과학기술정보통신부(장관 최기영, 이하 과기정통부)와 개인정보보호위원회(위원장 윤종인)는 정보보호 유사·중복 부담을 완화하고 정보보호 사각지대를 해소하기 위한 정보보호(ISMS) 및 개인정보보호 관리체계(ISMS-P**) 인증 제도 개선을 본격 추진한다고 밝혔다.
ISMS(Information Security Management System)란 정보통신망의 안전성·신뢰성 확보를 위하여 운영하고 있는 관리·기술·물리적 보호조치를 포함한 종합적 관리체계를 말한다. 과기부에 따르면 두나무, 빗썸코리아, 코빗, 코인원, 스트리미, 플루토스디에스, 뉴링크 등 7개사가 인증을 받았고 가상자산사업자 심사 시 ISMS 기존항목(325개) + 가상자산 특화항목(56개)= 381개를 점검하고 있다.
ISMS-P(Personal information and Information Security Management System)란 주요 정보자산 유출 및 피해를 예방하기 위해 기업이 스스로 수립·운영 중인 정보보호 및 개인정보보호 관리체계가 적합한지 인증하는 제도이다.
◇ 가상자산에 특화된 점검항목..인증 심사에 적용 계획
정부는 "가상자산 사업자, 중소기업에 특화된 정보보호관리체계(ISMS) 인증 심사체계를 구축하여 정보보호 사각지대를 해소할 예정이다"고 밝혔다.
그간 가상자산 사업은 금융 서비스 특성이 있지만 사업자의 법적 지위 미비 등 제도적 기반 부재로 정보통신서비스 분야에 적합한 정보보호관리체계(ISMS) 인증 심사항목을 적용하여 인증해왔다.
특금법 개정으로 가상자산사업자의 법적지위를 부여하고 정보보호관리체계(ISMS) 인증획득을 의무화하는 제도적 기반이 마련된 것을 계기로 금융위원회(금융보안원)과 협업하여 가상자산에 특화된 점검항목(지갑·암호키, 전산원장 관리, 비인가자 이체탐지 등 56개)을 개발하고 2020년 11월부터 공지하여 정보보호관리체계(ISMS) 인증 심사에 적용하도록 할 예정이다.
특정 금융거래정보의 보고 및 이용 등에 관한 법률(2021.3월 시행)은 가상자산사업자 신고 수리요건에 정보보호 관리체계(ISMS) 인증 포함한다.
정부는 "정보보호가 중요한 영세·중소기업도 불필요한 비용 소모 없이 기업 스스로 정보보호관리체계(ISMS) 인증을 준비할 수 있도록 ISMS 인증항목절차(102개)를 경량화한 중소기업용 인증체계를 마련하여 인증 비용과 소요기간을 단축하도록 지원할 예정이다. 정보통신망법 개정안을 11월 중 마련할 계획이다"고 밝혔다.
◇ 클라우드 보안 인증 중복적 현장점검 최소화..기업 부담 경감
ISMS-P를 중심으로 개인정보 및 정보 보안성은 유지하면서 기업 부담을 경감시키는 방향으로 유사제도를 통합 운영한다.
그동안 ISMS-P 인증범위에 수탁회사(콜센터, 택배회사)의 정보보호 관리체계가 포함되어 위탁회사들이 ISMS-P 인증 심사할 때마다 수탁회사는 반복적으로 현장점검을 받는 불편이 있었다.
이에 수탁회사가 ISMS-P 인증을 획득하는 경우 위탁사들의 ISMS-P 인증심사에 부수되는 수탁사의 현장점검을 면제할 예정이다.
한편 클라우드서비스 보안인증의 경우도 ISMS 인증과 유사 인증항목이 다수 존재하여 ISMS 인증 기업이 클라우드 보안인증 신청 시 인증항목의 54%(117개 항목 → 54개 항목) 심사 생략이 가능하다.
과기정통부와 개인정보보호위원회는 "이번 정보보호 및 개인정보보호 관리체계 제도개선으로 기업과 대학의 행정 부담을 경감하고 정보보호 사각지대를 해소하는 데 크게 기여할 수 있다며 앞으로도 정부는 현장의 목소리에 귀 기울여 관련 제도 개선 및 지원책 마련 등을 통해 기업이나 기관들이 정보보호 활동을 하는 데 어려움이 없도록 지원을 강화할 것"이라고 말했다.
