18일 관련업계 따르면 내년부터 정보보호관리체계(ISMS) 인증 기관이 한국인터넷진흥원(KISA)을 포함 한 곳이 더 늘어난다. 미래부가 ISMS 인증 수요의 증가에 따라 인증 기관과 인증심사 기관을 늘리기로 결정했기 때문이다.

미래부는 최근 ISMS 인증 체계 강화와 인증 품질 향상을 도모하기 위해 인증·인증심사 기관과, 인증 심사기관을 추가로 지정할 예정이다. 이는 ISMS 인증 대상을 확대함에 따라 늘어나는 수요에 효과적으로 대비하기 위한 목적도 있다.

이번 미래부 발표에서 주목할 점은 인증 심사기관의 추가 지정과 더불어 인증 기관도 추가 지정하겠다고 한 점이다. 현재 ISMS 인증·인증 심사 기관은 KISA가, ISMS 인증 심사 기관은 한국정보통신진흥협회(KAIT)가 지정돼 있다.

이번 추가 지정 공고로 인해 보안업계에서는 어떤 기관이 새로운 ISMS 인증 기관으로 지정될지에 관심을 모으고 있다. 인증 기관인 이상 기관의 성격에 따라 인증 심사 업무의 내용, 난이도, 조건 등이 달라질 수 있으며, 이를 통해 최근 논의가 된 F-ISMS와 같은 제도의 등장도 기대할 수 있기 때문이다.

실제로 새로운 ISMS 인증 기관은 공공기관이나 금융권을 대상으로 활동할 수 있는 기관이 지정될 가능성이 높아보인다.

올해 초 공공기관 ISMS(G-ISMS) 인증이 ISMS와 통합되긴 했으나 일부 환경에서는 맞지 않는다는 지적이 나오기도 했으며, 금융당국이 금융권 ISMS(F-ISMS) 인증을 포기하지 않았다는 점도 이 같은 의견을 뒷받침한다. 현재 KISA는 민간영역 ISMS 인증에 초점을 맞추고 있다.

현재 미래부는 내달 3일까지 인증 기관과 인증심사 기관 추가지정에 대한 서류를 접수받고 있다. 미래부는 12월 중 심사를 마무리 짓고 1월이 추가 지정 공고를 내릴 계획이다.

한편 ISMS 인증 심사원 양성은 KISA에서 계속 전담하게 된다. 심사원 자질 문제가 지속적으로 안팎에서 제기되고 있기 때문이다.

지상호 KISA 정보보호관리팀장은 “여러 기관에서 동시다발적으로 심사원을 양성하면 관리하기가 힘들다는 지적이 제기됨에 따라 심사원 양성은 KISA에서 전담할 계획”이라며 “내년부터 보다 뛰어난 심사원 양성을 위해 교육수준을 높이고 시험도 엄격하게 적용할 예정이다. 또한 심사원을 자격제도화 해 운영할 계획도 가지고 있다”고 설명했다.

<이민형 기자>kiku@ddaily.co.kr