법제도/정책

금융 정보보호관리체계(F-ISMS) 인증 나온다

이민형

[디지털데일리 이민형기자] 빠르면 올해 하반기부터 금융권에 특화된 금융 정보보호관리체계(F-ISMS) 인증제도가 실시될 것으로 보인다. F-ISMS는 금융보안연구원(추후 금융보안원)이 주도적으로 개발·운영하게 된다.

F-ISMS는 기존 ISMS에서 금융서비스와 관련된 통제항목이 추가된 인증으로 금융위원회가 지난 2013년부터 신설을 추진해왔다. 하지만 ISMS를 담당하는 미래창조과학부와 의견이 충돌해 신설이 보류된 바 있다.

7일 미래창조과학부는 금융보안연구원과 한국정보통신기술협회(TTA)를 ISMS 인증기관, 인증심사기관으로 지정하기 위해 현장실사를 실시한다고 밝혔다. 두 기관의 서류심사는 이미 완료됐고 현장실사에서 기준만 충족되면 ISMS 인증기관과 인증심사기관으로 지정된다.

이지형 미래부 정보보호정책과 사무관은 “최근 ISMS 인증 수요의 증가와 품질 향상을 도모하기 위해 인증기관을 추가로 지정할 계획”이라며 “빠르면 이달 말 지정이 완료돼 업무를 실시하게 될 것”이라고 말했다.

이어 “금융보안연구원이 ISMS 인증기관으로 지정되면 과거 금융위가 추진하던 F-ISMS와 같은 인증이 등장할 것”이라고 덧붙였다.

금보원도 ISMS 인증기관으로 지정될 경우 F-ISMS와 같은 금융권에 특화된 ISMS를 개발·운영할 계획이라 전했다.

금보원 관계자는 “미래부의 ISMS 인증기관 추가지정은 분야별로 전문화된 기관을 만들려고 하는 정책”이라며 “오래전부터 금융회사들은 ISMS 인증이 전자금융거래법과 중복된다는 불만을 표현해왔다. ISMS 인증기관으로 지정될 경우, 중복된 부분은 삭제하고 금융서비스와 관련된 항목을 추가해 운영할 계획을 갖고 있다”고 설명했다.

금융위도 이번 추가 지정을 기대하고 있다. 과거 F-ISMS 인증 신설이 무산된 경험이 있기 때문이다.

지난 2013년 8월 금융위는 금융회사 보안관리체계 수립을 위해 F-ISMS 인증을 신설하고 ISMS 대체제로 사용할 것이라고 밝힌 바 있다. 하지만 미래부는 금융회사도 ISMS 인증 의무사업자이기 때문에 F-ISMS 인증과는 별개로 ISMS 인증을 획득해야 한다고 지적했다. 이로 인해 금융위는 F-ISMS 인증 신설을 무기한 보류하게 됐다.

금융위 관계자는 “기존 ISMS 인증보다 강력한 통제항목을 담은 F-ISMS 인증의 필요성은 꾸준히 제기돼 왔다. 이번 인증기관 추가지정으로 금융권 정보보호관리체계가 보다 안전해지는 계기가 될 것으로 기대한다”고 전했다.

현재 정보통신망법 제47조에 의거 모든 금융회사는 ISMS 인증을 획득해야 한다. 다만 금보원이 ISMS 인증기관으로 지정돼 F-ISMS 인증제도를 실시할 경우, ISMS 대신 F-ISMS로 갈음할 수 있다.

한편 금보원은 금융결제원, 코스콤의 정보공유분석센터(ISAC)를 통합하고 내달 금융보안원으로 출범할 예정이며, ISMS 인증기관의 역할 역시 금융보안원이 이어간다.

<이민형 기자>kiku@ddaily.co.kr

이민형
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널