양대 보안인증 통합발표 그 후..후속작업 속도낸다

방통위, 관련 개정안 최근 최종 의결..6일부터 시행
인증심사원 전환교육 시작..6개월간 기존 인증 운영
대학, 병원, 암호화폐 거래소 등 신규 기회 생겨나

등록 2018-11-01 오후 2:40:33

수정 2018-11-01 오후 2:40:33
가 가

한국인터넷진흥원 보안인증제도 안내 홈페이지 초기화면 캡처

[이데일리 이재운 기자] 정부의 사이버 보안 인증제도 통합 발표 이후 후속 작업에도 속도가 붙고 있다. 관련 개정안을 최종 의결한데 이어, 인증 신청 기업·기관에 대한 실사와 평가를 담당하는 전문 인력에 대한 교육도 시작한다.

1일 방송통신위원회 등 관계 부처·기관들에 따르면 이달 기존 정보보호관리체계(ISMS) 인증과 개인정보보호체계(PIMS) 인증 통합 추진을 마무리하고 새로운 통합 인증인 ‘ISMS-P(정보보호 및 개인정보보호 관리체계 인증)’에 맞춘 환경을 마련한다.

ISMS 인증은 연간 전체 매출 1500억원이거나 온라인 매출이 100억원 이상, 혹은 이용자 수가 100만명 이상 중 한가지만 해당해도 의무로 받아야 한다. PIMS 인증은 별도 의무대상 기준 없이 권장만 해왔다.

중복 기준 통폐합 ISMS-P 개정안, 방통위 최종 의결

ISMS는 전반적인 정보화 시스템에 대한 정보보호 체계(시스템)가 갖춰야 할 사항을 평가한다. 104개 인증 기준에 대한 적합성 평가를 진행해 이를 통과해야 부여받을 수 있다. PIMS는 주민등록번호나 전화번호, 금융거래 사항 등 개인정보에 대한 86개 인증 기준을 충족해야 역시 인증을 획득할 수 있다.

기본적으로 ‘정보’를 보호한다는 측면에서 대부분의 요소는 중복된다. 이에 기업들은 ‘어차피 비슷한 조항이 많은데 인증은 두 가지라 비용이 이중으로 발생한다’는 의견을 건의해왔다. 방통위와 행정안전부, 과학기술정보통신부, 한국인터넷진흥원(KISA) 등 관계기관들도 일정 기준 이상에게는 의무인 ISMS 인증과 달리 PIMS 인증은 상대적으로 소홀해지고 이중 부담이 될 수 있다는 점에서도 공감하고 통합을 준비해온 끝에 102개 인증기준을 정리한 통합안을 마련했다.

이들 기관은 지난 9월 통합 인증기준 발표에 이어 인증에 대한 구체적인 규제기준인 ‘개인정보보호 관리체계 인증 등에 관한 고시’ 전부개정안을 지난달 말 방통위 전체회의에서 의결했다. 통합 이후 명칭은 ‘정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시’다.

새로운 인증체계에 따르면 정보보호 관련 80개 인증기준으로 ISMS 인증 획득이 가능하고, 여기에 22개 개인정보 관련 기준에 대해 추가로 인증받으면 ISMS-P 인증까지 취득하는 투트랙(Two-track) 체계다. 새로운 제도는 고시발령일인 이달 6일부터 바로 시행된다.

통합인증 심사평가원 교육 시작..새로운 고객군도 확대

단위: 건, 수치 출처: KISA 홈페이지

문제는 바뀐 기준으로 심사를 진행할 인증심사원이 없다는 점이다. 이때문에 우선 시행 후 6개월까지는 기존 기준의 인증을 획득할 수 있도록 했다.

동시에 기존 ISMS와 PIMS 인증심사원 자격을 취득한 이들을 대상으로 전환교육을 진행한다. KISA는 한국CPO포럼에 위탁해 지난달 말까지 신청 접수를 받고 이달 중순부터 다음달 초까지 교육 과정을 운영한다.

ISMS와 PIMS 인증심사원 자격을 모두 보유한 경우는 하루, 한쪽만 보유한 경우는 이틀에 걸쳐 교육을 이수해야 한다. 한쪽만 보유한 경우에 한해 평가시험도 통과해야 한다. 이를 통과한 이들이 배출되면 새로운 기준의 인증을 획득할 수 있게 된다. KISA는 내년 상·하반기에도 추가 교육과정을 개설해 심사원을 늘릴 계획이다.

보안 인증에 대한 수요는 갈수록 높아지고 있다. 특히 대학 등 교육기관과 병·의원 등 의료기관은 지난 2016년 6월부터 의무대상으로 지정되면서 신규 수요가 발생하고 있다. 당초 대학들은 예산 부족 등을 바탕으로 반대해왔으나, 올 2월 순천향대가 처음 인증을 받았고 10여개 대학이 인증 획득을 위한 절차를 진행중이다.

암호화폐 거래소도 새롭게 부상하는 신규 수요 창출처다. 최근 고팍스(스트리미)가 첫 스타트를 끊었고 현재 빗썸, 업비트, 코인원, 코빗 등 의무대상은 물론 의무가 아닌 곳들도 투자자 보호 등을 위한 차원에서 ISMS 인증 획득을 추진 중이다.

한 암호화폐 업계 관계자는 “당초 여러 거래소 업체가 연내 획득을 추진했으나, 세부사항에서 미비한 점이 있어 해를 넘길 것으로 보인다”며 “대규모 거래소가 아닌 중소·신생 거래소들은 아에 새로운 ISMS-P 인증 획득을 준비하는 경우도 있다”고 말했다.