[디지털데일리 이종현기자] 과학기술정보통신부(이하 과기정통부)와 개인정보보호위원회(이하 개보위)는 정보보호 유사·중복 부담을 줄이고 정보보호 사각지대를 해소하기 위한 정보보호(ISMS) 및 개인정보보호 관리체계(ISMS-P) 인증 제도개선을 추진한다고 1일 밝혔다.

양 기관은 가상자산 사업자, 중소기업에 특화된 ISMS 인증 심사체계를 구축해 정보보호 사각지대를 해소한다는 방침이다.

가상자산 사업은 금융 서비스 특성이 있으나 사업자의 법적 지위 미비 등 제도적 기반 부재로 정보통신서비스 분야에 적합한 ISMS 인증 심사항목을 적용해 인증해왔다. 두나무, 빗썸코리아, 코빗, 코인원, 스트리미, 플루토스디에스, 뉴링크 등 7개사가 인증을 받았다.

그러나 최근 특정 금융거래정보의 보고 및 이용 등에 관한 법률(이하 특금법) 개정으로 가산자산사업자에게 법적 지위를 부여하고 ISMS 인증획득을 의무화하는 제도적 기반이 마련됐다.

이에 과기정통부, 개보위는 금융위원회(금융보안원)와 협력해 ▲지갑·암호키 ▲전산원장 관리 ▲비인가자 이체탐지 등 가상자산에 특화된 점검항목 56개를 개발하고 11월부터 공지해 ISMS 인증 심사에 적용할 예정이다. 이에 따라 가상자산 사업자 심사 시 기존 ISMS 항목 325개에 더해 가상자산 특화 항목 56개로 총 381개 항목의 점검이 이뤄진다.

정보보호가 중요한 영세·중소기업도 ISMS 인증을 준비할 수 있도록 ISMS 인증항목 절차를 경량화한 중소기업용 인증체계를 마련해 인증 비용과 소요기간을 단축하도록 지원할 예정이다.

또 기업 부담을 경감시키기 위해 ISMS-P를 중심으로 유사제도를 통합한다. 수탁회사가 ISMS-P 인증을 획득한 경우 위탁사들은 ISMS-P 인증심사에 부수되는 수탁사의 현장점검을 면제하는 등의 형태다.

클라우드서비스 보안인증의 경우도 ISMS 인증과 유사 인증 항목이 다수 있는 만큼 ISMS 인증 기업이 클라우드 보안인증 신청 시 인증항목의 54%(117개 → 54개 항목)로 심사 생략이 가능하다. 이는 11월 중 클라우드서비스 보안인증 안내서를 개정해 12월부터 시행할 계획이다.

교육부가 주관하는 정보보호 수준진단에서 우수(80점) 등급을 획득한 대학은 ISMS 인증 의무를 면제하는 정보통신망법 개정도 추진한다. 법령이 개정되면 ISMS인증 의무를 미이행한 13개 대학 중 10개 대학이 교육부 정보보호 수준진단에서 우수 등급을 획득해 ISMS인증이 면제된다.

과기정통부와 개보위는 “이번 정보보호 및 개인정보보호 관리체계 제도개선으로 기업과 대학의 행정 부담을 경감하고 정보보호 사각지대를 해소하는 데 기여할 수 있다”며 “앞으로도 정부는 현장의 목소리에 귀 기울여 관련 제도 개선 및 지원책 마련에 힘 쏟겠다”고 말했다.

<이종현 기자>bell@ddaily.co.kr