법제도/정책

ISMS·PIMS·PIPL 인증 통합, 내년 본격화

이민형

[디지털데일리 이민형기자] 지난해 방송통신위원회가 통합을 추진한 정보보호관리체계(ISMS), 개인정보보호관리체계(PIMS), 개인정보보호인증제(PIPL) 인증제가 당분간 현행대로 운영된다. 다만 통제항목의 상호인정 체계 수립과 더불어 통합에 대한 논의는 지속한다는 계획이다.

1일 방통위 관계자는 “지난해부터 ISMS, PIMS, PIPL 등 유사한 성격을 지닌 정보보호 인증체계의 통합을 준비하고 있으나 적용대상이 크게 증대됨에 따라 당분간 현행대로 운영할 것”이라며 “다만 사업자들의 혼란을 최소화하고 보다 효율적인 정보보호체계 관리를 위해 통합에 대한 논의는 계속할 것”이라고 전했다.

현재 정보보호와 관련된 인증체계는 ISMS, PIMS, PIPL 등으로 꼽을 수 있으며, 기업 정보보호 수준 측정이란 공통점을 가지고 있다.

차이점을 살펴보면 먼저 ISMS는 기업의 정보보호대책이 제대로 수립돼 있는지 여부를 평가하는 인증이며 정보통신망 이용촉진 및 정보보호 등에 관한 법률에서 의무로 규정돼 있다.

정보통신망법에서는 전년도 마지막 세달의 하루 평균 방문자 수가 100만 이상이거나 정보통신서비스 부문 매출이 100억원 이상인 정보통신서비스 사업자들에게 ISMS 인증을 의무화 하고 있다.

PIMS 역시 정보통신망법에서 규정되고 있으나 의무는 아니다. 기업이 개인정보보호 활동을 체계적으로 수행하기 위해 필요한 보호조치 체계 구축 여부를 점검하는 인증이며 획득시 개인정보유출 등의 사고시 과징금이나 과태료를 경감해준다.

PIPL은 PIMS와 유사하나 기업 규모에 따라 통제항목의 차이가 있다. 하지만 대기업용 PIPL 통제항목은 PIMS와 큰 차이가 없는 것이 사실이다.

상황이 이렇다보니 국내 업체들은 의무화 규정인 ISMS 인증 획득에만 매달리고 있다. 실제로 최근 3년간(2012년 1월~2014년 4월) 발급된 인증서 수를 집계해보면 ISMS는 316건으로 폭발적으로 증가했으나, PIMS는 25건에 그쳤다. PIPL은 10여건에 불과하다.

이때문에 관련업계에서는 통합운영을 바라고 있다. 업계 관계자는 “ISMS, PIMS, PIPL 은 공통적으로 정보보호대책 수립 여부를 확인한다는 측면에서 공통점을 갖는다. 이 경우 사업자들은 ISMS에만 집중하게 될 것”이라고 지적했다.

방통위와 한국인터넷진흥원(KISA), 한국정보화진흥원(NIA)에서는 통합의 필요성은 인정하면서도 이에 따른 혼란을 최소화하기 위해서는 현행유지가 당분간은 필요하다고 설명한다.

NIA 관계자는 “ISMS, PIMS, PIPL 등의 인증제가 서로 유사하기 때문에 통합할 필요성은 있다고 본다”며 “다만 관련 법령이 상이하고, 대상도 다르다. ISMS 인증 의무대상자는 300여곳에 불과하나 PIPL의 경우 350만개의 기업들이 모두 대상이 될 수 있다. 하나의 제도로 모든 산업계를 평가하기는 힘든 것이 현실”이라고 말했다.

일각에서는 PIMS의 국제표준화로 인해 통합이 힘든 것이 아니냐는 의견을 내놓기도 했으나 이는 사실이 아닌 것으로 조사됐다. PIMS는 지난 2012년 11월 ISO/IEC JTC 1/SC 27(국제표준화기구/국제전기표준회의 합동기술위원회 1/연구그룹 27)에서 국제표준 과제로 채택된 바 있으며, 개인정보보호 생명주기 부분은 유지되므로 문제가 없다는 것이 학계의 설명이다.

<이민형 기자>kiku@ddaily.co.kr

이민형
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널