6월 2일부터 대형 병원과 학교, 비영리기관으로 정보보호 관리체계(ISMS) 인증 의무가 확대된다.

미래창조과학부는 2015년 12월 1일 공포된 '정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 정보통신망법)'이 6월 2일 본격 시행된다고 밝혔다.

개정 정보통신망법은 ISMS 인증 의무 대상으로 기존 영리 목적의 정보통신서비스 제공자에 한정하지 않고, 민감정보를 다루는 비영리기관으로 확대했다. 이에 따라 세입 1500억원 이상인 의료법상 상급종합병원과 고등교육법상 재학생수 1만명 이상인 학교는 ISMS 인증 의무 대상에 포함된다.

반면, 전자금융거래법에 따른 금융회사는 규제개혁위원회에서 제기한 중복 규제 등의 우려를 이유로 인증 의무 대상에서 제외됐다.

ISMS 인증 의무 대상자가 고의적으로 인증 획득을 회피하는 것을 방지하고자 미취득자에 대한 과태료 부과 상한도 현행 1000만원 이하에서 3000만원 이하로 올렸다.

단, 정보보호 경영시스템 인증(ISO/IEC 27001), 개인정보보호 관리체계 인증 등 주요 정보통신기반시설 취약점의 점검 분석이나 평가를 받은 경우 ISMS 인증 취득 시 심사항목 일부를 생략할 수 있도록 해 기업 부담을 완화했다.

송정수 미래부 정보보호정책관은 "이번 개정 정보통신망법 시행으로 인증 의무 대상이 의료·교육 등 비영리기관으로 확대됨에 따라 정보보호 사각지대를 해소하고, 인증 의무 위반자에 대한 행정처분 강화로 제도의 실효성이 확보될 것으로 기대한다"고 말했다.