[김국배기자] 정보보호 관리체계(ISMS)와 개인정보보호 관리체계(PIMS) 인증을 통합해야 한다는 감사원의 지적이 나왔다. 정보보호 인증 제도에 대한 통합 논의에 속도가 붙을 지 주목된다.
감사원은 최근 공개한 '국가 사이버안전 관리 실태' 감사보고서에서 미래창조과학부와 방송통신위원회에 ISMS와 PIMS를 통합하는 방안을 마련하라고 통보했다고 밝혔다.
현재 국내 정보보호 인증은 ISMS, PIMS, 개인정보보호인증(PIPL) 세 가지다. 시행기관은 각각 다르나 모두 기업의 정보보호 수준을 측정하는 제도다. 이중 ISMS만이 의무 인증제도이며 2015년 10월 기준 인증을 받은 기업 수는 392개다.
그간 비슷한 인증제도를 중복 운영해 기업 부담을 가중시킨다는 비판에 따라 미래부와 방통위 등은 지난 2014년 8월 개선방안을 마련했다. 그 결과 PIMS와 PIPL은 기관 간 협의를 통해 올해부터 통합 운영이 추진되고 있다.
하지만 당시 ISMS와 PIMS 인증은 정보보호 관리체계나 규제성격, 인증목적, 심사내용, 심사관점 등이 달라 통합하지 않고 심사 시 유사중복 부분을 상호 인정해 주는 것으로 결론이 났다.
그러나 이와 달리 감사원은 두 인증의 심사항목과 평가 기준이 유사하고 과거 연계 운영 필요성에 대한 검토가 부족했다며 통합을 주문했다.
과거 미래부와 방통위는 심사항목이 상이하다고 했지만 감사원은 두 인증의 심사항목을 검토한 결과 평균 74%가 유사·중복으로 나타났다고 밝혔다.
또 감사원은 ISMS의 경우에는 인증범위 내 시스템과 서비스의 안전성·신뢰성 차원에서는 깊이 있는 심사가 이뤄지나 인증범위 밖에선 개인정보 흐름을 고려하지 못한다고 봤다.
반대로 PIMS는 전사 범위에서 개인정보의 흐름을 고려하지만 시스템과 서비스의 안전성·신뢰성 측면에선 ISMS에 비해 떨어진다는 의견이다.
감사원은 "ISMS 인증만 받을 경우 정보통신시스템에 대한 침해 활동으로 개인 정보가 유출될 우려가 있는 등 개인정보에 대한 보호는 담보할 수 없다"며 "ISMS나 PIMS를 상호 연계하지 않은 채 개별적으로 점검할 경우 고조되는 사이버 침해행위로부터 안전을 담보하기 어렵다"고 평가했다.
ISMS와 PIMS 인증을 모두 취득하려는 기업에 경제적·행정적 부담을 줄 수 있다고 감사원은 우려했다.
인증 신청 기업의 종업원 수 300명, 서버급 컴퓨터 100대, 심사일수 9일 기준으로 ISMS 인증에 소요되는 비용은 1천500여만원, PIMS 인증에 소요되는 비용은 2천300여만원이다.
감사원이 ISMS와 PIMS 인증을 동시에 받은 기업을 대상으로 인증 범위가 중복되는지 확인한 결과 PIMS 인증 기업 29개 가운데 23개 기업이 두 가지 인증을 취득하고 있었다. 23개 사업자의 ISMS와 PIMS 인증 범위는 평균 81.3%가 중복됐다.
미래부 사이버침해대응과 관계자는 "기업 부담 완화 차원에서 통합의 필요성에 대해선 공감하고 있다"면서 "통합 방안에 대해 부처간 논의가 있을 예정"이라고 말했다. 방통위 개인정보보호윤리과 관계자는 "아직 확정된 사안은 없다"고 답했다.
김국배기자 [email protected]
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기