정보보호관리체계(ISMS) 인증 의무대상이 의료와 교육 등 비영리기관으로 확대된다. 금융권은 중복 규제 우려에 따라 의무대상에서 제외, 자율에 맡긴다. 정보보호 관련 인증 취득자는 중복 심사항목 생략으로 기업 부담을 완화했다.
미래창조과학부는 지난해 12월 공포된 `정보통신망법 이용촉진 및 정보보호 등에 관한 법률(이하 정보통신망법)`이 2일부터 시행된다고 밝혔다.
개정 정보통신망법과 시행령에는 ISMS 인증 신규 의무대상으로 세입 1500억원 이상 의료법상 상급병원과 고등교육법상 재학생 수 1만명 이상 학교를 추가했다. 의무대상을 기존 영리목적 정보통신서비스 제공자에 한정하지 않고 의료와 교육 등 민감정보를 다루는 비영리 기관으로 확대했다.
당초 추가 인증 의무대상으로 거론되던 전자금융거래법에 따른 금융회사는 제외했다. 규제개혁위원회에서 중복 규제 등 우려를 이유로 제시한 개선권고를 따랐다.
기업이 부담을 느끼던 중복 심사 부분도 개선했다. 정보보호 경영시스템인증(ISO/IEC 27001)과 개인정보보호 관리체계인증, 주요정보통신기반시설 취약점 점검 분석·평가 등을 받은 기업·기관은 ISMS 인증 취득 시 심사항목 일부를 생략하도록 했다.
의무대상자 인증 미 취득에 대한 과태료 부과 상한은 현행 1000만원 이하에서 3000만원 이하로 상향한다. 고의적 인증 회피 방지에 기여할 전망이다.
송정수 미래부 정보보호정책관은 “개정 정보통신망법 시행으로 인증 의무대상이 의료·교육기관으로 확대되면서 정보보호 사각지대가 해소된다”며 “인증 의무 위반자에 대한 행정처분 강화로 실효성을 확보하고 ISMS 심사항목 생략으로 기업 부담을 줄일 것”이라고 말했다.
미래부는 6월 중 정보통신망법 개정에 따라 신규 의무대상자로 포함된 의료·교육기관을 대상으로 설명회를 개최할 예정이다.
정보보호관리체계 인증 현황(`15.12월말 현재)
박정은기자 jepark@etnews.com
