경제이준희
최근 쿠팡 등에서 대규모 개인정보 유출 사고가 잇따르는 가운데 정부가 정보보호 인증 제도를 강화하는 대책을 내놨습니다.
개인정보보호위원회와 과학기술정보통신부는 오늘 오후 정부서울청사에서 관계부처 회의를 열고 정보보호 관리체계, ISMS와 정보보호·개인정보보호 관리체계, ISMS-P 두 인증제도 개선 방안을 논의했다고 밝혔습니다.
우선 쿠팡처럼 정보 보호 인증을 받은 기업에서 심각한 유출 사고가 일어날 경우 인증을 취소하는 방안을 추진하기로 했습니다.
인증 기업에서 유출 사고가 발생하면 즉시 특별 사후심사를 해 인증기준 충족 여부를 확인하고, 중대한 결함이 드러날 경우 인증위원회 심의·의결을 거쳐 인증을 취소할 수 있도록 했습니다.
지금까지 개인정보보호 관리체계 인증을 받았다가 취소된 기업은 없으며, 만일 쿠팡의 인증이 취소될 경우 첫 사례가 됩니다.
사고기업에는 사후심사 인력과 기간을 기존보다 두 배로 투입해 사고원인과 재발 방지 조치를 집중 점검합니다.
개인정보위는 유출 사고가 발생한 인증기업에 대해 이달부터 현장점검을 실시할 예정입니다.
특히 쿠팡처럼 현재 조사가 진행 중인 기업은 과기정통부 민관합동조사단 및 개인정보위 조사와 연계해 한국인터넷진흥원, KISA와 금융보안원이 인증기준 적합성 등을 점검합니다.
정부는 주요 공공시스템과 통신사, 대규모 플랫폼의 경우 그동안 자율 신청 방식이었던 개인정보 보호 관리체계 인증도 의무화하기로 했습니다.
특히 국민 파급력이 큰 기업에는 강화된 인증기준을 새로 적용할 방침이며, 이를 위해 개인정보보호법과 정보통신망법 개정도 조속히 추진합니다.
분야별 인증위원회를 운영하고 심사원에 대한 AI 등 신기술 교육을 확대해 전문성도 높이는 등 심사 방식도 바꿀 계획입니다.