|
다음은 양청삼 개인정보보호위원회 정책국장 등과의 일문일답이다.
일문일답
Q. 왜 지금 인증제도 강화를 발표했나? 갑작스러운 조치인가?
양청삼 개인정보위 정책국장: 이번 발표는 즉흥적 조치가 아니다. 국정감사 이후 연이어 발생한 대형 개인정보 유출 사고를 계기로 인증제도의 실효성에 대한 사회적 문제가 크게 부각됐다. 쿠팡 사고 이후 과방위와 정무위에서 연속으로 현안 질의가 열렸고, 국회에서도 “인증을 갖춘 기업에서 왜 사고가 반복되느냐”는 강한 문제 제기가 있었다.
이에 개인정보위·과기정통부·KISA가 참여한 TF가 이미 12월부터 가동돼 기준·범위·심사방식 등을 원점에서 재검토하고 있으며, 이번 발표는 그 작업을 가속화해 연말까지 제도 개선안을 내겠다는 방향 제시라고 설명했다.
또한 일부는 법 개정이 필요하지만, 상당수는 고시 개정만으로도 즉시 반영할 수 있어 현장점검과 사후관리 강화를 빠르게 착수할 예정이다.
Q. 인증을 받은 기업에서도 사고가 계속 나는데, 인증제도 자체에 결함이 있는 것 아닌가?
정책국장: 인증을 받았다고 해서 사고가 100% 일어나지 않는 것은 아니다. 건강검진을 받는다고 질병 발생 가능성이 0이 되지 않는 것과 같다.
그러나 인증은 기업이 갖춰야 할 보안관리체계의 ABC에 해당하는 최소 기준을 의미하며, 기업의 관리 수준을 높이도록 이끄는 장치다.
현재 ISMS-P를 취득한 기업 약 260곳 중 사고가 발생한 곳은 27곳 정도로 약 10% 수준이다. 이를 이유로 인증제도를 무용하다고 평가하기는 어렵다. 오히려 인증 기준을 충족하기 위해 내부 프로세스를 정비하는 과정이 보안 성숙도 향상에 중요한 역할을 해왔다고 설명했다.
무엇이 어떻게 바뀌나 ? 기준·심사·사후관리
Q. 무엇이 바뀌나? 어떤 부분을 강화할 예정인가?
정책국장: 정부는 인증제도의 실효성을 높이기 위해 세 가지를 중심적으로 강화한다.
먼저 기준 강화는 암호키 관리, 퇴직자 계정 관리, 접근권한 통제 등 현실적 관리 항목을 더 세분화하고 엄격하게 반영한다. 국제표준(ISO/IEC 시리즈) 기반이던 기존 기준에 최근 사고에서 드러난 취약 지점을 추가해 촘촘하게 재설계한다.
심사 강화는 인증 심사가 ‘서류 확인’에 그치지 않도록 현장 운영 실태를 강하게 들여다보는 방식으로 바꾼다. 동일한 항목이라도 사고가 발생한 사례를 기준으로 타 기업의 관리 수준을 비교·점검하는 방향도 추진한다.
사후관리 강화는 인증 유효기간은 3년이지만, 앞으로는 매년 운영실태를 점검하는 식으로 사후관리 체계를 확대한다. 또 중대한 기준 미달 시 인증 취소를 적극 적용할 예정이다.
정부는 이를 통해 “인증은 받는 것보다 유지하는 과정이 더 중요하다”는 체계를 정착시키겠다는 입장이다.
Q. ‘국민 파급력 큰 기업’에 강화된 기준을 적용한다는데, 어떤 기업을 말하나?
최광기 과기부 과장: 정보통신망법 개정안에는 이용자 규모가 크고 사고 발생 시 파급력이 높은 기업에 강화된 인증 기준을 적용할 수 있다는 조항이 포함돼 이미 법사위까지 통과했다.
대상 기업을 특정한 것은 아니지만, 통신 3사·대형 플랫폼·대규모 정보처리 시스템을 운영하는 기업 등이 적용 가능 범주에 포함된다.
다만 세부 기준은 현재 작업 중이며 별도의 공표가 있을 예정이다.
