[아이뉴스24 성지은기자] 정보보호 관리체계(ISMS) 인증과 개인정보보호 관리체계(PIMS) 인증이 통합됨에 따라, 정보보안과 개인정보보호 연계성이 강화되고 기업 부담도 완화될 것으로 기대된다.
그동안 ISMS 인증과 PIMS 인증은 유사·중복 항목이 많아 통합에 대한 필요성이 제기돼 왔기 때문이다.
그러나 일각에서는 이번 통합 결정으로 정보보호에 대한 투자가 줄어들 것이란 우려의 목소리도 나온다. 또 오는 5월 개인정보보호를 강화한 유럽일반정보보호법(GDPR)이 본격 발효되는 등 전 세계적으로 개인정보보호가 강화되는 추세여서 이 같은 결정이 글로벌 흐름에 역행하는 것 아니냐는 지적도 있다.
11일 업계에 따르면 ISMS와 PIMS 통합 결정에 대해 기대와 우려의 시각이 공존하는 것으로 나타났다.
먼저 정부와 인증 대상 기업은 인증 통합을 두고 중복 업무 해소에 따른 부담 완화를 기대하고 있다. 반면 투자 감소 등을 우려하는 시각도 있다.
◆ISMS·PIMS 통합, 기업 부담 안화 등 '긍정적'
ISMS 인증은 정보통신망의 안정성과 신뢰성을 확보하기 위해 2002년부터 운영해 온 제도로, 과학기술정보통신부가 운영을 담당하고 있다.
또 PIMS 인증은 2010년부터 방송통신위원회가 운영한 개인정보보호 활동에 관한 인증으로 지난 2016년 행정안전부의 개인정보보호(PIPL) 인증과 통합됐다.
각 인증은 기업 전반에 관한 보안, 개인정보보호 등에 특화됐지만, 항목 간 유사성이 높아 통합에 대한 목소리가 꾸준히 제기됐다.
애초에 PIMS 제도가 만들어질 때부터 인증 간 중복성 문제가 지적됐다.
당시 열린 공청회에서는"이미 한국인터넷진흥원(KISA)의 ISMS 인증제도, 한국정보통신진흥협회(KAIT) 개인정보보호마크(ePRIVACY) 등 개인정보의 기술적 관리적 보호조치 수준을 점검하고 인증하는 제도가 있어 새로운 인증체계의 차별적 운영은 의문"이라는 지적이 나왔다.
결국 기업에는 추가적 부담만 늘게 돼 기존 인증체계들을 단일화된 인증체계로 만드는 것이 바람직하다는 목소리가 적진 않았던 것.
실제로 정부에 따르면, ISMS 인증 항목 104개 가운데 82개(78.8%)는 PIMS 인증과 동일하거나 유사한 것으로 조사됐다. 또 PIMS 인증 항목 82개 중 58개(70.7%)가 ISMS 인증과 같거나 비슷했다.
이에 따라 과기정통부·방통위·행안부 등 관계부처는 '통합 정보보호 인증' 체계를 만들고 유사·중복 인증 항목을 통·폐합해 정보보안 관련 80개 항목, 개인정보보호 관련 20개 항목 등 총 100개 항목으로 단일화하기로 했다.
인증이 통합되면, 기업들은 기본적으로 80개 보안항목으로 ISMS 인증을 받을 수 있다. 추가로 개인정보보호 관련 20개 항목을 인증받을 경우 ISMS-P(가칭)까지 받을 수 있다. 정부는 이번 통합을 위해 지난 1년여간 전문가 검토와 관계 부처 합의를 거쳐 통합을 결정했다.
한 기업 IT담당자는 "우리기업의 경우 ISMS 인증을 의무적으로 받아야 했고, 별도로 개인정보보호 차원에서 PIMS 인증을 받았다"며 "인증 대상 기업 입장에서는 중복 항목이 줄고 인증이 간소화돼 이번 결정을 환영한다"고 말했다.
◆ISMS·PIMS 통합, 투자 감소 등 '부정적'
반면 일각에서는 이 같은 결정이 정보보안에 대한 투자 감소와 전문성 약화로 이어질 수 있다는 우려를 내비치고 있다.
또 PIMS 인증을 받으려면, 앞으로는 ISMS와 ISMS-P를 포함한 총 100개 항목에 대해 인증을 받는 등 인증 획득의 문턱이 높아져 오히려 관심이 줄어들 것이라는 지적도 있다.
현재 PIMS 인증만 별도로 획득한 기업은 25곳이다. PIMS 인증을 획득하고 유지하고 있는 기업 71곳 중 46곳은 ISMS 인증을 동시에 획득했다.
보안 컨설팅 업계 관계자는 "그동안 기업은 ISMS 인증을 위한 예산, PIMS 인증을 위한 예산을 별도 편성하고 전문 인력도 따로 운영했다"며 "인증을 통합하면 현실적인 정보보안을 강화하기보다 투자 예산과 보안 인력을 줄일 것"이라고 우려했다.
또 "PIMS 획득의 문턱이 높아져 관심이 줄어들 것"이라며 "향후 인증 통합에 따라 보안 컨설팅 시장이 절반 가까이 줄어들 것"이라고 덧붙였다.
또 다른 보안업계 관계자는 "PIMS는 개인정보관리와 관련된 인증으로 개인정보의 생성·관리·파기 등 생성주기를 이해하고 개인정보보호법에 대한 전문적 이해가 필요하다"며 "해외는 GDPR 등을 제정하면서 개인정보보호를 강화하는 추세인데, 우리는 이 같은 흐름에 역행하는 것"이라고 꼬집었다.
그러나 정부는 이번 인증통합이 개인정보보호를 강화하는 세계적 흐름에 역행하는 것이 아니라는 점을 분명히 했다.
방통위 관계자는 "이번 인증 통합은 단순히 ISMS와 PIMS를 물리적으로 합치는 게 아니다"라며 "PIMS의 고유 항목은 살리면서 인증 항목을 현실화해 개인정보보호까지 고려했다"고 설명했다.
한편, 과기정통부·방통위·행안부는 원활한 통합 정보보호 인증제 운영을 위해 '인증운영 협의체'를 운영하고, 올 상반기까지 부처 간 공동고시 개정(안)을 마련할 예정이다.
성지은기자 [email protected]
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기