해 하반기에 ISMS 인증을 받은 119개의 사업자에 대한 사후인증도 실시해야 한다. ISMS 인증 제도의 근거법령인 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제47조6항에 의하면 ISMS 인증 획득 사업자는 연 1회 이상 사후관리를 실시하도록 규정하고 있다.

뿐만 아니다. 올해 시행된 한국정보화진흥원(NIA) 개인정보보호인증(PIPL) 제도로 인해 심사원이 분산될 가능성도 염두해 둬야 한다. 현재 NIA는 하반기에 약 15개 사업자를 대상으로 PIPL 심사에 착수할 계획이다.

상황이 이렇지만 KISA는 ISMS 인증 심사원 풀(pool)을 무리하게 확대하진 않을 계획이다. 하반기에는 공급(심사원)이 수요(인증 대상 사업자)보다 적은 상황이지만, 상반기에는 공급이 훨씬 더 많기 때문이다.

지 팀장은 “현재 상황에서 인증 심사원을 무작정 늘리는 것은 큰 도움이 안된다”며 “기존 심사원들의 심사 참여를 독려해 문제가 없도록 노력하겠다”고 말했다.

한편 올해 4월 추가로 ISMS 인증심사기관으로 선정된 한국정보통신진흥협회(KAIT) 역시 심사원 확보에 주력하고 있다.

<이민형 기자>kiku@ddaily.co.kr