[디지털데일리 이민형기자] 방송통신위원회가 정보보호관리체계(ISMS), 개인정보보호관리체계(PIMS), 개인정보보호인증제(PIPL)의 통합을 추진한다. 우선 올해 말까지 통제항목의 상호인정 체계 수립을 완료하고 이후 실질적인 통합에 나설 계획이다.

25l일 엄열 방통위 개인정보보호윤리과장은 “ISMS, PIMS, PIPL 등 유사한 성격을 지닌 정보보호 인증체계의 범람으로 인해 사업자들의 혼란이 깊어짐에 따라 이를 통합할 준비를 하고 있다”며 “가장 폭넓은 보호체계를 갖춘 ISMS에 다른 인증체계가 가진 통제항목을 추가하는 방식을 고민하고 있다”고 말했다.

현재 정보보호와 관련된 인증체계는 ISMS, PIMS, PIPL 등으로 꼽을 수 있으며, 기업 정보보호 수준 측정이란 공통점을 가지고 있다.

차이점을 살펴보면 먼저 ISMS는 기업의 정보보호대책이 제대로 수립돼 있는지 여부를 평가하는 인증이며 정보통신망법으로 의무화돼 있다. PIMS는 기업이 개인정보보호 활동을 체계적으로 수행하기 위해 필요한 보호조치 체계 구축 여부를 점검하는 인증이며 획득 여부는 선택 사항이다.

PIPL은 PIMS와 유사하나 기업 규모에 따라 통제항목의 차이가 있다. 하지만 대기업용 PIPL 통제항목은 PIMS와 큰 차이가 없는 것이 사실이다.

상황이 이렇다보니 국내 업체들은 의무화 규정인 ISMS 인증 획득에만 메달리고 있다. 실제로 최근 3년간(2012년 1월~2014년 6월) 발급된 인증서 수를 집계해보면 ISMS는 208건으로 폭발적으로 증가했으나, PIMS는 25건에 그쳤다. PIPL은 지난해 말 제도가 시작됐기 때문에 아직 인증서 발급이 전무하다.

이 때문에 보안업계에서는 인증체계의 통합을 원하는 눈치다. 업계 관계자는 “PIMS는 기업의 전사적인 개인정보보호 활동을 체계적으로 수행하기 위한 일련의 보호조치체계인데, ISMS 역시 정보보호대책 수립 여부 확인이란 측면에서 유사점이 많다. 어떤 인증을 받아야 할 지 고민된다”고 지적했다.

방통위는 이러한 문제점을 해결하고자 기존 인증체계를 통합한 ISMS-P(가칭)를 신설할 계획이다. 이는 ISMS와 PIMS, PIPL의 통제항목을 하나로 합친 체계다.

엄 과장은 “PIMS에는 ISMS에는 없는 개인정보보호 생명주기 부분이 탑재돼 있다. 개인정보보호 부분에 있어서는 ISMS보다 상위에 있는 규정”이라며 “보다 강력한 개인정보보호 체계 수립을 원하는 기업에게는 ISMS와 PIMS의 통제항목이 합쳐진 ISMS-P를 받도록 유도할 것”이라고 설명했다.

이어 “하지만 여러가지 제약이 있어 완벽한 통합까진 시간이 걸릴 것으로 예상된다. 우선 각 공통 통제항목을 상호인정하는 방향으로 통합을 추진할 계획”이라고 덧붙였다.

ISMS-P 신설에 대해 보안업계에서는 긍정적인 반응을 보였다. 윤석진 언스트영한영회계법인 상무는 “여러 인증체계가 하나로 통합이 된다는 것은 비용적으로나 체계적으로나 바람직한 방향으로 본다”며 “하지만 통합 이전에 관련법의 정비가 이뤄져야 할 것이며, 기존 체계에 대한 정의를 완벽히 해야할 것”이라고 말했다.

아울러 PIMS의 국제표준 추진도 이번 통합에는 영향을 받지 않을 것으로 보인다. PIMS는 지난 2012년 11월 ISO/IEC JTC 1/SC 27(국제표준화기구/국제전기표준회의 합동기술위원회 1/연구그룹 27)에서 국제표준 과제로 채택된 바 있다.

과제를 수행 중인 염흥열 순천향대 교수(액팅에디터)는 “PIMS의 통제항목과 ISMS의 통제항목은 거의 유사할뿐더러, 통합이 되더라도 PIMS가 가진 개인정보보호 생명주기 부분은 유지되기 때문에 국제표준 과제와 상관없이 추진이 가능할 것”이라고 설명했다.

<이민형 기자>kiku@ddaily.co.kr