주목받는 정보보호장치 ‘ISMS 인증’

104개 항목 평가 거친뒤
인터넷진흥원서 인증
은행권은 의무화…카드사 빠져

국민·롯데·농협카드의 개인정보 유출 사고를 계기로 정보보호관리체계(ISMS: Information Security Management System) 인증에 대한 관심이 일고 있다.

2002년 도입된 정보보호관리체계 인증은, 정보통신망의 안전성 확보를 위한 관리적·기술적·물리적 보호조치를 포함한 종합적 관리체계를 수립했는지 여부를 제3의 기관으로부터 점검받은 뒤 적합 판정을 받으면 획득할 수 있다. 현재 한국인터넷진흥원(KISA)이 인증 업무를 담당하는데, 시설 구축과 관리 계획 등 104개 항목을 평가한다. 외부 직원의 출입과 업무망 접속 등을 통제하는 ‘외부자 보안’, 중요 문서 등의 반출입 절차 등을 규정한 ‘물리적 보안’, 외부자 정보 접근 권한을 한시적으로만 부여하는 ‘접근 통제’ 항목 등이 포함돼 있다. 하지만 법적 의무 사항은 아니어서 2009년까지는 한해 인증을 받는 기관이 10여개에 불과했다. 2010년 이후에는 한해 20여개 기관이 인증을 받다가 의무화 대상이 지정된 지난해는 38개 기관이 인증을 받아 총 발급 건수는 260건에이른다. 인증유효기간은 3년이며, 인증을 받은 뒤에도 1년에 1회 이상 사후심사를 받아야 한다.

‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’ 47조의 2항에서는 기간통신사업자(통신 3사)와 인터넷데이터센터(IDC 집적정보통신시설사용자), 정보통신서비스 부문 전년도 매출액 100억원 이상 또는 전년도 말 기준 직전 3개월간 일일 평균 이용자 수 100만명 이상인 기업 등은 의무적으로 인증을 받도록 규정하고 있다. 이번에 문제가 된 카드사는 인증 의무 대상에 들어 있지 않아, 이번 사고를 계기로 인증 대상에 포함시켜야 한다는 지적이 제기될 전망이다.

미래창조과학부 오승곤 정보보호정책과장은 “지난해부터 금융권에서 은행들은 인증 의무 대상에 포함됐지만, 카드사는 의무 대상이 아니다. 최근 사고를 계기로 카드사 등도 의무화해야 한다는 지적이 나오는데, 금융위원회나 카드사 등과 먼저 논의를 해봐야 하는 사안”이라고 말했다. 앞서 미래부는 지난 22일 서울 양재동에서 업계 관계자 등을 불러 ‘정보보호 인증제도 설명회’를 열어, 정보보호 관리등급 제도 시행 계획과 인증기관 추가 지정 방침 등을 밝혔다. 일정 규모 이상 기업의 정보보호최고책임자(CISO) 지정 의무화, 중소기업 정보보호 강화를 위한 통합 지원체계 마련 등도 추진될 예정이다.

한편, 26일 오후 최문기 미래부 장관은 서울 송파구 인터넷진흥원을 방문해, 정보보호와 관련된 업무 현황을 보고받고 관련 업무에 만전을 기해줄 것을 당부했다. 인터넷진흥원에서는 정보보호관리체계 인증 이외에도 개인정보 보호관리체계, 전자정부 정보보호관리체계(G-ISMS) 인증 등 업무를 수행한다.

이순혁 기자 hyuk@hani.co.kr