정부, ISMS-P 인증제 전면 개편…인증 기업 해킹·유출사고 반복 차단 나서

과학기술정보통신부, 개인정보보호위원회는 6일 관계부처 대책회의를 개최하고 ISMS-P 인증 실효성 강화를 위한 제도의 전면적 개편 방안을 추진하기로 했다고 8일 밝혔다. / 사진 뤼튼으로 생성

정부가 정보보호 관리체계 인증제(ISMS-P)를 전면 손본다. 인증 기업에서 반복적으로 해킹과 대규모 개인정보 유출사고가 발생한 영향이다. 

과학기술정보통신부, 개인정보보호위원회는 6일 관계부처 대책회의를 개최하고 ISMS-P 인증 실효성 강화를 위한 제도의 전면적 개편 방안을 추진하기로 했다고 8일 밝혔다.

기존 자율적으로 운영되던 ISMS-P 인증을 주요 공공시스템, 통신사, 대규모 플랫폼 등 공공·민간 주요 개인정보처리시스템에 대해 의무화하여 상시적 개인정보 안전관리체계를 구축토록 한다.

통신사, 대규모 플랫폼 사업자 등 국민 파급력이 큰 기업에는 강화된 인증기준을 마련해 적용한다. 양 기관은 개인정보보호법 및 정보통신망법 개정을 조속히 추진한다.

심사방식도 전면 강화한다. 예비심사 단계에서 핵심항목을 선검증하고, 기술심사 및 현장실증 심사를 강화한다. 분야별 인증위원회 운영 및 심사원 대상 AI 등 신기술 교육을 통해 인증의 전문성을 높인다.

사후관리는 대폭 강화된다. 인증기업의 유출사고 발생 시 적시에 특별 사후심사를 실시하고, 인증기준의 중대 결함 발견 시 인증위원회 심의·의결을 거쳐 인증을 취소한다. 사고기업에 대해서는 사후심사 투입 인력·기간을 2배로 확대하고 사고원인 및 재발방지 조치를 집중 점검한다.

개인정보위는 유출사고가 발생한 인증기업에 대해 이달부터 현장점검을 실시한다. 현재 조사가 진행 중인 쿠팡 등의 경우, 과기정통부 민관합동조사단·개인정보위 조사와 연계해 한국인터넷진흥원 주관으로 인증기준 적합성 등을 점검한다.

양 기관은 지난달부터 운영 중인 합동 제도개선 TF를 통해 개선방안을 최종 확정하고, 특별 사후점검 결과 등을 반영해 2026년 1분기 중 관련 고시를 개정해 단계적으로 시행할 예정이다.