[디지털데일리 이민형기자] 미래창조과학부가 정보보호관리체계(ISMS) 인증 확산을 추진한다. 의무대상 확대, 인증기관 추가지정, 사후심사 강화 등을 통해 보다 안전한 인프라를 만든다는 계획이다.

23일 미래부는 지난해에 이어 올해도 ISMS 인증 의무대상 기관·기업을 확대한다고 전했다. 지난해 의무대상 기관·기업은 377개로 2013년 250여개에 비해 50% 증가했다. 미래부는 올해 약 400여개 이상으로 대상자를 늘릴 예정이다.

특히 올해에는 교육기관과 의료기관을 ISMS 인증 의무대상으로 지정하는 것도 고려중인 것으로 알려졌다. 교육기관과 의료기관들은 대량의 개인정보를 보유하고 있으나 이를 관리하는 시스템에 대한 검증절차가 미비했던 것이 사실이다.

미래부 관계자는 “국회에서 교육기관들을 ISMS 인증 의무대상으로 지정해야 한다고 지적하고 있어 내부적으로 논의를 하고 있다”며 “정보통신서비스제공자로 분류되지 않으나 침해사고 발생 시 사회·경제적 파급효과가 큰 대형 제조업체나 대국민 필수 서비스를 제공하는 전력·가스·에너지 관련 기관 등도 ISMS 인증이 도움이 될 것을 본다”고 전했다.

또 미래부는 인증 수요 급증에 발맞춰 올 3월에 인증기관과 인증심사기관을 각각 한 곳씩 추가로 지정한다. 현재 ISMS 인증기관은 KISA가, 인증심사기관에는 한국정보통신진흥협회(KAIT)가 각각 지정돼 있다.

여기에 추가로 지정되는 인증기관에는 금융보안연구원이, 인증심사기관에는 한국정보통신기술협회(TTA)가 후보로 올랐다. 미래부 관계자는 “현재 현장실사를 실시하고 있으며 이변이 없는 한 (인증기관·인증심사기관으로) 지정될 것”이라고 전했다.

인증 품질 향상을 위해 ISMS 인증 사후심사를 강화하는 방안도 모색하고 있다. 업종별로 사후심사 항목을 조정해 더욱 안전한 보안체계 구축을 유도한다는 계획이다.

가령 유통업계의 경우 판매시점관리(POS) 단말기에 대한 보안조치를 보다 꼼꼼하게 살펴보고, 이에 대한 보안대책 마련을 주문하는 식이다.

이와 관련 지상호 한국인터넷진흥원(KISA) 관리체계인증팀장은 “사후관리를 강화하자는 논의가 최근에 나오고 있다. 업종별로 중요한 통제사항들을 도출해서 사후심사에 반영하는 식이다”라고 설명했다.

한편 권은희 의원(새누리당)은 지난해 7월 ISMS 인증 의무대상 확대를 골자로 한 정보통신망법 개정안을 국회에 제출했으나 현재 계류 중이다.

<이민형 기자>kiku@ddaily.co.kr