[디지털데일리 김보민기자] 중소기업 정보보호 인증 부담을 덜기 위한 간편인증 제도가 마련됐다.

과학기술정보통신부(이하 과기정통부), 개인정보보호위원회(이하 개인정보위), 한국인터넷진흥원(KISA)은 인증 기준과 비용을 간소화한 ISMS 및 ISMS-P 인증 특례 제도를 시행한다고 23일 밝혔다. 시행 시점은 24일이다.

ISMS 및 ISMS-P 인증제는 기업이 구축했거나 운영 중인 정보보호 및 개인정보보호 관리체계가 특정 기준에 적합한지를 보여주는 역할을 한다. 주요 정보통신서비스 제공자와 직접 정보통신시설사업자 등은 ISMS 의무 대상이다.

다만 현행 제도는 중견기업 이상이 인증 기준을 충족하도록 설계된 것이 특징이다. 때문에 중소기업은 인증을 취득하고 유지하는 데 많은 비용이 들고, 다양한 인증 항목을 충족해야 하는 부담이 있어 어려움을 겪어 왔다.

정부는 중소기업 규모와 특성에 따라 완화된 인증 기준과 비용으로 이를 취득할 수 있도록 특례제도 도입을 골자로 한 정보통신망법 개정을 추진했다. 이후 특례제도 적용 대상, 인증 기준, 수수료 등을 규정하기 위한 하위 법령을 정비해 제도적 기반을 마련했다.

ISMS 및 ISMS-P 간편인증 적용 대상은 정보통신서비스 부문 매출액이 300억원 미만인 중소기업, 정보통신서비스 부문 매출액이 300억원 이상인 중기업 중 회사 내 주요 정보통신설비를 보유하지 않은 기업이다.

개인정보위에 따르면 전체 의무대상 중 85개 기업(약 16%)이 적용을 받을 수 있다. 관련 상세 내용은 KISA 누리집에서 확인할 수 있다.

다만 대상에 해당한다고 하더라도 국민 생활에 밀접한 영향을 미치는 주요 정보통신서비스 제공자, 집적 정보통신시설 사업자, 일부 상급종합병원 및 대학교, 금융회사, 가상자산 사업자는 ISMS 및 ISMS-P 간편인증 적용 대상에서 제외된다.

인증 기준의 경우 기업이 실질적인 정보보호 활동을 할 수 있도록 하는 핵심 필수 항목은 유지하되, 기업 부담을 경감하기 위해 중소기업 수준에서 불필요한 항목은 삭제 혹은 완화됐다. 기존 인증기준 수 대비 36~40개 항목이 감소했다고 개인정보위는 부연했다.

인증 심사 수수료는 종전 대비 약 40~50% 수준으로 절감된다. 인증 준비에 필요한 기업 제반 비용도 감소할 것으로 기대된다. 여기에는 보안 시스템 구축, 정보보호 조직 구성, 컨설팅 등이 포함된다.

한편 KISA는 이번 제도가 안착될 수 있도록 적용 대상 기업을 대상으로 온라인 설명회를 24일 진행한다. 온라인 중계는 유튜브에서 시청할 수 있다.

정창림 과기정통부 정보네트워크정책관은 "이번 ISMS 간편인증제 시행이로 영세한 기업들이 적은 부담으로 사이버 위협을 예방 및 대응할 수 있게 돼 고무적"이라며 "향후 제도 개선에 힘쓰겠다"고 강조했다.

양청삼 개인정보위 개인정보정책국장은 "개인정보보호 관리 체계 수준을 향상시키고자 하는 기업의 자율적인 개인정보 보호 노력이 강화될 수 있는 계기가 되기를 바란다"고 말했다.