[디지털데일리 홍하나기자] 정보보호와 개인정보보호 인증을 통합한 ‘정보보호 및 개인정보보호 관리체계 인증(ISMS-P) 등에 관한 고시’가 지난 7일부터 시행됐다. 정부는 약 2년간의 정착과정을 거친 뒤 인증 제도를 구체화할 계획이라고 밝혔다.

김기홍 과학기술정보통신무 사이버침해대응과 사무관은 13일 열린 ‘ISMS-P 인증제도 설명회’에서 “2019년이 ISMS-P가 정착되는 과정이라면, 2020년에는 구체적인 방향이 보일 것”이라며 “1~2년의 정착 기간을 걸친 뒤 한 번 더 실질적인 개선을 할 것”이라고 말했다.

앞서 지난 9월 정부는 행정 예고를 통해 ISMS와 PIMS 관련 의견수렴을 진행했다. 당시 개인 의견 12건, 기업 의견 23건이 제출됐다. 정부는 법률가, 전문가들과 심도 있는 논의를 거친 뒤 그중 12건을 직간접적으로 반영했다. 나머지 안건은 차기 제도 개선 과정에서 논의하기로 했다.

김 사무관은 “지난 2002년 ISMS 인증이 시작된 이래로 가장 큰 변화를 겪고 있다”면서 “내년 상반기부터 심사원, 대상기관, 기업들, 심사기관과 함께 제도 안착을 위해 노력할 것”이라고 전했다.

◆ISMS-P, 기업 부담 줄여줄까? = 그동안 ISMS와 PIMS의 심사항목이 유사해 기업들의 혼란을 야기하고 물리적·금전적 부담을 준다는 의견이 지배적이었다. 이에 정부는 정보와 개인정보를 단일제도에서 체계적으로 보호할 수 있도록 인증제도를 통합했다.

이번 인증 통합을 통해 정부는 ▲비용, 행정, 인력 부담 절감 ▲기업혼란 해소 ▲침해위협 효과적 대응 등의 효과를 기대하고 있다.

통합된 ISMS-P 인증은 투 트랙 체계다. 정보보호 관련 80개 인증기준으로 ISMS 인증 획득을 하거나, 여기에 22개 개인정보 관련 기준에 대해 추가로 인증 받을 경우 ISMS-P 인증까지 취득할 수 있다.

인증 의무 대상자는 변동이 없다. 정보통신망법 47조 2항에 따라 ISMS 인증은 연간 전체 매출 1500억원이거나 온라인 매출 100억원 이상, 이용자 수 100만명 이상으로 이 중 한 가지만 해당해도 의무로 받아야 한다.

다만 고시시행 후 6개월까지 기존 기준의 인증을 획득할 수 있다. 유효기간까지 기존 인증기준으로 사후 심사를 받을 수 있다.

기존 인증기관 및 심사기관은 유효기간 내 새로운 기준에 맞춰 지정 심사를 다시 받아야 한다. 인증심사원도 유효기간 내 전환교육을 이수해야 한다.

◆기업들, ISMS-P ‘관심집중’ = 지난 13일 열린 ‘ISMS-P 인증제도 설명회’에는 약 1000명 가까운 기업인들이 참여했다. 이날 ▲인증제도 통합에 따른 고시 개정사항 안내 ▲인증기준 주요 변경사항 ▲인증심사 신청방법 등의 소개가 이어졌다.

현장에서 가장 많이 나온 질문 중 하나로, ISMS 인증 유효기간이 남아 있어도 내년에 반드시 개정된 인증으로 받아야 하는지 여부가 꼽혔다. 이 경우 고시 시행 후 6개월 이내 인증기관에 사후 심사를 받아야 한다.

만약 기업이 기존에 ISMS와 PIMS를 모두 보유한 경우에는 최초 심사를 받아야 한다. 또 클라우드 보안, 국외이전 등 점검항목 중에서 해당사항이 없는 경우 생략 가능하다.

인증 신청 수수료는 큰 변동이 없을 것으로 보인다. 김선미 한국인터넷진흥원(KISA) 팀장은 “다만 기업 규모, 인증 범위에 따라 전년보다 인상, 인하될 수 있다”고 설명했다.

ISMS-P 의무화 가능성에 대해 황선철 방송통신위원회 사무관은 “현재까지 의무화 논의는 전혀 없었으며 사업자 별 자체적으로 받아야 한다”면서 “기존처럼 통합고시의 경우도 행정제재 시 과태료 감면의 혜택이 있다”고 전했다.

아울러 방통위, 과기부, 행안부 3개 부처는 2019년 신규 인증심사원 양성 계획에 대해 “조만간 별도 공지할 것”이라고 밝혔다.

<홍하나 기자>hhn0626@ddaily.co.kr