2026.03.03 화요일
검색
'정보보호관리체계' 검색결과
기간검색
-
~
검색영역
검색어
-
1000만 명 정보 털리면 보안 인증 즉각 박탈... 정부 'ISMS 무용론' 칼 뺐다 [이코노믹데일리] 앞으로 1000만 명 이상의 개인정보 유출 사고를 일으킨 기업은 정부가 부여한 정보보호 인증이 즉각 취소된다. 형식적인 인증 유지로 면죄부를 주던 관행을 타파하고 실질적인 보안 태세를 갖추지 못한 기업에는 강력한 페널티를 부과하겠다는 정부의 의지다. 개인정보보호위원회(위원장 송경희)와 과학기술정보통신부(장관 배경훈)는 29일 한국인터넷진흥원(KISA) 및 금융보안원 등 관계 기관과 '정보보호 및 개인정보보호 관리체계(ISMS·ISMS-P) 인증 취소 관계기관 대책회의'를 열고 이 같은 내용의 인증 취소 기준 구체화 방안을 확정했다. 이번 대책은 최근 잇따른 대형 사이버 침해 사고에도 불구하고 해당 기업들이 ISMS 인증을 유지하고 있어 제도의 실효성에 의문이 제기된 데 따른 후속 조치다. 정부가 확정한 방안의 핵심은 '무관용 원칙' 적용이다. 개인정보보호법 위반으로 과징금 등의 처분을 받은 기업 중 위반 행위의 중대성이 큰 경우 인증이 박탈된다. 구체적으로 △1000만 명 이상의 피해 발생 △반복적 법 위반 △고의 및 중과실 위반행위 등으로 사회적 영향이 크다고 판단되면 원칙적으로 인증을 취소하기로 했다. 이는 대규모 유출 사고가 발생해도 인증이 유지돼 소비자에게 '안전한 기업'이라는 잘못된 신호를 주는 것을 막기 위함이다. 사후 관리 체계도 대폭 강화된다. 인증 기업이 연 1회 받아야 하는 사후 심사에서 △외부 인터넷 접점 자산 식별 △접근권한 관리 △패치 관리 등 사고와 직결되는 '핵심 항목'을 집중 점검한다. 점검 결과 해당 항목에서 중대 결함이 발견되거나 사후 관리를 거부하고 자료를 허위로 제출하는 경우 인증위원회 심의를 거쳐 즉시 인증을 취소한다. 단순한 서류 심사를 넘어 실제 보안 시스템이 작동하는지 현미경 검증을 하겠다는 뜻이다. 인증이 취소된 기업에 대한 제재와 회생 절차도 구체화했다. ISMS 인증 의무 대상 기업이 인증 취소를 당할 경우 취소 시점부터 1년간 재신청을 할 수 없게 '유예 기간'을 뒀다. 이는 사고 직후 형식적인 요건만 갖춰 급하게 인증을 다시 받는 꼼수를 차단하고 1년 동안 근본적인 보안 체질 개선을 유도하기 위함이다. 다만 정부는 이 기간 인증 의무 미이행에 따른 과태료는 면제해 기업이 보안 투자에 집중할 수 있도록 배려했다. 정보통신망법 위반 행위에 대한 제재 근거도 마련 중이다. 망법 위반 행위가 중대할 경우 인증을 취소할 수 있도록 법 개정을 추진하고 있으며 개정이 완료되는 대로 세부 기준을 수립할 예정이다. 양 부처는 지난 11월부터 합동 태스크포스(TF)를 운영하며 최근 발생한 보안 사고의 주요 원인을 분석해왔으며 이번 대책에 그 결과를 반영했다. 개인정보위 관계자는 "인증 기준에 미달하거나 중대한 위반이 있는 기업은 인증을 유지할 수 없도록 엄격히 관리하여 인증 제도의 신뢰성을 회복해 나가겠다"고 강조했다. 과기정통부 관계자 또한 "인증 사후 심사 시 기준에 미달하는 등 정보보호 관리체계 수준을 지속 유지하지 않는 경우 인증 취소를 적극 실시하여 정부 인증 제도의 실효성을 높이겠다"고 밝혔다. 업계에서는 이번 조치로 인해 기업들의 보안 경각심이 한층 높아질 것으로 보고 있다. 특히 최근 대규모 개인정보 유출 사태를 빚은 플랫폼 및 통신사들이 강화된 기준의 첫 적용 대상이 될지 이목이 쏠리고 있다.2025-12-30 00:07:28
-
![[국정자원 화재] 전산망 마비 국정자원, 불과 한 달 전 ISMS 인증 통과했다](https://image.ajunews.com//content/image/2025/10/10/20251010102503470490.jpg)
