기업들 난처했던 필수보안인증 '통폐합'..이중규제 논란 해소

ISMS 인증 개념도. 한국인터넷진흥원 홈페이지

[이데일리 이재운 기자] 기업에 중복 부담을 지운다는 지적이 제기된 양대 필수 보안인증을 하나로 통폐합하는 작업이 박차를 가한다. 정부는 올 상반기 안에 이에 대한 초안을 완성할 계획이다.

24일 과학기술정보통신부에 따르면 정보보호관리체계(ISMS)와 개인정보보호 관리체계(PIMS)가 중복요소가 많아 기업들에게 이중부담을 지운다는 지적에 따라 통합 작업이 한창이다.

과기정통부와 한국인터넷진흥원(KISA)은 지난해 감사원이 두 인증간에 약 74%의 요소가 겹치는 문제를 지적받은 뒤 개선작업을 검토했고, 올해 초부터 두 인증 통합 기준안 마련에 착수했다.

중복 요소 74% 해소..비용·시간 감축

ISMS는 각각 전반적인 정보보호(보안)에 대한 관리체계를, PIMS는 개인정보에 대한 보호 체계를 각각 점검해 부여하는 인증이다. 각각 2002년과 2011년 시작됐다.

ISMS의 경우 매출이나 세입이 1500억원 이상인 업체나 기관이면서 최근 3개월간 이용자수가 1만명 이상인 곳, 혹은 금융회사 등이 의무대상이다. 의무 대상이 아니더라도 신청 후 인증을 받을 수 있다. PIMS는 의무대상이 없지만, 개인정보 유출사태가 이어지면서 유통업 등에서는 필수처럼 여겨지고 있다. KISA 등 법령으로 지정된 인증기관이 심사 후 인증을 부여하는데, 심사 작업은 교육 이수 후 위탁받은 인증심사원들이 맡는다.

문제는 두 인증제도의 많은 부분이 겹치면서 기업들에게 이중부담으로 작용했다는 점이다. 같은 내용이고, 심지어 같은 기관에서 받는 인증임에도 서류 준비에 비용과 시간을 중복으로 투입해야하는 점이 불합리한 점으로 지적됐다.

IT 업계 관계자는 “인증 획득을 위해 컨설팅 등 각종 작업에 소요되는 비용이 최소 수천만원, 많게는 억 단위로 들어간다”며 “비슷한 인증을 각각 받는 것이 적절치 못하다는 지적이 계속 있어왔고, 결국 국회 국정감사에까지 오르면서 개선이 시작됐다”고 말했다.

업계에서는 통합이 이뤄지면 관련 비용이 크게는 절반 정도로 줄어들 것으로 기대하고 있다. 또 시간이나 노력도 줄어 그만큼 인증 획득 자체가 아니라 실질적인 보안 강화와 다른 업무에 집중할 수 있을 것으로 보고 있다.

상반기 내 초안 완성, 하반기 인증심사원 전환

과기정통부는 방송통신위원회, 행정안전부 등 관련 부처·기관들과 실무회의를 가지며 통합 인증 초안을 작성 중이다. 중복 요소를 해소하고 혹시 생길지 모를 공백이나 사각지대를 해소하기 위한 조정을 진행 중이다.

과기정통부 관계자는 “초안이 어느 정도 마련되어가는 단계”라며 “(연초 계획대로)올 상반기 내 쟁점 정리를 마치고 시행하는게 목표”라고 밝혔다. 다소 빡빡한 일정이지만 현재 진행속도로 보면 무리가 없다는 설명이다.

제도 마련과 함께 인증심사원에 대한 통합·전환 작업도 속도를 낸다. 이달 중순부터 각 인증에 대한 인증심사원 현행화 작업을 통해 인력 현황을 정리하기 시작했으며, 기준이 완성되는대로 하반기에 통합 인증에 대한 심사를 수행할 수 있는 인력으로 전환교육을 진행한다.

이후에는 통합 인증에 대한 심사가 가능해진다. 또 현재 모집을 중단한 신규 인증심사원 모집도 재개할 예정이다.

ISMS 인증서 발급현황. 한국인터넷진흥원 제공

PIMS 인증서 발급현황. 한국인터넷진흥원 제공