[디지털데일리 최민지기자] 부처별로 흩어진 정보보호관리인증이 ‘정보보호 및 개인정보보호 관리체계(ISMS-P) 인증’으로 통합된다.

과학기술정보통신부(장관 유영민, 이하 과기정통부), 행정안전부(장관 김부겸, 이하 행안부), 방송통신위원회(위원장 이효성, 이하 방통위)는 정보보호관리체계(ISMS)·개인정보보호관리체계(PIMS) 인증 통합을 위한 ‘정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시’ 전부개정안을 마련하고 오는 10일부터 행정예고 한다.

3개 부처는 협의회를 구성해 인증기관 및 심사기관 지정, 심사원 관리 등 제도 전반에 관한 정책결정 및 관리를 공동으로 처리키로 협의했다. 다만, 사실상 컨트롤타워 역할은 과기정통부가 맡는다.

이윤숙 행안부 개인정보보호협력과장은 “3개 부처에 흩어진 인증체계를 공동으로 맞췄다”며 “이번 통합을 통해 각각 따로 운영되고 신청해야 했던 부분이 단일화되고, 필요에 따라 한 가지 인증만 받으면 된다”고 말했다.

이어 “과기정통부가 ISMS·PIMS 통합을 추진하면서 행안부는 PIMS와 체계 부분에 협력해 왔다”며 “통합 후 3개 부처는 기존 역할을 수행하지만, 과기정통부가 통합 인증을 주도적으로 추진한다”고 덧붙였다.

3개 부처는 지난해 6월부터 ISMS와 PIMS 인증 통합을 위한 협의를 진행해 왔으며, 지난해 12월29일 ‘ISMS와 PIMS 인증제도 통합방안’을 발표했다. 이후 실무협의와 관련 전문가 검토, 국무조정실 사전규제심사 등을 거쳐 통합 고시안을 마련했다.

이번 개정안은 양 인증의 내용이 일정 부분 동일·유사함에도 각각 인증을 받아야 하는 기업의 중복 부담을 완화하기 위해 인증체계, 인증기준, 인증·심사기관 등 인증제도 전반의 실질적인 통합을 이루는데 중점을 두었다.

과거, ISMS와 PIMS 간 유사한 항목이 많아 기업에 추가적 부담만 늘게 돼 단일화된 인증체계를 구축해야 한다는 지적이 제기돼 왔다. 정부는 이러한 목소리를 반영해 기업부담 경감에 초점을 맞췄다고 설명했다.

3개 부처는 “이번 인증제도 통합을 위한 고시 개정안은 기업부담 경감을 위한 부처간 협력을 통해 마련된 것”이라며 “개정안이 시행되면 정보보호와 개인정보보호로 나뉘었던 인증제도가 종합 인증제도로 통합돼 기업들의 인증에 대한 비용과 시간 등이 절감됨과 동시에 정보보호 및 개인정보 관리의 전반적인 수준 향상에 기여할 것으로 기대된다”고 밝혔다.

이번 개정안에서는 기존 ISMS 인증기준(104개)과 PIMS 인증기준(86개)의 유사·중복 항목을 통합하고, 최신 보안요구사항을 반영해 102개의 인증기준 체계를 구성했다. 인증 신청자는 정보보호 관련 80개 인증항목으로 기본적인 ISMS 인증을 받을 수 있고, 개인정보 관련 22개 항목을 추가하면 ISMS-P 인증을 받을 수 있다.

기존 인증기준에 맞춰 인증을 준비했던 기업들의 불편을 최소화하기 위한 경과조치 규정을 포함시켰다. 인증 신청인이 고시 시행 후 6개월까지는 개정 이전의 인증기준에 따라 신청을 할 수 있게 하고, 기존 인증기준에 따라 인증을 취득한 경우에는 인증 유효기간까지 기존 인증기준으로 사후심사를 받을 수 있게 했다.

통합된 인증제도 및 인증기준에 따라 인증·심사 업무를 담당할 인증기관과 심사기관은 지정기준에 따른 지정절차를 거쳐 3개 부처 공동으로 지정한다. 기존 인증기관 및 심사기관은 기 지정된 유효기간까지는 기존 인증기준으로 인증 및 심사를 수행할 수 있다.

인증심사원의 자격요건도 통합했다. 기존 고시에 따른 심사원은 자격유효기간(3년)까지 기존 인증기준으로 심사할 수 있다. 개정된 인증기준에 따른 심사는 전환교육 등을 거쳐야 한다. 인증심사에서 발견한 결함에 대한 보완조치 기간은 최대 90일에서 최대 100일로 연장했다.

일각에서는 인증을 통합하면 기업들이 정보보호를 강화하기 보다는 예산 및 보안 인력을 줄이고 PIMS 인증 획득이 기존보다 어려워져 개인정보보호를 등한시할 것이라는 우려도 있었다. 또, 심사원 전문성 이슈와 함께 컨설팅 시장의 먹거리 감소도 걱정하는 목소리가 나오기도 했다.

이와 관련 정부 관계자는 “기업부담 경감에 초점을 맞추긴 했으나, 관련 의견수렴을 지속적으로 진행하고 반영해 개정안을 도출했다”며 “내달 1일까지 개정안에 대한 의견을 접수받는다”고 부연했다.

또 “ISMS·PIMS, 두 개의 심사 자격증이 있는 심사원은 전환교육을 받으면 통합 인증 심사원으로 인정해주고, 한 개만 있는 심사원은 교육과 시험을 거쳐야 한다”며 “차등화한 심사 방식을 통해 전문성 이슈를 해결할 것”이라고 말을 보탰다.

<최민지 기자>cmj@ddaily.co.kr