사진제공=박효주
과학기술정보통신부와 개인정보보호위원회는 정보보호 사각지대인 가상자산 사업자와 중소기업에 특화된 ISMS 인증 심사체계를 구축하는 제도 개선을 본격적으로 추진한다고 1일 밝혔다.
가상자산 사업은 금융서비스의 특성을 가짐에도 그동안 사업자의 법적 지위가 미비한 점 등의 제도적 기반이 부재하다는 이유로 정보통신서비스 분야의 ISMS 인증 심사 항목을 적용해 인증해 왔다. 앞서 두나무와 빗썸코리아, 코빗, 코인원, 스트리미, 플루토스디에스, 뉴링크 등 7개 암호화폐 거래소는 정보통신서비스의 ISMS 인증 심사 항목에 따라 인증을 받았다.
법 개정으로 가상자산사업자들의 ISMS 인증 획득을 의무화하는 제도적 기반이 마련된만큼 과기정통부와 개인정보위는 금융위원회(금융보안원)과 협업해 가상자산특화 점검항목을 개발했다고 설명했다.
이에 따라 가상자산사업자 심사에는 ISMS 기존 항목 325개에 가상자산 특화 항목 56개 등 381개 항목이 적용된다.
과기정통부와 개인정보위는 정보보호가 중요한 영세·중소기업도 불필요한 비용 소모 없이 기업 스스로 ISMS 인증을 준비할 수 있도록 중소기업용 인증체계를 마련하기로 했다고 밝혔다.
이 시각 인기 뉴스
중소기업용 인증체계는 기존 ISMS 인증 항목 절차 102개를 경량화한 것으로 인증 비용과 소요 기간을 단축하도록 했다는 설명이다. 정부는 이를 위한 정보통신망법 개정안을 이달 중 마련할 계획이다.
과기정통부와 개인정보위는 개인정보보호관리체계(ISMS-P) 인증 제도도 개인정보와 정보 보안성은 유지하면서 기업 부담을 경감시킬 수 있도록 유사 제도를 통합 운영하기로 했다.
그동안 ISMS-P 인증 범위에 수탁회사인 콜센터나 택배회사의 정보보호 관리체계가 포함돼 서비스 위탁 회사들이 ISMS-P 인증 심사를 할 때마다 수탁회사가 반복적으로 현장 점검을 받아야 해 불편하다는 지적에 따른 제도 개편이다.
이에 따라 정부는 수탁회사가 ISMS-P 인증을 획득하는 경우 위탁사들의 ISMS-P 인증 심사에 부수되는 수탁사들의 현장점검을 면제할 수 있도록 정보보호 및 개인정보 관리체계 인증 등에 관한 고시 제20조를 조만간 개정하겠다고 밝혔다.
정부는 또 클라우드서비스의 보안 인증도 ISMS 인증과 유사 인증 항목이 다수 존재하는 만큼 ISMS 인증 기업이 클라우드 보안 인증을 신청하면 인증 항목의 54%에 해당하는 54개 항목에 대해 심사를 생략할 수 있게 하겠다고도 했다. 이를 위한 클라우드서비스 보안인증 안내서도 이달 중 개정해 내달 시행한다는 방침이다.
아울러 정부는 교육부가 주관하는 정보보호 수준 진단에서 '우수(80점)' 등급을 획득한 대학에 ISMS 인증 의무를 면제하는 내용을 골자로 하는 정보통신망법령 개정도 이달 중 입법예고할 계획이라고 밝혔다.
법령이 개정되면 앞서 ISMS 인증 의무를 미이행한 13개 대학 중 '우수' 등급을 받은 10개 대학(조선대, 경북대, 충북대, 전남대, 공주대, 부경대, 경상대, 부산대, 충남대, 서울과기대)의 ISMS 인증이 면제된다.
과기정통부와 개인정보위는 "이번 제도개선으로 기업과 대학의 행정 부담을 경감하고 정보보호 사각지대를 해소하는데 크게 기여할 수 있다"며 "앞으로도 관련 제도 개선과 지원책 마련 등을 통해 기업이나 기관들이 정보보호 활동을 하는데 어려움이 없도록 지원을 강화할 것"이라고 밝혔다.