'전산망 마비' 국정자원, 불과 한 달 전 ISMS 인증 통과했다 [이코노믹데일리] 초유의 국가 전산망 마비 사태를 일으킨 국가정보자원관리원(국정자원)이 화재 발생 불과 한 달 전에 재해복구 항목이 포함된 ‘정보보호관리체계(ISMS)’ 인증을 통과한 것으로 드러나면서 파문이 일고 있다. ‘절반의 이중화’와 ‘백업 미비’ 등 총체적 부실이 드러난 상황에서 정부의 핵심 보안 인증 제도가 사실상 ‘무용지물’이었음이 증명된 셈이다. 이는 인증 제도의 신뢰성과 실효성에 대한 근본적인 의문을 제기한다. 국회 과학기술정보방송통신위원회 소속 이해민 의원(조국혁신당)에 따르면 국정자원은 정부 기관으로서 의무 대상이 아님에도 자율적으로 ISMS 인증을 신청해 지난 9월 3일 인증을 취득했다. ISMS 인증은 한국인터넷진흥원(KISA)이 주관하며 △재해·재난 대비 안전조치 △재해복구 시험 및 개선 △백업 및 복구관리 등 총 80개의 엄격한 심사 항목을 평가한다. 하지만 이번 화재로 드러난 국정자원의 현실은 ‘인증’과는 거리가 멀었다. 애초에 실시간 서비스 전환이 불가능한 ‘절반의 이중화’ 시스템이었고 심지어 공무원 업무 자료가 담긴 G드라이브(공무원용 클라우드 저장장치)는 백업조차 제대로 되지 않아 데이터가 소실되는 사태까지 벌어졌다. 재해복구 체계의 가장 기본적인 항목조차 지켜지지 않았음에도 ISMS 인증 심사는 이를 걸러내지 못하고 ‘적정’ 판정을 내린 것이다. ◆ “어디까지 신뢰할 수 있나”…제도 개선 목소리 이러한 상황에 대해 이해민 의원은 강하게 비판했다. 그는 “이중화·이원화는커녕 백업도 제대로 하지 않은 상황임에도 이러한 재난·재해 대비 수준을 ‘적정’하다고 판정해준 ISMS 인증 제도를 과연 어디까지 신뢰할 수 있을지 심각한 의문이 든다”고 지적했다. 이번 사태는 ISMS 인증이 실제 운영 실태를 면밀히 들여다보는 실질적인 검증이 아닌 서류상의 요건만 맞추면 통과할 수 있는 형식적인 절차로 전락했을 수 있다는 심각한 의혹을 낳고 있다. KT, 롯데카드 등 최근 대형 보안 사고를 겪은 기업 대부분이 ISMS 인증을 보유하고 있었다는 점도 이러한 의혹을 뒷받침한다. 이 의원은 근본적인 제도 개선을 촉구했다. 그는 “정부는 형식적인 인증 건수 늘리기에 급급할 것이 아니라 실제 보안과 재해복구 수준을 담보할 수 있는 근본적인 개선책을 시급히 마련해야 한다”고 강조했다. 이는 체크리스트 위주의 서류 심사를 넘어 실제 해킹이나 재난 시나리오를 기반으로 한 실질적인 모의 훈련과 검증 체계를 도입해야 한다는 목소리로 이어진다.2025-10-10 11:35:00
-
KT 해킹 부른 '펨토셀', '정부인증' 믿었는데…제도적 허점 드러나 [이코노믹데일리] KT 대규모 해킹 사태를 촉발한 초소형 기지국(펨토셀)이 정부의 핵심 정보보호 인증 제도의 사각지대에 놓여 있었던 것으로 드러났다. 국가 공인 인증을 받았음에도 대형 보안 사고가 터진 근본적인 이유가 제도적 허점 때문이었다는 비판이 나온다. 25일 국회 과방위 소속 이해민 의원(조국혁신당)이 한국인터넷진흥원(KISA)으로부터 제출받은 자료에 따르면 펨토셀은 정보보호관리체계(ISMS-P) 인증 범위에서 사실상 제외돼 있었다. ISMS-P는 기업의 정보보호 및 개인정보보호 관리 체계가 국가 인증 기준에 적합한지 심사하는 제도로 통신사 등 정보통신망서비스제공자(ISP)는 의무적으로 인증을 받아야 한다. 문제는 인증 범위의 해석과 적용에 있었다. KISA는 “인력과 예산의 한계로 코어망 중심으로만 인증이 진행되고 있다”며 “무선기지국은 중앙전파관리소가 관리하기 때문에 범위에 포함하지 않는다”고 해명했다. 하지만 중앙전파관리소의 무선기지국 검사는 전파의 간섭 여부 등 장비 성능 확인에 국한될 뿐 보안 취약점 점검은 전혀 이뤄지지 않는다. 결국 펨토셀을 포함한 무선 기지국 전체가 보안 검증의 공백 상태로 방치돼 있었던 셈이다. 이러한 형식적인 인증 제도는 결국 ‘종이호랑이’로 전락했다는 지적이다. 이해민 의원은 “해킹 피해를 본 기업은 대부분 ISMS나 ISMS-P 인증을 받은 곳”이라며 “국민은 정부 인증을 신뢰하고 기업 서비스를 이용하지만 현실과 동떨어진 인증 기준과 기업 자율에 맡긴 형식적 검토만으로 보안 수준을 높일 수 없다”고 비판했다. 이 의원은 근본적인 제도 개편을 촉구했다. 그는 “ISP 사업자의 경우 코어망 외부에서도 보안 사고가 발생하는 만큼 인증 범위를 확대해야 한다”며 “형식적인 서류심사나 체크리스트 위주의 인증이 아니라 실제 해킹 위협 시나리오를 토대로 보안관리 체계를 개편해야 한다”고 강조했다.2025-09-25 08:08:32
많이 본 뉴스
영상
Youtube 바로가기
![[편집인 칼럼] 단종 유배지 청령포의 봄, 이벤트 행정 아닌 신뢰 행정이 지킨다](https://image.ajunews.com/content/image/2026/03/03/20260303104341873026_518_323.png)