[IT조선 노동균] 지난해 개정된 정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법)에 따라 오는 6월부터 정보보호관리체계(ISMS) 인증 의무 대상이 확대된다. 하지만 관계부처의 시행령 및 시행규칙 개정안 마련이 당초 계획보다 더디게 진행되면서 의무 대상에 포함될 기업들의 혼란이 가중되고 있다.
ISMS는 정보보호관리에 대한 표준적 모델 및 기준을 제시해 기업의 정보보호관리체계 수립 및 운영을 촉진하고, 기업의 정보보호를 위한 일련의 활동 등이 객관적인 인증 심사 기준에 적합한지를 인증기관이 인증하는 제도다. 지난 2013년부터 종전의 정보보호안전진단 제도를 대신해 시행되고 있다.
그간 ISMS 인증은 정보통신망서비스 제공사업자(ISP)와 집적정보통신시설 사업자(IDC), 정보통신서비스 사업자 중 전년도 매출 100억 이상 및 3개월간 이용자 수 100만명 이상의 기업들이 인증 의무 대상이었다. 주로 ICT 기업들이 여기에 해당됐다. 지난해에는 의무 인증 297개, 임의 인증 118개 등 총 415개 기업들이 ISMS 인증을 획득했다.
작년 12월 개정된 정보통신망법은 여기에 연 매출 1500억원 이상 기업으로 ISMS 인증 의무 대상을 확대할 것을 명시하고 있다. 기존 ICT 기업에 한정된 인증 의무 대상을 보안 사고 발생 시 사회·경제적 파급력이 큰 비 ICT 기업 및 비영리기관으로도 ISMS 인증을 확대하기 위함이다. 이에 따라 매출 규모가 크고, 다량의 민감한 정보를 취급한다는 점에서 의료 및 금융 업종이 새로이 ISMS 인증 의무 대상으로 부각됐다.
의무 대상자 중 미인증 사업자에 대한 과태료도 현행 1000만원에서 3000만원으로 상향 조정된다. 지난 2014년 카드 3사의 개인정보 및 신용정보 유출사고, 같은 해 KT의 개인정보 유출사고 등이 잇달아 발생하면서 기업들의 정보보호관리체계 감독을 강화하고, 제도 구속력을 강화하기 위한 조치의 일환에서다.
그만큼 관련 업계는 ISMS 인증 의무 대상 확대에 촉각을 기울일 수밖에 없다. 23일 미래창조과학부와 한국인터넷진흥원이 개최한 2016년도 ISMS 인증제도 설명회도 이러한 업계의 관심을 잘 반영했다. 이날 행사에는 주최 측이 마련한 1000여석의 좌석에서 빈자리를 거의 찾아볼 수 없을 정도로 많은 참석자가 몰렸다.
그러나 개정 정보통신망법의 시행령 및 시행규칙 확정이 주최 측 예상보다 훨씬 늦춰지면서 이날 설명회는 날을 잘못 잡은 반쪽짜리 행사가 됐다. 한국인터넷진흥원 관계자는 “시행령 개정안이 입법 예고 상태지만, 관계부처 및 이해당사자와의 조율이 예상보다 길어지면서 명확한 가이드를 제시하지 못하는 점 양해 부탁드린다”고 설명했지만, 설명회 간간히 터져 나오는 한숨을 막지는 못했다.
ISMS 인증은 통상 준비부터 인증까지 약 6개월 이상이 소요되고, 인증 신청을 위해서도 최소 2개월 이상의 운영 기간이 필요하다. 개정 정보통신망법이 당장 오는 6월 2일부터 시행되는 만큼, 인증 의무 대상이 확실시되는 기업들은 당장 인증 획득을 추진해야 하는 형편이다. 특히 새로이 인증 의무 대상이 될 것으로 예상되는 비 ICT 기업들의 경우 IT 전담 조직이 없는 경우가 많아 외부 컨설팅 의뢰 등을 고려하면 발등에 불이 떨어진 셈이다.
미래부에 따르면 개정 정보통신망법 시행에 따른 ISMS 인증 의무 대상 확대와 현재까지는 별도의 유예 기간을 두지 않는다는 방침이다. 단, 자체 추산 결과 정보통신망을 이용해 정보를 제공하는 매출 1500억원 이상 기업이 약 2000곳이 넘는 만큼 반드시 인증이 필요할 것으로 판단되는 기업들만 의무 대상이 되도록 시행령을 조정해 나간다는 계획이다.
미래부 관계자는 “최대한 이달 안으로 시행령 확정을 완료하고, 인증 의무 대상이 되는 기업들에게는 별도로 공지할 예정”이라며 “이번 정보통신망법 개정에는 중복 심사 생략 등 기업의 부담 완화를 위한 취지도 반영돼 있는 만큼 민간 기업에 대해서는 부담을 최소화할 수 있는 안을 만들도록 최선을 다할 것”이라고 말했다.
노동균 기자 saferoh@chosunbiz.com