별개였던 정보보호관리체계(ISMS)와 개인정보보호관리체계(PIMS) 인증제도가 통합된다. 최근 과학기술정보통신부, 방송통신위원회, 행정안전부가 마련한 고시 개정안이 발령 및 시행을 앞두고 있다. 다만 통합인증 제도의 신청과 심사 등 실질적인 운영은 내년부터 가능할 전망이다. 확정된 고시 개정안이 시행되더라도 이후 심사기관 지정과 새로운 인증제도 기준을 숙지한 인증심사원 확보가 필요해서다.
그간 3개 정부부처는 정보통신망법과 개인정보보호법 각각의 법령에 기반한 '정보보호관리체계 인증 등에 관한 고시'와 '개인정보보호 관리체계 인증 등에 관한 고시'를 기반으로 ISMS와 PIMS 인증제도를 운영해 왔다. 지난 7월 의결, 지난 9월 행정예고된 '정보보호 및 개인정보보호 관리체계(ISMS-P) 인증 등에 관한 고시' 개정안이 ISMS와 PIMS 인증제도를 통합한 ISMS-P 인증제도의 운영근거다.
ISMS-P 인증제도 시행은 근거가 되는 고시 개정안의 발령 일자에 맞춰 시작된다. 고시 개정안의 발령 일자는 확정되지 않았다. 일단 정부는 지난 9월 10일부터 10월 1일까지 고시 개정안을 행정예고하고 국민 의견수렴 과정을 거쳤다. 이제 수렴된 의견을 첨부해 규제개혁위원회 규제심사 및 법제처 자문을 거치면 된다. 정책기관의 발령이 곧 가능하더라도, 인증기관을 실질적 운영 단계는 해를 넘길 공산이 크다.
과학기술정보통신부 산하 한국인터넷진흥원(KISA)이 ISMS-P 인증제도상 인증기관을 맡는다. KISA는 일단 새 인증제도 체계를 반영한 인증제도 안내서, 심사기준, 세부점검항목 등 자료를 준비했다. 하지만 정부부처가 인증심사를 수행할 심사기관을 지정하고, KISA가 새 인증심사 실무를 수행할 자격을 갖춘 인증심사원을 확보하고, 세부 인증심사기준의 가이드라인을 제작해 배포하는 등 과정을 앞뒀다.
4일 KISA 김선미 보안수준인증팀장은 ISMS-P 인증제도 기반의 심사기관 지정, 민간의 통합인증 신청, 인증기관의 실질적인 심사가 가능해질 시기를 묻는 질문에 "인증심사 수요를 봐서 진행될 것"이라며 "하반기 (기존 ISMS 인증제도 기반으로) 진행될 인증심사 업무가 많아, (새 인증기준 심사업무는) 내년초쯤이 되지 않을까 예상한다"고 언급했다. 새 심사기관 지정은 "부처 협의를 통해 진행"될 것이라 언급했다.
■ ISMS 및 PIMS 통합한 ISMS-P 인증제도, 어떻게 운영되나
현재 운영 중인 ISMS 인증제도는 과학기술정보통신부 소관인 정보통신망법 제47조과 법 시행령 제47조부터 제54조까지와 시행규칙 제3조를 근거로 한다. PIMS 인증제도는 방송통신위원회 소관인 정보통신망법 제47조의 3과 법 시행령 제54조의 2, 행정안전부 소관인 개인정보보호법 제32조의 2와 법 시행령 제34조의 2부터 제43조의 7까지를 근거로 한다.
통합되는 ISMS-P 인증제도(이하 '새 인증제도')는 해당하는 3개 부처가 2가지 고시를 통합한 개정안을 근거로 시행된다. 개정 고시에 따라 기존과 다른 담당기관 및 체계, 기준으로 운영된다. 명칭은 종전과 유사하지만 개념은 상이한 ISMS-P 인증과 ISMS 인증이 발급된다. 새 인증제도에선 ISMS 인증에 없는 개인정보 관련 인증항목이 ISMS-P 인증에 포함돼있다는 게 두 인증의 최대 차이다.
