[뉴스토마토 김동현 기자] 과학기술정보통신부와 개인정보보호위원회는 정보보호 유사·중복 부담을 완화하고, 정보보호 사각지대를 해소하기 위한 정보보호(ISMS) 및 개인정보보호 관리체계(ISMS-P) 인증 제도개선을 추진한다고 1일 밝혔다.

 

양 기관은 정보보호 사각지대 해소를 위해 가장자산 사업자, 중소기업에 특화한 ISMS 인증 심사 체계를 구축할 예정이다. 그동안 가상자산 사업은 금융 서비스의 특성이 있지만, 사업자의 법적 지위 미비 등 제도적 기반 부재로 정보통신서비스 분야에 적합한 ISMS 인증 심사항목을 적용해 인증했다. 그러나 내년 3월 '특정 금융거래정보의 보고 및 이용 등에 관한 법률' 시행으로 가상자산사업자의 법적지위를 부여하고 ISMS 인증획득을 의무화하는 제도적 기반이 마련됐다.

 

이를 계기로 금융위원회와 협업해 가상자산에 특화한 점검항목(지갑·암호키, 전산원장 관리 등 56개)을 개발하고, 올해 11월부터 공지해 ISMS 인증 심사에 적용할 계획이다. 정보보호가 중요한 영세·중소기업도 불필요한 비용 소모 없이 스스로 ISMS 인증을 준비할 수 있게 인증항목절차(102개)를 경량화한 중소기업용 인증체계를 마련할 예정이다.

 

중복 현장점검을 최소화하기 위한 통합 운영 절차도 시행한다. ISMS-P를 중심으로 개인정보·정보 보안성을 유지하며 기업 부담은 경감하는 방향으로 추진된다. 그동안 ISMS-P 인증범위에 수탁회사(콜센터, 택배회사)의 정보보호 관리체계가 포함돼 위탁회사의 ISMS-P 인증 심사 때마다 수탁회사는 반복적으로 현장점검을 받아야 했다. 이에 수탁회사가 ISMS-P 인증을 획득할 경우 위탁사의 ISMS-P 인증심사에 부수되는 수탁사 현장점검을 면제할 예정이다. 예를 들어 3개의 고객사를 가진 A콜센터가 기존에 ISMS-P 현장점검을 3회 받던 것을 1회로 줄이는 식이다. 클라우드서비스 보안인증의 경우도 ISMS 인증과 유사한 인증 항목이 다수 있어 ISMS 인증 기업이 클라우드 보안인증을 신청하면 인증항목의 54% 가량의 심사를 생략할 수 있다.

 

과기정통부와 개인정보보호위원회는 "이번 정보보호 및 개인정보보호 관리체계 제도 개선으로 기업 등의 행정 부담을 경감하고 정보보호 사각지대를 해소하는 데 크게 기여할 것"이라며 "앞으로도 정부는 현장의 목소리에 귀 기울여 관련 제도 개선 및 지원책 마련 등을 통해 기업이나 기관이 정보보호 활동을 하는 데 어려움이 없도록 지원을 강화할 것"이라고 밝혔다. 

 

김동현 기자 esc@etomato.com