ISMS 개편 추진…가상자산 점검 항목 추가

가 +
가 -

과학기술정보통신부(이하 과기부)와 개인정보보호위원회(이하 개보위)가 ‘ISMS(정보보호체계)’ 및 ‘ISMS-P(개인정보관리체계)’ 인증 제도 개선에 나선다. 인증 취득·유지와 관련된 부담을 완화하고 가상자산사업자 특화 항목 신설 등 정보보호 사각지대 해소가 목표다.

과기부는 이번 제도 개편을 통해 가상자산(암호화폐)에 특화된 점검 항목(지갑, 암호키, 전산원장 관리, 비인가자 이체탐지 등 56개)을 개발하고, 올해 11월부터 공지해 ISMS 인증 심사에 적용하도록 할 예정이다. 가상자산사업자는 심사 시 ISMS 기존항목 325개에 새로 추가되는 특화항목을 더해 총 381개 항목 심사에 통과해야 한다.

가상자산사업 관련 ISMS 심사 기준 강화

그간 가상자산 사업은 금융 서비스의 특성을 보였음에도 사업자에 대한 법적·제도적 기반이 부재해 정보통신서비스 분야에 적용되는 ISMS 심사 항목이 적용돼 왔다. 이를 기반으로 현재 국내 가상자산사업자 중 ISMS를 획득한 기업은 ‘업비트’를 운영하는 두나무, 빗썸코리아, 코빗, 코인원, 스트리미(고팍스), 플루토스디에스, 뉴링크 등 총 7개다.

ISMS 인증은 내년 3월부터 시행되는 특금법(특정금융정보법) 개정안에서 가상자산사업자가 정부에 사업을 신고하고 허가 받기 위해 필수적으로 취득해야 하는 조건 중 하나다. 하지만 심사 항목에 신산업으로 분류되는 가상자산 특화 항목이 없어 심사에 사각지대가 존재한다는 지적이 제기돼 왔다.

특히 가상자산 지갑과 암호키는 서비스 이용자의 자산 관리와도 직결되는 요소인 만큼 강력한 보호체계 확인이 필요한 분야다. 이번 제도 개편을 통해 기존에 인증을 취득한 기업, 새로 취득을 준비 중인 기업 모두 강화된 심사 조건에 맞춘 시스템 점검에 나서야 할 것으로 보인다.

인증체계 구성 / 자료=KISA

중소기업용 인증 체계 마련, 유사·중복 항목은 생략

제도 운영이 간편화되는 부분도 있다. 과기부와 개보위는 ISMS 인증 항목을 102개로 경량화한 ‘중소기업용 인증체계’를 마련해 인증 비용과 소요기간을 단축하도록 지원할 예정이다.

기존 ISMS는 수백개의 심사항목, 조건을 갖추기까지 반년 이상의 시간과 수억원 이상의 비용이 필요한 것으로 알려져 중소기업 입장에서는 취득이 쉽지 않았다. 중소기업용 인증체계가 마련되면 지금보다 더 많은 기업이 ISMS 인증 취득에 나서 기업의 보안 수준 향상에 기여할 것으로 기대된다.

또 ISMS 인증 획득 기업이 유사한 영역인 클라우드서비스 보안 인증을 획득할 때, 기존 인증 항목 중 54%에 해당하는 항목에 대한 심사 생략이 가능해진다. 관련 정보통신망법 개정안은 11월 중 마련될 예정이다.

ISMS-P는 개인정보 보안성은 유지하면서 기업 부담을 경감하는 방향으로 개편된다. 그동안 ISMS-P 인증 범위에 수탁회사(콜센터, 택배회사)의 정보보호관리체계가 포함돼 위탁 회사들이 ISMS-P 인증을 심사할 때마다 수탁 회사도 반복적으로 현장점검을 받는 불편이 있었다. 이에 개편 후에는 수탁회사가 ISMS-P 인증을 획득하는 경우, 이 같은 현장점검을 면제할 예정이다.

이 밖에도 교육부가 주관하는 정보보호 수준 진단에서 ‘우수(80점)’ 등급을 획득한 대학은 ISMS 인증 의무를 면제하는 내용의 정보통신망법령 개정이 추진된다. 개정 후에 ISMS 인증 의무(재학생 1만명 이상, 총 44개)를 미이행한 13개 대학 중 10개 대학이 올해 ‘우수’ 등급을 획득한 만큼 ISMS 인증이 면제될 예정이다.

ISMS 취득 의무 대상자 기준 / 자료=KISA

한편, ISMS와 ISMS-P는 정보통신망 및 개인정보의 안전성과 신뢰성 확보를 위해 운영되는 종합적 관리체계다. 정보통신망법 제47조 2항에 의거해 ISP(인터넷서비스제공자), IDC(정보통신시설운영자), 이용자수 100만명 이상인 사업자 등 일부 사업자에게는 취득 의무가 부여되며, 자율신청에 따른 인증 취득도 가능하다.

과기부와 개보위는 “이번 제도개선으로 기업과 대학의 행정 부담을 경감하고 정보보호 사각지대를 해소하는데 크게 기여할 수 있을 것으로 기대한다”고 밝혔다.