새 인증제도 인증체계의 큰 틀은 현행 ISMS 인증체계와 유사하다.
정책기관이 인증기관과 심사기관을 지정하고, 인증신청 기업과 기관을 대상으로 인증심사원의 심사업무 수행을 통해 인증항목 준수여부를 확인한다. 이후 인증기관에서 구성한 인증위원회가 인증서를 발급한다. 현행 제도상 인증기관은 KISA와 금융보안원 2곳이다. 심사기관은 한국정보통신기술협회(TTA)와 한국정보통신진흥협회(KAIT) 2곳이다.
김선미 팀장은 "과학기술정보통신부, 방송통신위원회, 행정안전부, 3개 부처가 공통 정책기관 역할을 맡아 '정책협의회'를 통해 인증기관과 심사기관 지정, 법제 개선과 정책결정 업무를 맡을 것"이라며 "정책협의회가 새 인증제도 운영을 위한 신규 심사기관 지정절차를 협의한 다음 부처별 공고, 신청 접수, 결정, 지정서 발급을 해야 하는 상황"이라고 설명했다.
현행 ISMS 인증제도상 인증기관, 심사기관 자격은 개정 고시가 시행된 이후에도 유지된다. 즉 개정 고시에 따른 새 인증제도가 운영되더라도 기존 인증제도 관련 업무를 수행할 수 있다. 다만 이 자격은 각자의 인증기관, 심사기관 지정서에 명시된 지정 시한까지만 유효하다. 새 인증제도의 인증기관, 심사기관 자격은 정책기관의 신규 지정을 통해 주어진다. 현행 인증제도의 자격 유무와 별개다.
새 인증제도로 발급되는 ISMS-P와 ISMS의 인증기준은 현행 PIMS의 86개 항목과 ISMS의 104개 항목을 통합해 조정한 결과로 구성됐다. ISMS-P 인증기준은 102개 항목으로 구성됐다. 항목은 '관리체계 수립 및 운영' 16개, '보호대책 요구사항' 64개, '개인정보 처리단계별 요구사항' 22개다. ISMS-P 인증기준 가운데 개인정보 관련 22개 항목을 제외하면 ISMS 인증기준이 된다.
■ 의무 인증대상 취득 시한, 당해 12월→내년 8월까지로 늦춰져
김 팀장은 새 인증제도의 2가지 인증에 대해 "대기업, 중소기업, 소상공인 등을 구별했던 현행 PIMS의 인증대상 조직 규모별 인증기준을 폐지하고, 정책공표나 정책문서관리라든지 시스템관리자와 이용자의 패스워드 관리라든지 이런 PIMS와 ISMS 인증기준간 유사하거나 중복되는 항목을 통합하고 재배치했다"며 "신규항목과 개선항목으로 클라우드보안, 이상행위 분석 모니터링 등 이슈도 반영됐다"고 설명했다.
이어 "기업은 ISMS 인증을 선택해 정보서비스의 안정성, 신뢰성을 확보한 체계를 갖출 수 있는데, 보호하려는 정보서비스에 개인정보 흐름이 있어 처리 단계별 보안을 강화할 필요가 있다면 ISMS 인증기준에 개인정보 처리시스템과 처리 위탁자 개념까지 포함한 ISMS-P 인증을 선택할 수 있다"며 "한 기업이라도 대표홈페이지에는 ISMS, 고객관리 웹페이지 운영이면 ISMS-P, 이런식으로 신청 가능하다"고 말했다.
현행 ISMS 인증제도는 이용량이 많거나 발생 매출 규모가 일정수준을 넘는 서비스 운영주체에 인증 의무를 부과한다. 의무 대상자가 새 인증제도로 의무를 이행시 ISMS-P 인증과 ISMS 인증 가운데 선택해 심사를 신청할 수 있다. 즉 반드시 ISMS-P 인증을 취득할 필요는 없다.