Q. KT처럼 자산 현황도 파악 못한 기업을 어떻게 심사하나?
김선미 KISA 보안인증단장: 자산 식별은 인증의 가장 기본이 되는 출발점이지만 실제 기업들은 이를 제대로 수행하지 못하는 경우가 많다. KISA는 모든 자산을 즉시 전수조사하는 것은 현실적으로 어렵기 때문에 단계별·범위별로 점검을 확대할 계획이다.
올해는 필수 영역부터 확인하고, 이후 점차 전체로 확대하며 기업 스스로 자산 구조를 정확히 파악하도록 유도하는 방식으로 운영할 예정이다.
쿠팡 사례, AI 보안, 중소기업 영향
Q. 쿠팡처럼 직원이 인증키를 들고 해외로 나간 사례는 인증 기준으로 예방할 수 있나?
정책국장: 이번 사건과 관련된 접근권한 관리·암호키 관리·퇴직자 관리 등은 이미 국제표준을 반영한 인증 기준 안에 모두 포함돼 있다. 즉 기준 부재의 문제가 아니라 기준 준수 여부와 심사 강도의 문제라는 입장이다.
앞으로는 이러한 항목을 심사 시 특별히 중점적으로 점검하고, 사고 사례가 발생하면 다른 기업의 동일 항목 점검에도 즉시 반영해 전체 보안 수준을 끌어올릴 계획이다.
KISA: 최근 사고에서 등장한 새로운 유형의 위험 요소는 즉시 타 기업 심사에도 적용하는 방식으로 기준을 실시간 업데이트하겠다고 밝혔다.
Q. 불시점검을 강화하려면 정부 인력은 충분한가? 특사경(특별사법경찰) 도입 논의도 있었는데?
정책국장: 특사경 문제는 인증 제도 강화와는 별개의 사안이다. 특사경은 사고 발생 후 형사적 법 위반을 조사하는 역할을 하며, 현재 국회 중심으로 논의 중이다. 인증제도의 목적은 사고를 사전에 예방할 관리 체계를 확보하는 것이다.
Q. AI 보안 리스크가 증가하고 있는데 인증 기준도 이에 맞게 바뀌나?
정책국장: AI 데이터 처리의 확산에 따라 새로운 보안 위험이 부상하고 있으며 인증 기준에도 이를 반영할 필요가 있다.
KISA: 지난해 ISMS 조례 60개, 올해 ISMS-P까지 포함해 AI 도입 기업이 고려해야 할 항목을 이미 도출했다. 이를 공개해 의견을 수렴 중이며, 완성되는 대로 인증 기준에 반영해 심사에 적용할 예정이다.
Q. 인증 강화가 실제로 사고를 줄이는 데 효과가 있을까?
정책국장: 인증을 받았다고 사고가 발생하지 않는 것은 아니다. 그러나 인증 기준 101개는 기업 보안관리체계의 기준점이 된다. 외부 심사 과정을 거치며 기업들은 관리 수준을 높이고 취약점을 교정할 수 있다.
따라서 인증제도는 폐지될 이유가 아니라 순기능을 살리면서 더 강화해야 하는 제도라고 강조했다.
Q. 인증 취소 외에도 처벌이 강화되나?
과기부: 인증제도와는 별개로 정보통신망법 개정안에는 반복 사고 시 과징금 부과, 이행강제금 도입 등 더 강한 제재가 포함돼 있다. 개인정보보호법 역시 침해 사고 발생 시 별도 과징금 체계를 갖추고 있다.
중대한 기준 미달이 있을 경우 인증 취소도 적극적으로 적용될 예정이다.
Q. 강화되는 인증 기준이 중소기업에 부담이 되는 것 아닌가?
정책국장·과기부: 중소기업 대상 간편 인증제도는 그대로 유지된다. 항목 간소화 및 비용 감면 제도를 통해 부담을 낮추고 있으며, 강화하는 기준은 주로 통신사·플랫폼 등 고위험 대형 사업자에 적용된다.
소규모 기업은 기존처럼 축소된 항목과 절반 수준의 인증 비용을 적용받는다.