또 현행 ISMS 인증제도 의무 대상자가 되면 그해 1월부터 12월사이에 인증을 취득해야 했다. 새 인증제도가 시행될 경우 인증 취득 시한이 그해 12월에서 차년도 8월까지로 연장된다. 이는 고시 시행 이전부터 인증 의무 대상이었던 조직이 새 인증기준으로 첫 인증신청을 할 경우와, 내년 의무 대상이 될 조직에 적용된다.
김 팀장은 "의무 대상자에 대한 통지가 연초에 이뤄지지만, 의무가 발생한 조직 입장상 예산과 인력을 확보하는 등 최소한의 준비기간이 더 필요하다는 의견이 있어 이를 배려한 것"이라며 "다만 이미 인증심사를 신청한 기존 ISMS 인증 의무 대상자와 인증을 취득해 갱신심사를 받는 대상자에게는 새 인증제도상의 취득 시한 연장의 혜택이 없다"고 설명했다.
■ 인증심사원 자격, 보수교육으로 유지…등급은 재산정
새 인증제도가 원활하게 시행되려면 자격을 갖춘 인증심사원이 충분히 확보돼야 한다. 고시 개정안 부칙에는 이를 위해 현행 ISMS 및 PIMS 인증심사원의 자격을 새 인증제도 기반 심사원 자격으로 전환하고, 그들의 등급을 재산정하는 방안이 담겨 있다.
현행 제도의 인증심사원들은 개정 고시가 시행되더라도 일단 자격을 유지한다. 이전 ISMS 및 PIMS 인증기준의 심사업무를 수행할 수 있다. 이는 각 심사원들의 자격 유효기간 또는 고시 시행 후 6개월 중 더 긴 기간동안 유지된다. 인증심사원들은 이 자격 유효기간 이내에 KISA가 실시하는 '심사원 자격전환 과정'을 신청해 수료하면 새 인증제도의 기준으로 심사업무를 수행할 수 있다.
김 팀장은 "개정 고시가 시행되면 KISA 홈페이지에 보수교육 운영 관련 세부내용을 사전 공지할 예정"이라며 "인증심사원들이 자격 유효기간 만료 전까지 의무시간에 해당하는 보수교육을 수료하면 (새 인증제도 환경에서) 심사원 자격을 유지할 수 있고, 인증심사에 참여한 경우 보수교육 시간 중 일부를 이수한 것으로 인정받을 수도 있다"고 설명했다.
관련기사
- 정부, ISMS·PIMS 통합 개정안 행정 예고2018.10.05
- [기자수첩] ISMS 인증, 사이버보안 보증수표 아니다2018.10.05
- 정보 부실 관리·유출한 '메가스터디교육' 과징금 2억원2018.10.05
- KISA "클라우드서비스, ISMS 인증 범위에 넣겠다"2018.10.05
현행 제도상 인증심사원의 등급을 새 인증제도 기반으로 재산정하는 방안도 제시됐다. 고시에 따르면 일단 기존 등급이 초기화된다. ISMS 및 PIMS 심사 경력이 합산돼 심사원보, 심사원, 선임심사원, 3가지로 구성된 신규 등급 산정에 반영된다. 이가운데 선임심사원 등급부여 요건은 새 인증기준 심사원 자격을 취득해 ISMS-P 인증심사를 3회 이상 참여하고 심사일수 합이 15일 이상이어야 한다.
KISA는 고시 발효 이후 인증심사원의 심사업무에 필요한 자료 제작과 배포를 준비 중이다. 김 팀장은 관련 문의에 "새 인증제도 안내서, 심사기준의 세부점검항목 등 자료는 일단 준비돼 있고 각 담당자들이 볼 수 있는 온라인 콘텐츠도 준비하고 있다"며 "개정 고시 시행 직후부터는 아니겠지만 (인증심사) 가이드라인 등 필요한 자료를 홈페이지로도 배포할 것"이라고 언급했다.
